ESET làm sáng tỏ các lệnh được sử dụng bởi cửa hậu yêu thích của nhóm Sednit

Điều gì xảy ra khi nạn nhân bị xâm nhập bởi cửa hậu và nhà điều hành đang kiểm soát nó? Nó có một câu hỏi khó mà không thể trả lời hoàn toàn bằng kỹ thuật đảo ngược mã. Trong bài viết này, chúng tôi sẽ phân tích các lệnh được gửi bởi nhà điều hành đến các mục tiêu của họ.

Nhóm Sednit – còn được gọi là APT28, Fancy Bear, Sofacy hoặc STRONTIUM – đã hoạt động từ ít nhất năm 2004 và đã trở thành tiêu đề thường xuyên trong những năm qua.

Gần đây, chúng tôi đã tiết lộ sự tồn tại của một rootkit UEFI, được gọi là LoJax mà chúng tôi gán cho nhóm Sednit. Đây là lần đầu tiên cho một nhóm APT và cho thấy Sednit có quyền truy cập vào các công cụ rất tinh vi để thực hiện các hoạt động gián điệp của mình.

Ba năm trước, nhóm Sednit đã tung ra các thành phần mới nhắm vào các nạn nhân ở nhiều quốc gia khác nhau ở Trung Đông và Trung Á. Kể từ đó, số lượng và sự đa dạng của các thành phần đã tăng mạnh. ESET các nhà nghiên cứu và các đồng nghiệp từ khác các công ty đã ghi lại các thành phần này; tuy nhiên, trong bài viết này, chúng tôi sẽ tập trung vào những gì mà Vượt ra ngoài thỏa hiệp, những gì các nhà khai thác làm một khi hệ thống nạn nhân đang chạy một cửa hậu Zebrocy Delphi.

Vào cuối tháng 8 năm 2018, nhóm Sednit đã phát động một chiến dịch email spearphishing nơi nó phân phối các URL rút ngắn cung cấp giai đoạn đầu tiên của các thành phần Zebrocy. Trước đây, Sednit đã sử dụng một kỹ thuật tương tự cho lừa đảo thông tin xác thực . Tuy nhiên, thật bất thường khi nhóm sử dụng kỹ thuật này để phân phối trực tiếp một trong các thành phần phần mềm độc hại. Trước đây, nó đã sử dụng các khai thác để phân phối và thực thi phần mềm độc hại giai đoạn đầu tiên, trong khi trong chiến dịch này, nhóm hoàn toàn dựa vào kỹ thuật xã hội để dụ nạn nhân chạy phần đầu tiên của chuỗi. Ảnh chụp màn hình trong Hình 1 cho thấy số liệu thống kê Bitly cho URL rút ngắn được sử dụng trong chiến dịch này.

Hình 1. Thống kê của URL Bitly

Khoảng 20 lần nhấp đã được ghi lại trên liên kết này trong cùng tuần mà URL được tạo và có lẽ chúng đã tải xuống kho lưu trữ mục tiêu. Hãy nhớ rằng điều này có thể có nghĩa là ít hơn 20 nạn nhân tiềm năng, vì nạn nhân có thể đã nhấp vào URL hai lần hoặc thậm chí nhiều lần hơn, vì kết quả không như họ mong đợi như chúng tôi sẽ mô tả bên dưới.

Mặc dù dữ liệu từ xa của ESET chỉ ra rằng URL này được gửi bằng các email spearphishing, chúng tôi không có một mẫu email như vậy. URL rút ngắn dẫn nạn nhân đến một URL dựa trên địa chỉ IP, nơi tải trọng được lưu trữ được đặt.

Thật không may, không có thông báo email, chúng tôi không biết nếu có bất kỳ hướng dẫn nào cho người dùng, nếu có thêm bất kỳ kỹ thuật xã hội nào, hoặc nếu nó chỉ dựa vào sự tò mò của nạn nhân. Kho lưu trữ chứa hai tệp; tệp đầu tiên là tệp thực thi, trong khi tệp thứ hai là tài liệu PDF giải mã.

