I. Genel Bakış
Antiy CERT (Antiy Güvenlik Araştırma ve Acil Durum Müdahale Merkezi) 13 Şubat - 7 Mart 2019 tarihleri arasında bazı Doğu Asya ülkelerine (özellikle Japonya ve Güney Kore) yönelik çok sayıda büyük ölçekli organize kimlik avı e-posta saldırısı tespit etti. , Olay çok sayıda örnek içeriyordu.E-postanın gövdesi ve saldırı belgesinin içeriği Japonca ve Korece sürümlerine bölündü. Saldırının amacı, kâr amacıyla uzaktan kumandalı bir Truva atı yetiştirme botnetini başlatmaktı.
Saldırganlar, Japonya ve Güney Kore'deki ticari şirketlere ve finans kurumlarına toplu kimlik avı e-postaları göndermek, kötü amaçlı Excel 4.0 makro kodlarıyla saldırı belgeleri göndermek ve FlawedAmmyy uzaktan kumanda Truva Atı'nı yaymak için kontrolleri altındaki çok sayıda çalınmış e-posta hesabını kullandı. Çeşitli e-posta kimlik avı saldırılarının derinlemesine bir analizi sonucunda, bu faaliyetlerin birbiriyle oldukça ilişkili olduğunu ve saldırganların motivasyonlarının, çalışma tarzlarının, teknik ve taktik süreçlerinin ve kullanılan uzaktan kumandanın aktif bir küresel siyah endüstri kuruluşu olan TA505 ile uyumlu olduğunu gördük. .
2. Olay analizi
13 ve 19 Şubat 2019'da Antiy CERT, Güney Koreli kullanıcılara yönelik iki bariz kimlik avı e-posta saldırısı gözlemledi. Ardından, 20 Şubat'ta, Japonya'yı hedef alan ve oldukça benzer taktiklerle kimlik avı e-postaları görünmeye başladı. 27 Şubat, 6 ve 7 Mart'ta, Güney Kore'yi hedefleyen ve 20. gündeki kötü amaçlı belgelere oldukça benzeyen e-postalar yeniden ortaya çıktı.
Şekil 2-1 Japonya ve Güney Kore'ye karşı Şubat ve Mart aylarında gözlemlenen beş grup kimlik avı e-posta saldırısının zaman çizelgesiGüney Kore'deki güvenlik uygulayıcılarının istatistiklerine ve paylaşımına göre, 19 Şubat itibarıyla, 9.000'den fazla Güney Koreli e-posta hesabı, ilk iki grup kimlik avı e-postası tarafından saldırıya uğradı. Gönderenin adlarının çoğu "" ve birkaçı "". İlgili posta kutuları, kimlik avı e-postaları gönderen 1.124 e-posta adresiyle esas olarak Koreli finansla ilgili kurum ve kuruluşlara atfedilebilir. Japonya'daki kimlik avı e-postalarının sayısı şu anda yalnızca yüze yakın ve ticari şirketler de saldırıya uğruyor.
Üç, numune analizi
3.1 Excel 4.0 Makro Kullanım Teknolojisi
Excel 4.0 (XLM) makrosu, VBA (Visual Basic for Applications) makrolarının ortaya çıkmasından önce Microsoft Excel tarafından desteklenen bir makro programlama teknolojisidir.Günümüzde kendisiyle geliştirilen makro virüs belirli bir anti-virüs etkisine sahiptir ve kötüye kullanılmış ve çeşitli iletimlerde yaygın olarak karşımıza çıkmıştır. Kötü amaçlı kodun ağ etkinliği.
Şekil 3-1 Uzaktan kumanda Truva Atı'nı yürütmek için Çalışma Kitabı akışında gizlenen kötü amaçlı makro kodu parçasıSaldırıların öncüleri olarak kimlik avı e-postalarına istismarlar veya kötü amaçlı komut dosyaları (makro kod, Javascript vb.) İçeren belgeler eklemek, gelişmiş tehditlerde çok yaygın bir teknik haline geldi. Bu iki farklı yöntemi karşılaştırdığımızda, kötü niyetli komut dosyalarının gerçek penetrasyonda kullanımının daha çok tercih edilen bir saldırı yöntemi olduğunu bulmak zor değil.