Hình 2. Các tệp được trích xuất từ ​​kho lưu trữ (Google Dịch gợi ý CAT CATOGOG – (2018) .exe và Đặt hàng 97.pdf Thay đổi từ Ucraina)

Lưu ý rằng có một lỗi đánh máy trong tên tệp có thể thực hiện được; nó nên là một món ăn khác. Khi nhị phân được thực thi, một hộp thoại nhắc mật khẩu sẽ mở ra. Kết quả xác thực mật khẩu sẽ luôn sai, nhưng sau nỗ lực xác thực rõ ràng, tài liệu PDF giải mã được mở. Tài liệu đó dường như trống rỗng, nhưng trình tải xuống, được viết bằng Delphi, tiếp tục chạy trong nền. Địa chỉ IP cũng được sử dụng trong URL được mã hóa thành trình tải xuống nhị phân đầu tiên.

Trình tải xuống Giai đoạn 1 sẽ tải xuống và thực thi trình tải xuống mới, được viết bằng C ++, không quá khác biệt so với các trình tải xuống Zebrocy khác. Một lần nữa, trình tải xuống này cũng đơn giản như các nhóm tải xuống khác của nhóm Zebrocy. Nó tạo ra một ID và nó tải xuống một cửa hậu mới, thú vị, (lần này) được viết bằng Delphi.

Như chúng tôi đã giải thích trong blogpost gần đây nhất của chúng tôi về Zebrocy, cấu hình của cửa sau được lưu trữ trong phần tài nguyên và được chia thành bốn đốm màu được mã hóa, mã hóa hex khác nhau. Các đốm màu này chứa các phần khác nhau của cấu hình.

Hình 3. Tổng quan về phần tài nguyên

Sau khi cửa hậu gửi thông tin cơ bản về hệ thống mới bị xâm nhập, các nhà khai thác sẽ kiểm soát cửa sau và bắt đầu gửi lệnh ngay lập tức.

Do đó, thời gian giữa nạn nhân chạy trình tải xuống và các toán tử Lệnh đầu tiên chỉ mất vài phút.

Trong phần này, chúng tôi mô tả chi tiết hơn các lệnh được thực hiện thủ công bởi các nhà khai thác thông qua cửa hậu Delphi của họ.

Các lệnh có sẵn được đặt trong một trong các đốm cấu hình được đề cập trước đó (các lệnh nghiến nghén blob trong Hình 3). Số lượng các lệnh được hỗ trợ đã tăng lên theo thời gian, với phiên bản mới nhất của cửa sau có hơn ba mươi. Vì chúng tôi không xác định một mẫu theo thứ tự các lệnh được gọi, chúng tôi tin rằng các toán tử đang thực hiện chúng theo cách thủ công.

Nhóm lệnh đầu tiên tập hợp thông tin về máy tính và môi trường nạn nhân:

Các lệnh Luận cứ
SCREENSHOT
SYS_INFO Không
GET_NETWORK Không
SCAN_ALL Không

Các lệnh trên thường được thực thi khi các toán tử lần đầu kết nối với một cửa hậu mới được kích hoạt. Họ không có bất kỳ tranh luận nào, và họ khá tự giải thích. Các lệnh khác thường thấy và được thực thi ngay sau khi các cửa hậu này được kích hoạt, được liệt kê bên dưới:

Các lệnh Luận cứ
REG_GET_KEYS_VALUES ]
DOWNLOAD_DAY (30) c: *. Doc; *. Docx; *. .xlsx; *. ppt; *. pptx; *. rtf; *. tif; *. tiff; *. jpg; *. jpeg;
*. bmp; *. rar; *. zip; *. pdf; * .KUM; *. Kum; *. Tlg; *. TLG; *. Sbx; *. Crf; *. Hse; *. Hsf; *. Lhz;

d: *. Doc; *. Docx; * .xls; *. xlsx; *. ppt; *. pptx; *. rtf; *. tif; *. tiff; *. jpg; *. jpeg;
*. bmp; *. rar; *. zip ; *. pdf; *. KUM; *. kum; *. tlg; *. TLG; *. sbx; *. crf; *. hse; *. hsf; *. lhz;

DOWNLOAD_DAY (1)
c: *. Doc; *. xls; *. xlsx; *. ppt; *. pptx; *. rtf; *. tif; *. tiff; *. jpg * .jpeg
*. bmp * .rar; *. zip; *. pdf; * .KUM; *. Kum; *. Tlg; *. TLG; *. Sbx; *. Crf; *. Hse; *. Hsf;

d: *. Doc; *. Docx; *. Xls; * .xlsx; *. ppt; *. pptx; *. rtf; *. tif; *. tiff; *. jpg * .jpeg
*. bmp * .rar; *. zip; *. pdf; *. KUM; *. Kum; *. Tlg; *. TLG; *. Sbx; *. Crf; *. Herm; *. Hsf;

CMD_EXECUTE echo% APPDATA%
ipconfig / all
CMD_EXECUTE quá trình wmic nhận Caption, ExecutablePath
Microsoft Windows CurrentVersion Run "/ s

Những người đã đọc các bài viết trước của chúng tôi về Zebrocy sẽ nhận thấy rằng ít nhiều cùng một loại thông tin được gửi đi, lặp đi lặp lại bởi các giai đoạn trước. Thông tin này được yêu cầu trong vòng vài phút kể từ khi thỏa hiệp ban đầu và lượng dữ liệu mà nhà điều hành sẽ phải xử lý là khá đáng kể.

Để thu thập nhiều thông tin hơn, thỉnh thoảng các nhà khai thác Zebrocy tải lên và sử dụng các bộ đệm trên các máy nạn nhân. Các trình kết xuất hiện tại có một số điểm tương đồng với các nhóm được sử dụng trước đây. Trong trường hợp này, Trình duyệt Yandex, Chromium, Trình duyệt 7 sao ( một trình duyệt dựa trên Chromium- ), CentBrowser như các phiên bản của Microsoft Outlook từ 1997 đến 2016:

Lệnh Luận cứ
UPLOAD_AND_EXECUTE_FILE C
[…]
4D5A9000 '

Những trình kết xuất này tạo các tệp nhật ký cho biết sự hiện diện hoặc vắng mặt của cơ sở dữ liệu tiềm năng để kết xuất:

Lệnh Luận cứ
DOWNLOAD_LIST C: ProgramData Office
C: ProgramData Office MS text.txt

Máy xúc lật hiện tại chứa đầu ra sau đây khi không có cơ sở dữ liệu để kết xuất:

% LOCALAPPDATA% Yandex YandexBrowser Dữ liệu người dùng Mặc định Không tìm thấy dữ liệu đăng nhập
% LOCALAPPDATA% Chromium Dữ liệu người dùng Mặc định Dữ liệu đăng nhập
% LOCALAPPDATA% 7star 7star Dữ liệu người dùng Mặc định Dữ liệu đăng nhập không tìm thấy
% LOCALAPPDATA% CentBrowser Dữ liệu người dùng

Những máy xúc lật này nhanh chóng bị loại bỏ sau khi chúng hoàn thành công việc. Ngoài ra, cửa sau chứa danh sách tên tệp liên quan đến thông tin đăng nhập từ phần mềm được liệt kê bên dưới (tên cơ sở dữ liệu):

key3.db Khóa riêng của Firefox (hiện có tên là key4.db)
cert8.db Cơ sở dữ liệu chứng chỉ Firefox
logins.json Cơ sở dữ liệu mật khẩu được mã hóa của Firefox
tài khoản.cfn Con dơi! (ứng dụng email) thông tin đăng nhập tài khoản
Wand.dat Cơ sở dữ liệu mật khẩu Opera

Các nhà khai thác chăm sóc lấy các cơ sở dữ liệu này nếu chúng có mặt trên máy tính nạn nhân.