Tablo 3- 1 Güvenlik açığından yararlanma ve komut dosyası izinsiz girişleri arasındaki maliyet karşılaştırmasıMevcut güvenlik satıcılarının yaygın Office Nday güvenlik açıkları için olgun algılama yetenekleri karşısında ve maliyet hususlarına dayalı olarak, saldıran birçok kuruluş, saldırı için makro kodların kullanılmasını giderek daha fazla tercih ediyor. Güney Kore ve Japonya'yı hedefleyen bu kimlik avı e-postaları serisinde, kötü amaçlı makrolara sahip belgeler, sonraki yükleri indirmek ve çalıştırmak için indiriciler olarak kullanıldı.
3.2 Saldırı örneği analizi
Bu saldırı dizisinde saldırganlar, eklerini açmaları için saldırganları kandırmak için sahte faturalar ve konuyla ilgili diğer e-postalar kullandı.
Şekil 3-2 Güney Kore'yi hedefleyen kimlik avı e-postasının gövdesi Şekil 3-3 Japonya'yı hedefleyen kimlik avı e-postasının gövdesiEkler esas olarak xls formlarına ve doc belgelerine bölünmüştür ve her iki dilde Japonca ve Korece sürümleri vardır:
Şekil 3-4 Japonya ve Güney Kore'yi hedefleyen sahte belgelerİki ülke için sahte belgeler, kurbanı makro yürütme iznini açmaya teşvik etmek için benzer yöntemler kullanır.Aşağıda örnek DA0DC5E26A4DD2F85C1C56F65999F79B örneğini, kötü niyetli davranışını analiz etmek için alır.
Tablo 3-2 Kötü amaçlı makro belgesi örneğiÖrnek, tablodaki Excel 4.0 makrolarını içeren çalışma sayfasını gizler.
Şekil 3-5 Çalışma sayfasının gizlenmesinden önce ve sonra karşılaştırma Şekil 3-6 Çalışma sayfasındaki makro kodunu gizleyinMakro komut dosyası Auto_Open olarak ayarlanmıştır, yani dosyayı açtıktan sonra otomatik olarak çalışır ve yürütme eylemi http: // *** 365officecom / agp'yi indirip yüklemektir. Ek olarak, bazı doc bait belgelerinde makro komut dosyalarının kötü niyetli davranışını gizlemek için başka bir teknik bulundu.Bu yöntem, form kontrolündeki form kontrolünün etiketinin bir karakter dizesi türü olması özelliğini kullanır ve kötü niyetli komutları farklı kontrollerin etiket özelliklerine ayırır. , Ekleme, vba betiği yürütüldüğünde gerçekleştirilir.
Şekil 3-7 Formda gizlenen kötü amaçlı kod pasajıDA0DC5E26A4DD2F85C1C56F65999F79B örneği, dosyayı aşağıdaki gibi indirmek için makroyu kullanır.
Tablo 3-3 MSI formatında Releaseaser programı "agp"MSI yükleyicisinin içerdiği etkili yürütülebilir bilgiler aşağıdaki gibidir.
Tablo 3-4 MSI programı kötü niyetli PE yürütme organı içeriyorBu yürütülebilir dosya dijital bir imza içeriyor ve imzanın zaman damgası, Güney Kore'ye yönelik ilk saldırı grubundan önceki gece (13 Şubat).
Şekil 3-8 MSI programında yer alan PE yürütme organının geçerli bir dijital imzası vardır Şekil 3-9 Ağ ile ilgili işlevleri alın ve dosyaları indirmeye başlayınYürütücü, http: //185.17.***.201/dat3.omg (MD5: 5D1DA0526A5A65B3308512159E98F388) dosyasını indirmek için "InternetReadFile" API işlevini çağırır ve bellekteki son uzaktan kontrolü elde etmek için çözülmüş anahtarla şifre çözme işlemleri gerçekleştirir Truva atı (MD5: 25D48C3A71A5F8777AD4DB67C2A4F649).
Şekil 3-10 Şifre çözme anahtarını çözme Şekil 3-11 Bellekteki son uzaktan kumanda Truva Atı'nın şifresini çözmeUzaktan denetim Truva Atı'nı başarıyla edindikten sonra, kalıcılık yönteminin sistem hizmetlerini kaydettirmek mi yoksa kendi ortamınıza göre kayıtta kendi kendine başlatılan öğeleri yazmak mı olduğunu belirleyin.
Şekil 3-12 Kalıcılığı sağlamak için sistem hizmetlerini kaydetme veya kayıt defteri otomatik başlatma öğelerini yazmaUzaktan kumanda Truva Atı'nın komut işlevini ve ağ davranışını analiz ederek, bunun FlawedAmmyy uzaktan kumanda olduğuna karar verilir. FlawedAmmyy uzaktan kumandası, ticari uzak masaüstü yazılımı Ammyy Admin V3'ün sızdırılan kaynak koduna göre yazılmıştır.Fonksiyonlar arasında uzak masaüstü kontrolü, uzaktan dosya yönetimi, ses izleme, tuş vuruşu kaydı ve kimlik bilgisi çalma bulunur. Örnek ve C2 arasındaki iletişim trafiği, FlawedAmmyy uzaktan kumanda Truva Atı'nın tipik alan biçimini de gösterir:
id = 8 basamaklı kimlik
os = işletim sistemi
priv = ayrıcalık
kredi = kullanıcı adı
pcname = bilgisayar adı
avname = Avname
bulid_time = Truva atı derleme süresi
kart = akıllı kart takılıp takılmayacağı
Şekil 3-13 FlawedAmmyy uzaktan kumanda iletişiminin tipik akış özellikleri4. Örgütsel ilişki ve portre
Bu sefer yakalanan örnek ile önceki TA505 etkinlikleri arasındaki korelasyon:
(1) Çok sayıda xls belge örneğinin sahte sayfa formları ve kötü amaçlı makroları depolayan gizli formlar, TA505 kuruluşu Excel 4.0 kötü amaçlı makroları oluştururken oluşturulan gizli formların adlarıyla aynı olan Rusça olarak adlandırılır.
Şekil 4-1 TA505'ten önceki Rus örneğinde adlandırılan form adı Şekil 4-2 Dört eylem serisine yerleştirilen örneklerin adları önceki TA505 örnekleriyle tamamen aynıdır.Geri kalan örnek belgenin 18 Şubat'taki gövde içeriği Korece olsa da, varsayılan düzenleme dili hala Rusça'dır ve bu, TA505 tarafından Aralık 2018'de İspanyolca olarak düzenlenen saldırı belgesine çok benzer:
Şekil 4-318 Şubat'taki saldırı belgesinin varsayılan düzenleme dili Rusça'dır Şekil 4-4 TA505 kuruluşu tarafından 18 Aralık 2018'de kullanılan saldırı belgesinin İspanyolca versiyonu(2) 13 Şubat'taki kötü amaçlı makro belgenin ana gövdesinin içeriği TA505'ten önceki örnekle oldukça tutarlıydı, saldırının hedefi için yalnızca dil Korece ve Japonca olarak değiştirildi.
Şekil 4-5 Daha önce TA505 organizasyonu tarafından kullanılan saldırı belgesi metninin İngilizce ve İspanyolca versiyonu Şekil 4-613 Şubat'ta Güney Kore'ye yönelik örnek bir saldırı belgesinin metni(3) 27 Şubat ve 6 Mart'ta Güney Kore aleyhine gönderilen kötü amaçlı belgeler de aynı yöntemi 20 Şubat'ta Japonya'ya karşı kötü niyetli belgelerin gövdesini yeniden yazmak için kullandı:
Şekil 4-720 Şubat'ta Japonya'ya ve 27 Şubat ve 6 Mart'ta Güney Kore'ye yönelik saldırı belgesinin ana metniBazı kötü amaçlı makro indirme MSI Downloader'ın URL'si: "http: // *** 365officecom / agp", geçmişte TA505 tarafından kullanılan URL'nin aynısı: "http: // office365advancecom / update, http: // office365homepodcom / genhost , Http: // add3565officecom / rstr "ve" http: // local365officecom / content "ve" http: // office365idstorecom / std, http: // office365homedepcom / localdata, http: // office365idcom / WpnUserService "vb. Alışkanlıkta bazı benzerlikler vardır ve "*** 365officecom" alan adının kayıtlı e-posta adresi regprivate.ru'dur.
MSI downloader programı tarafından kullanılan dijital imzaların bir kısmı sadece Şubat ve Mart aylarında bulunan saldırılarda bulundu ve Japonya ve Güney Kore'ye yönelik bu saldırı dizileri için saldırganlar tarafından özel olarak hazırlanmış olmaları gerekiyordu. Bu dijital imzaların kayıtlı e-posta kısmı mail.ru, diğerleri gmail'dir, ancak gmail'e bağlı doğrulama e-posta adresi hala mail.ru'dur.
(4) Şu ana kadar gözlemlenen beş saldırı grubu arasında, konuşlandırılan son Truva atları çoğunlukla FlawedAmmyy uzaktan kumanda Truva atlarıdır. FlawedAmmyy uzaktan kumandası, ticari uzak masaüstü yazılımı Ammyy Admin V3'ün sızdırılan kaynak kodundan uyarlanmıştır ve TA505'in organize ettiği büyük kimlik avı e-posta saldırılarında defalarca ortaya çıkmıştır.
Yukarıdaki dört noktaya dayanarak, bu saldırı faaliyetlerinin ayrıntılarının, TA505 kuruluşunun yem belgeleri oluşturma, kötü amaçlı kodlar yerleştirme, alan adlarını kaydetme ve Truva atlarını uzaktan kontrol etme konusundaki önceki özelliklerini sürdürdüğü görülebilir. Bunlara ek olarak, saldırganların motivasyonu (botnet'leri kâr amaçlı getirme), çalışma tarzı (Truva atlarını hedef endüstrilere veya bölgelere ulaştırmak için çok sayıda kişiselleştirilmiş kimlik avı e-postası gönderme), taktikler (savunma kaçırma, kalıcı ikamet, komuta ve kontrol), teknoloji (Kötü amaçlı Excel 4.0 makroları, dijital imzalar), işlem (büyük ölçekli kimlik avı e-postalarının belge ekleri Rusça olarak adlandırılan gizli formlara yazılan kötü amaçlı Excel 4.0 makroları dijital imza Downloader ile MSI biçimini indiren makro kodu bellek şifre çözme ve FlawedAmmyy çalıştırıyor Kontrol Truva Atı) ve benzerleri de TA505'in özellikleriyle oldukça tutarlıdır.
Bununla birlikte, ağ altyapısı ve dijital imzaları ile ilgili herhangi bir kanıt bulunamadığından, yalnızca Japonya ve Güney Kore'ye yönelik beş büyük ölçekli organize saldırının 13 Şubat ile 7 Mart 2019 arasında gerçekleştiğinden şüphelenebiliriz. E-posta kimlik avı saldırıları, ikincisinin dünyada aktif, tanınmış bir siyah üretim kuruluşu olan TA505 olduğundan şüpheleniliyor.
Tablo 4-1 TA505 Organizasyon Özellikleri PortresiV. Özet
Mevcut bakış açısına göre, bu olay Japonya ve Güney Kore'deki finans sektörüne karşı geniş çaplı ve organize bir dizi yasa dışı faaliyet olmalıdır. Saldırganın amacı, kâr için botnet'leri geliştirmekti. Saldırganın saldırı niyetinden, çalışma tarzından, Teknik ve taktik süreç ve kullanılan Truva atları ve diğer faktörler ve ayrıntılar, ünlü siyah üretim organizasyonu TA505 ile çok tutarlıdır. TA505 kuruluşu, ilk olarak Eylül 2017'de Proofpoint tarafından ifşa edildi. 2014'ten bu yana, Truva atlarını teslim etmek için dünya genelindeki belirli hedef endüstrilere veya bölgelere sık sık çok sayıda kişiselleştirilmiş kimlik avı e-postası göndererek siyah üretim yoluyla yasadışı ekonomik faydalar elde etti.
* Yazar: antiylab, FreeBuf.COM'dan yeniden basılmıştır.