Lệnh Luận cứ

TẢI XUỐNG_LIST
% APPDATA CFN
% APPDATA% The Bat! [REDACTED] Account.CFN

Các nhà khai thác lấy các tệp này trên máy bằng lệnh DOWNLOAD_LIST. Lệnh này có thể được sử dụng khi các nhà khai thác nhận thức được sự hiện diện của các tệp thú vị trên máy tính.

Cuối cùng, tùy thuộc vào mức độ thú vị của nạn nhân, các nhà khai thác phần mềm độc hại có thể triển khai một cửa hậu tùy chỉnh khác. Cửa hậu này được thực thi bằng lệnh CMD_EXECUTE:

Lệnh Luận cứ
CMD_EXECUTE

Có một số sự thật thú vị ở đây. Đầu tiên, họ sử dụng chiếm quyền điều khiển đối tượng COM để làm cho phần mềm độc hại tồn tại lâu trên hệ thống mặc dù cửa hậu tùy chỉnh chỉ được cài đặt trong vài giờ. Thứ hai, chuỗi được mã hóa hex là C & C được sử dụng bởi cửa sau tùy chỉnh trong khi ở cửa sau Delphi, C & C được nhúng trong cấu hình.

Hai cửa hậu Delphi, một chung và một ở trên, khá giống nhau nhưng chứa những điều chỉnh thú vị này:

Delphi backdoor Đã tải xuống Delphi backdoor
Phiên bản trình biên dịch Delphi 14.0-15.0 32.0
32/64-bit 32-bit 64-bit
Vị trí cấu hình phần tài nguyên không có cấu hình (C & C được thông qua dưới dạng đối số)
Số lượng lệnh 5 3
Thuật toán mã hóa AES ECB tùy chỉnh
Trọn đời trên máy tính vài ngày vài giờ

Một lần nữa, nó không rõ lắm mục đích của cửa hậu tùy chỉnh này là gì. Tỷ lệ phát hiện chắc chắn là thấp hơn so với cửa hậu thông thường của Wap. Khung thời gian rất ngắn nơi cửa hậu này nằm trên hệ thống và hoạt động khiến việc lấy lại khó khăn hơn. Khi các nhà khai thác của nó hoàn thành hành động xấu xa của họ, họ nhanh chóng loại bỏ nó.

Các lệnh quan sát được sử dụng trong tự nhiên bởi toán tử khá thú vị. Họ đang thu thập một lượng thông tin đáng kể về mục tiêu bị xâm nhập và họ không lo lắng về dữ liệu trùng lặp. Nó cho thấy một khoảng cách lớn giữa chiến lược phát triển và những gì các nhà khai thác làm trong thực tế. Cửa hậu với cấu hình và mô-đun tùy chỉnh được triển khai rất cẩn thận, điều này cho thấy một số biện pháp phòng ngừa để tránh kết thúc trong tay các nhà nghiên cứu.

Nhóm lệnh đầu tiên giống nhau và được thực thi trong một khung thời gian rất ngắn, điều này đặt ra một câu hỏi khác: nó có tự động không?

URL phân phối
http: //45.124.132 [.] 127 / DOVIDNIK – (2018) .zip
Máy chủ C & C
http: //45.124.132 [.] 127 / hành động-trung tâm / trung tâm hành động / dịch vụ và hành động.php
SHA-1 Tên phát hiện ESET
48f8b152b86bed027b9152725505fbf4a24a39fd Win32
1e9f40ef81176190e1ed9a0659473b2226c53f57 Win32 / HackTool.PSWD.
bfa26857575c49abb129aac87207f03f2b062e07 Win32 / PSW.Agent.OGE

một biểu tượng trông giống như một tài liệu Microsoft Word.

Phần mềm Microsoft CurrentVersion Run được sử dụng để duy trì.

được tạo ra) sau khi sử dụng.

được liệt kê trong phần mềm độc hại.

đường dẫn để lấy và gửi nó.

cổng 80 hoặc 443 để liên lạc với máy chủ C & C.

Chiến thuật ID Tên Mô tả
Truy cập ban đầu T1192 Phát hiện email bằng cách sử dụng dịch vụ rút ngắn URL để lừa nạn nhân nhấp vào liên kết đến tệp zip chứa tệp độc hại.
Thi hành T1204 Thi hành người dùng
T1085 Rundll32 rundll32.exe đã được sử dụng để chạy một DLL mới, đã tải xuống, độc hại.
T1047 Thiết bị quản lý Windows Lệnh WMI thu thập thông tin chi tiết về máy chủ nạn nhân.
T1053 Nhiệm vụ theo lịch trình Lập kế hoạch nhiệm vụ để thực hiện các nhị phân độc hại.
Sự bền bỉ T1060 Khóa chạy đăng ký / Thư mục khởi động
T1122 Cướp mô hình đối tượng thành phần Đánh cắp COM để tồn tại.
Evasion Defense T1107 Xóa tập tin
T1089 Vô hiệu hóa các công cụ bảo mật Giết quá trình
Discovery T1012 Đăng ký truy vấn
T1057 Khám phá quy trình Liệt kê các quy trình đang chạy
T1082 Khám phá thông tin hệ thống Sử dụng lệnh systeminfo để thu thập thông tin về nạn nhân.
T1083 Khám phá tệp và thư mục Sử dụng lệnh echo ENV để liệt kê nội dung của thư mục.
Bộ sưu tập T1005 Dữ liệu từ hệ thống cục bộ
T1039 Dữ liệu từ Ổ đĩa chia sẻ mạng Liệt kê các ổ đĩa từ xa và cục bộ và sau đó hoàn thành các tệp cụ thể.
T1025 Dữ liệu từ phương tiện di động Liệt kê các ổ đĩa từ xa và cục bộ và sau đó lọc ra các tệp cụ thể.
T1074 Dữ liệu được phân loại Tạo tệp chứa đường dẫn của tất cả các tệp để thoát ra.
T1056 Chụp đầu vào Tính năng Keylogger.
T1113 Chụp màn hình Tính năng chụp màn hình.
Exfiltration T1020 Tự động thực hiện
T1022 Dữ liệu được mã hóa Dữ liệu được gửi được mã hóa bằng hex, được mã hóa bằng thuật toán đã biết hoặc thuật toán tùy chỉnh.
T1041 Exfiltration Over Command and Control Channel Dữ liệu được truyền vào máy chủ C & C.
Bộ chỉ huy và kiểm soát T1043 Cổng được sử dụng phổ biến
T1024 Giao thức mã hóa tùy chỉnh Dữ liệu được gửi được mã hóa hex, mã hóa bằng AES hoặc thuật toán tùy chỉnh.
T1132 Mã hóa dữ liệu Dữ liệu được gửi được mã hóa bằng hex, được mã hóa bằng thuật toán đã biết hoặc thuật toán tùy chỉnh.
T1001 Dữ liệu Obfuscation Dữ liệu được gửi được mã hóa bằng hex, được mã hóa bằng thuật toán đã biết hoặc thuật toán tùy chỉnh.
T1008 Kênh dự phòng Máy chủ C & C dự phòng được nhúng trong cấu hình.
T1079 Mã hóa đa lớp Dữ liệu được gửi được mã hóa bằng hex, được mã hóa bằng thuật toán đã biết hoặc mã hóa tùy chỉnh.
T1071 Giao thức lớp ứng dụng tiêu chuẩn HTTP, HTTPS được sử dụng để liên lạc.
T1032 Giao thức mã hóa tiêu chuẩn Dữ liệu được gửi được mã hóa bằng hex, được mã hóa bằng thuật toán đã biết hoặc mã hóa tùy chỉnh. ]





nguon http://feedproxy.google.com/~r/eset/blog/~3/z6tdBbVC57Y/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây