- Регистрация
- 24.11.2016
- Сообщения
- 706
- Репутация
Оригинал:
Следы большинства таргетированных атак в последние годы приводят в азиатский регион, где ярким пятном выделяются шанхайские серверы. В ходе расследований аналитики отмечают такие маркеры, как китайские IP-адреса, временные штампы, языковые настройки и софт, специфичные для Китая. Кто же устраивает кибератаки из-за «Великого китайского файрвола»?
Расследование масштабных целенаправленных атак порой занимает годы, поэтому подробности их проведения становятся известны далеко не сразу. Обычно к моменту их публикации все использованные уязвимости закрыты патчами, вредоносные компоненты добавлены в антивирусные базы, а C&C-серверы заблокированы. Однако в таких отчетах интересны методы, которые с небольшими изменениями продолжают использовать в новых атаках.
APT1 (aka Comment Crew)
Эта хакерская группа получила идентификатор за номером один и во многом способствовала популяризации термина Advanced Persistent Threat. Она установила своеобразный рекорд по количеству данных, украденных у одной организации: за десять месяцев APT1 выкачала 6,5 Тбайт документов со взломанных серверов.
Есть много свидетельств тому, что APT1 создана Минобороны КНР на базе подразделения 61398 Народно-освободительной армии Китая (НОАК). По мнению специалистов FireEye, она действует с 2006 года как отдельная структура Третьего управления Генштаба НОАК. За это время APT1 выполнила как минимум 141 таргетированную атаку. Назвать точное число сложно, поскольку часть инцидентов в сфере информационной безопасности замалчивается, а для известных атак не всегда удается доказать их принадлежность конкретной группе.
]Активность APT1 по регионам, изображение: fireeye.com
В соответствии с доктриной политического руководства страны «побеждать в информационных войнах» APT1 была реформирована и усилена в 2016 году.
Начало строительства новой базы APT1 в 2013 году, фото: DigitalGlobe
Сейчас она насчитывает в своем штате несколько тысяч людей. В основном состоит из выпускников
Географически штаб-квартира APT1 располагается в Пудуне (новый район Шанхая), где она владеет большим комплексом зданий. Входы в них охраняются, а на всем периметре действует контрольно-пропускной режим, как на военной базе.
КПП на базе APT1, фото: city8.com
Чтобы ускорить активную фазу атаки и замести следы, APT1 использовала «аэродромы подскока» — зараженные компьютеры, управляемые через RDP, и FTP-серверы, на которых размещалась боевая нагрузка. Все они географически располагались в том же регионе, где находились цели.
За двухлетний период наблюдений специалисты FireEye обнаружили 1905 случаев использования таких промежуточных узлов с 832 разных IP-адресов, причем 817 из них вели в шанхайские сети China Unicom и China Telecom, а регистрационные записи Whois прямо указывали на Пудун, где, кроме штаб-квартиры APT1, нет организаций сравнимого масштаба.
Управляли этими промежуточными узлами обычно при помощи прокси
В своих атаках APT1 использовала 42 бэкдора из разных семейств. Часть из них была написана давно, распространялась в даркнете или модифицировалась на заказ (Poison Ivy, Gh0st RAT и другие), но среди этого набора выделяется
Как и в других таргетированных атаках, в сценариях APT1 боевая нагрузка доставлялась на компьютеры жертв методами социального инжиниринга (в частности, spear phishing). Основная функциональность бэкдора Wualess содержалась в библиотеке wuauclt.dll, которую троян-дроппер из зараженного письма помещал на целевых компьютерах под управлением Windows в системный каталог (%SYSTEMROOT%\wuauclt.dll).
Затем бэкдор выполнял проверку на предшествующее заражение и при необходимости прописывал себя в реестре как сервис:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv "Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters "ServiceDll" = "%SystemRoot%\wuauclt.dll"
Далее бэкдор соединялся с одним из управляющих серверов через IRC:
Последний порт по умолчанию используется браузерами для соединения по HTTPS, поэтому обычно он не блокируется файрволами.
Получив команду, бэкдор выполнял одно из следующих действий:
Последняя особенность затрудняла полное удаление бэкдора, поскольку ОС обычно блокировала доступ к каталогу \System Volume Information\.
Более поздние модификации (например, Wualess.D) использовали случайные имена файлов, большой набор номеров портов для соединения с
C&C-серверами и запускались как скрытая копия процесса iexplore.exe.
Другой характерной чертой APT1 стало использование WEBC2-бэкдоров.
Они обладают минимальным набором функций (в основном используются для сбора сведений) и соединяются с управляющими серверами по типу браузера.
Бэкдор получает от сервера веб-страницу, в тегах которой содержатся управляющие команды. Такой трафик выглядит как сетевая активность
пользователя и обычно не вызывает подозрений у поведенческих анализаторов защитных систем.
Среди прочих техник обфускации трафика, используемых APT1, выделяются способы соединения с C&C-серверами у бэкдоров MaCroMaIL (имитирует
работу MSN Messenger), GLooxMaIL (имитирует клиент Jabber/XMPP) и CaLenDar (его обмен данными похож на синхронизацию гугловского
календаря).
Для сбора сведений о зараженных компьютерах APT1 использовала встроенные средства Windows, которые вызывались через батник (.bat),
создаваемый бэкдором по команде. Напомню, что знак > указывает на перенаправление вывода в файл вместо отображения на экране,
а расширение файла с логом не имеет значения, так как внутри это формат plain-text в кодировке ASCII/DOS.
@echo off // Отключение вывода команд
ipconfig /all > %TEMP%\ipconfig.log // Сохраняет полные сведения о настройке протокола IP, список всех сетевых адаптеров и их MAC-адресов
netstat -ano > %TEMP%\netstat.log // Отображает все сетевые подключения и открытые порты, указывает идентификатор каждого процесса и сетевые адреса в числовом формате
net start > %TEMP%\services.log // Перечисляет все запущенные службы Windows
tasklist /v > %TEMP%\tasks.lst // Генерирует список всех запущенных процессов и потребляемых ими вычислительных ресурсов
net user > %TEMP%\users.lst // Сохраняет список учетных записей Windows из локальной БД
net localgroup administrators > %TEMP%\admins.lst // Выводит перечень учетных записей, входящих в локальную группу «Администраторы»
net use > %TEMP%\shares.net // Отображает список подключений к общим сетевым ресурсам
net view > %TEMP%\hosts.dmn // Показывает список хостов в текущем домене или сети
Также при помощи соответствующих команд вида net group <cmd> сохраняется перечень администраторов домена, контроллеров домена,
серверов MS Exchange и другая информация о корпоративной сети.
Именно благодаря его примитивности данный способ сбора информации работал безотказно. Встроенные средства диагностики есть на любом
компьютере с любой версией Windows. Переменная %TEMP% избавляет от необходимости искать папку для сохранения логов. В каталог
для временных файлов может писать любой пользователь (и запущенный с его правами бэкдор). На файлы текстового формата (тем более — логи
стандартного вида) не ругается ни один антивирус, да и для пользователя они выглядят совершенно безобидно — примерно как сбор телеметрии от
Microsoft или рутинные проверки админа.
Единственное отличие заключалось в том, что собранные логи затем упаковывались в архив .rar и отправлялись на серверы APT1 для выбора
дальнейших целей. Чтобы усложнить анализ утечки данных, содержащий логи архив .rar создавался с ключом -hp (указывает на необходимость шифровать не только содержимое, но и сами имена файлов).
После сбора отчетов о системе начинался следующий этап атаки для получения пользовательских паролей. В основном на этом шаге также
использовались общедоступные утилиты, которые бэкдор запускал по команде C&C-сервера:
Все они распознаются как not-a-virus или hacktool и не вызывают срабатывания антивирусов при соответствующих настройках (игнорировать утилиты для аудита паролей).
Подобрав пару хеш — пароль (чаще всего — простейшими атаками по словарю), в APT1 получали возможность удаленно выполнять любые действия
от имени реального сотрудника компании. В том числе отправлять с его адреса и через его аккаунт в корпоративной сети (а также через его
учетку VPN) новые фишинговые письма для атаки на компьютеры руководства и партнерских организаций. Именно они и хранящиеся на них данные
становились конечной целью. В общей сложности APT1 ответственна за похищение информации о высокотехнологических разработках более чем у ста
крупных международных компаний и связанных с ними университетов. Многие цели были успешно атакованы несколько раз.
APT3 (UPS Team)
Предположительно связана с
— Министерством государственной безопасности КНР. Действует через Центр оценки информационных технологий Китая (CNITSEC) и Центр безопасности
ITSEC в Гуандуне.
Именно в деловой центр Гуандуна — Huapu Square West Tower ведут следы сразу нескольких крупных таргетированных атак. В нем находится
штаб-квартира компании Boyusec, которая наряду с Huawei и ZTE сотрудничает с Shanghai Adups Technology — ключевым партнером CNITSEC.
Huapu Square West Tower — предположительно одна из баз APT3, фото: DigitalGlobe
Так или иначе, APT3 — самая технически продвинутая группа. Использует в атаках 0day-уязвимости, кастомные бэкдоры, постоянно меняет набор
используемых C&C-серверов, инструментов и методов. Ее подходы хорошо иллюстрируют три крупные таргетированные атаки, подробнее о которых
будет рассказано ниже.
Операция «Подпольная лиса»
APT под названием Operation Clandestine Fox началась весной 2014 года. Она затронула IE с шестой по одиннадцатую версии, что согласно
В Clandestine Fox использовалась уязвимость
Динамическая память, или куча (heap), устроена так, что постоянно перезаписывается крупными блоками. Обычно на запрос следующего
свободного блока менеджер кучи выдает адрес того, который только что был освобожден каким-либо объектом (особенно если он такого же размера).
Суть атаки Use-after-free состоит в том, что после освобождения объектом памяти на адрес его блока еще какое-то время ссылается
указатель ptr при вызове методов данного объекта. Если сперва запросить выделение динамической памяти, а затем попытаться вызвать метод только
что освободившегося объекта, то менеджер кучи с большой вероятностью вернет нам старый адрес. Если в таблицу виртуальных методов (VMT,
Virtual Method Table) поместить указатель на вредоносный код, а саму VMT записать в начало нового блока памяти, то зловред запустится при вызове
метода хранившегося там ранее объекта.
Предотвратить такой сценарий атаки призван механизм рандомизированного выделения памяти — ASLR. Однако при операции
Clandestine Fox использовались простые методы его обхода.
Самый простой из них — задействовать модули, не поддерживающие ASLR. Например, старые библиотеки MSVCR71.DLL и HXDS.DLL, которые скомпилированы без новой опции /DYNAMICBASE. Они загружаются по одним и тем же адресам в памяти и на момент атаки присутствовали на большинстве компьютеров. MSVCR71.DLL загружается IE в Windows 7 (в частности, при попытке открыть страницу помощи, начинающуюся с ms-help://), а HXDS.DLL — при запуске приложений MS Office 2007 и 2010.
Дополнительно в Clandestine Fox использовалась техника, позволяющая обойти систему предотвращения выполнения данных (DEP), подробности о ней
стали известны только при анализе следующей атаки группы APT3.
Операция «Подпольный волк»
Фишинговая кампания Clandestine Wolf стала продолжением «подпольной лисы» и проводилась APT3 в 2015 году. Она стала одной из самых
эффективных, поскольку в ней использовалась ошибка переполнения буфера в Adobe Flash Player, для которой тогда не было патча. Уязвимость
взаимодействия с пользователем и в обход защитных систем.
В почтовой рассылке APT3 заманивала предложением купить восстановленные iMac по льготной цене. Ссылка в письме вела на
веб-страницу, содержащую flv-файл и запускающую эксплоит. Интересно, что эксплоит обходил встроенную защиту DEP (Data Execution Prevention),
перехватывая управление стеком (call stack) и выполняя атаку методом возвратно-ориентированного программирования —
При этой атаке вызывалась функция VirtualAlloc из Kernel32.dll и создавались указатели на внедренный шелл-код, а сам он помечался как
исполняемый.
Также эксплоит преодолевал второй слой защиты, эксплуатируя известные недостатки рандомизации адресного пространства (ASLR) и внедряя
исполняемый код в другие процессы (в основном в поток браузера).
Чтобы скрыть ROP-атаку, эксплоит на веб-странице был зашифрован (RC4), а ключ для его дешифровки извлекался скриптом из соседней
картинки. Поэтому антивирусная проверка зараженной веб-страницы тоже не обнаруживала ничего подозрительного.
В результате пользователю достаточно было кликнуть по ссылке, чтобы на его компьютер установился бэкдор. Ни встроенные методы защиты в ОС и
браузере, ни отдельные антивирусы не могли защитить от 0day-эксплоита.
Операция «Двойное нажатие»
Фишинговая кампания Double Tap проводилась осенью 2014 года с использованием двух свежих уязвимостей:
Эксплоиты запускались при помощи элемента iframe, внедряемого на страницы взломанных сайтов и HTML-писем. В качестве наживки на этот раз
было выбрано предложение о бесплатной подписке на месяц в клубе Playboy, дающей неограниченный доступ к фотографиям в высоком разрешении и Full
HD клипам. Ссылка вела на фейковый домен playboysplus.com.
После клика по ней на компьютер загружался файл install.exe размером 46 Кбайт. Это троян-дроппер, который не содержит вредоносных
функций и на момент начала атаки не детектировался антивирусами ни по сигнатурному, ни по эвристическому анализу. Он создавал два файла: doc.exe и test.exe в общем пользовательском каталоге C:\Users\Public\.
Этот жестко заданный путь отсутствовал на некоторых компьютерах, что уберегло их от заражения. Достаточно было использовать вместо него
переменную (например, %USERPROFILE% или %TEMP%), чтобы столь сложная атака не заглохла в самом начале из-за недоразумения с абсолютными путями.
Файл doc.exe поддерживал 64-битную архитектуру и содержал эксплоит уязвимости CVE-2014-4113. Он был нужен для того, чтобы попытаться
запустить бэкдор test.exe с правами системы. Проверка успешного запуска выполнялась консольной командой whoami.
В свою очередь, test.exe содержал код для эксплуатации уязвимости CVE-2014-6332, который был модификацией другого
В случае успеха бэкдор устанавливал SOCKS5-прокси и отправлял короткий запрос (05 01 00) на командный сервер первого уровня по адресу
192.157.198.103, TCP-порт 1913.
Если он отвечал 05 00, бэкдор соединялся с командным сервером второго уровня по адресу 192.184.60.229, TCP-порт 81. Затем он слушал его трехбайтовые команды и выполнял их.
В ходе развития атаки бэкдор получил апгрейд, а позже антивирусы стали детектировать его как Backdoor.APT.CookieCutter, aka
Чтобы снизить вероятность обнаружения, он загружался по адресу %USERPROFILE%/Application Data/ в виде файла mt.dat (часто *.dat исключаются из антивирусной проверки ради ее ускорения) и запускался отдельным командным файлом:
@echo off
cmd.exe /C start rundll32.exe "%USERPROFILE%\Application Data\mt.dat" UpdvaMt
Rundll32 — служебная консольная программа, позволяющая вызывать явно заданные функции, экспортируемые из динамических библиотек (DLL). Изначально она создавалась для внутреннего использования в Microsoft, но затем вошла в состав Windows (начиная с 95). Если другими средствами можно обратиться к библиотеке только с корректным расширением, то Rundll32 игнорирует расширения файлов.
Выводы
Судя по всплывающим фактам, в области кибербезопасности на правительство Китая работают крупные команды профессиональных хакеров. Часть из них официально считаются армейскими подразделениями – им оформляют допуск к государственной тайне и охраняют наравне со штабными связистами.
Другие действуют через коммерческие фирмы и выполняют атаки прямо из делового центра. Третьи – вольнонаёмные группы, которые часто сменяются.
Похоже, что последним поручают самые грязные дела, после чего некоторых сдают правоохранительным органам, чтобы обелить репутацию правящей партии. В случае прокола их просто назначают виноватыми и нанимают следующих.
Оригинал:
Код:
https://xakep.ru/2018/08/09/china-apt/Следы большинства таргетированных атак в последние годы приводят в азиатский регион, где ярким пятном выделяются шанхайские серверы. В ходе расследований аналитики отмечают такие маркеры, как китайские IP-адреса, временные штампы, языковые настройки и софт, специфичные для Китая. Кто же устраивает кибератаки из-за «Великого китайского файрвола»?
Расследование масштабных целенаправленных атак порой занимает годы, поэтому подробности их проведения становятся известны далеко не сразу. Обычно к моменту их публикации все использованные уязвимости закрыты патчами, вредоносные компоненты добавлены в антивирусные базы, а C&C-серверы заблокированы. Однако в таких отчетах интересны методы, которые с небольшими изменениями продолжают использовать в новых атаках.
APT1 (aka Comment Crew)
Эта хакерская группа получила идентификатор за номером один и во многом способствовала популяризации термина Advanced Persistent Threat. Она установила своеобразный рекорд по количеству данных, украденных у одной организации: за десять месяцев APT1 выкачала 6,5 Тбайт документов со взломанных серверов.
Есть много свидетельств тому, что APT1 создана Минобороны КНР на базе подразделения 61398 Народно-освободительной армии Китая (НОАК). По мнению специалистов FireEye, она действует с 2006 года как отдельная структура Третьего управления Генштаба НОАК. За это время APT1 выполнила как минимум 141 таргетированную атаку. Назвать точное число сложно, поскольку часть инцидентов в сфере информационной безопасности замалчивается, а для известных атак не всегда удается доказать их принадлежность конкретной группе.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
]Активность APT1 по регионам, изображение: fireeye.com
В соответствии с доктриной политического руководства страны «побеждать в информационных войнах» APT1 была реформирована и усилена в 2016 году.
Начало строительства новой базы APT1 в 2013 году, фото: DigitalGlobe
Сейчас она насчитывает в своем штате несколько тысяч людей. В основном состоит из выпускников
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
и
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
с хорошим знанием английского.Географически штаб-квартира APT1 располагается в Пудуне (новый район Шанхая), где она владеет большим комплексом зданий. Входы в них охраняются, а на всем периметре действует контрольно-пропускной режим, как на военной базе.
КПП на базе APT1, фото: city8.com
Чтобы ускорить активную фазу атаки и замести следы, APT1 использовала «аэродромы подскока» — зараженные компьютеры, управляемые через RDP, и FTP-серверы, на которых размещалась боевая нагрузка. Все они географически располагались в том же регионе, где находились цели.
За двухлетний период наблюдений специалисты FireEye обнаружили 1905 случаев использования таких промежуточных узлов с 832 разных IP-адресов, причем 817 из них вели в шанхайские сети China Unicom и China Telecom, а регистрационные записи Whois прямо указывали на Пудун, где, кроме штаб-квартиры APT1, нет организаций сравнимого масштаба.
Управляли этими промежуточными узлами обычно при помощи прокси
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
(HUC Packet Transmit Tool) с 937 разных серверов, контролируемых APT1.В своих атаках APT1 использовала 42 бэкдора из разных семейств. Часть из них была написана давно, распространялась в даркнете или модифицировалась на заказ (Poison Ivy, Gh0st RAT и другие), но среди этого набора выделяется
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
и его более поздние модификации. Похоже, это собственная разработка APT1.Как и в других таргетированных атаках, в сценариях APT1 боевая нагрузка доставлялась на компьютеры жертв методами социального инжиниринга (в частности, spear phishing). Основная функциональность бэкдора Wualess содержалась в библиотеке wuauclt.dll, которую троян-дроппер из зараженного письма помещал на целевых компьютерах под управлением Windows в системный каталог (%SYSTEMROOT%\wuauclt.dll).
Затем бэкдор выполнял проверку на предшествующее заражение и при необходимости прописывал себя в реестре как сервис:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv "Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters "ServiceDll" = "%SystemRoot%\wuauclt.dll"
Далее бэкдор соединялся с одним из управляющих серверов через IRC:
- NameLess.3322.org, TCP-порт 5202;
- sb.hugesoft.org, TCP-порт 443.
Последний порт по умолчанию используется браузерами для соединения по HTTPS, поэтому обычно он не блокируется файрволами.
Получив команду, бэкдор выполнял одно из следующих действий:
- проверял скорость подключения;
- собирал и отправлял данные о системе и пользователях;
- делал скриншот и отсылал его;
- очищал DNS-кеш и подменял записи в нем;
- скачивал и запускал на выполнение очередной зловред;
- завершал указанные процессы в памяти;
- искал и отправлял файлы, соответствующие указанным критериям (в основном документы офисных форматов и архивы);
- обновлял свою версию;
- сохранял свою копию в точке восстановления (System Volume Information)
Последняя особенность затрудняла полное удаление бэкдора, поскольку ОС обычно блокировала доступ к каталогу \System Volume Information\.
Более поздние модификации (например, Wualess.D) использовали случайные имена файлов, большой набор номеров портов для соединения с
C&C-серверами и запускались как скрытая копия процесса iexplore.exe.
Другой характерной чертой APT1 стало использование WEBC2-бэкдоров.
Они обладают минимальным набором функций (в основном используются для сбора сведений) и соединяются с управляющими серверами по типу браузера.
Бэкдор получает от сервера веб-страницу, в тегах которой содержатся управляющие команды. Такой трафик выглядит как сетевая активность
пользователя и обычно не вызывает подозрений у поведенческих анализаторов защитных систем.
Среди прочих техник обфускации трафика, используемых APT1, выделяются способы соединения с C&C-серверами у бэкдоров MaCroMaIL (имитирует
работу MSN Messenger), GLooxMaIL (имитирует клиент Jabber/XMPP) и CaLenDar (его обмен данными похож на синхронизацию гугловского
календаря).
Для сбора сведений о зараженных компьютерах APT1 использовала встроенные средства Windows, которые вызывались через батник (.bat),
создаваемый бэкдором по команде. Напомню, что знак > указывает на перенаправление вывода в файл вместо отображения на экране,
а расширение файла с логом не имеет значения, так как внутри это формат plain-text в кодировке ASCII/DOS.
@echo off // Отключение вывода команд
ipconfig /all > %TEMP%\ipconfig.log // Сохраняет полные сведения о настройке протокола IP, список всех сетевых адаптеров и их MAC-адресов
netstat -ano > %TEMP%\netstat.log // Отображает все сетевые подключения и открытые порты, указывает идентификатор каждого процесса и сетевые адреса в числовом формате
net start > %TEMP%\services.log // Перечисляет все запущенные службы Windows
tasklist /v > %TEMP%\tasks.lst // Генерирует список всех запущенных процессов и потребляемых ими вычислительных ресурсов
net user > %TEMP%\users.lst // Сохраняет список учетных записей Windows из локальной БД
net localgroup administrators > %TEMP%\admins.lst // Выводит перечень учетных записей, входящих в локальную группу «Администраторы»
net use > %TEMP%\shares.net // Отображает список подключений к общим сетевым ресурсам
net view > %TEMP%\hosts.dmn // Показывает список хостов в текущем домене или сети
Также при помощи соответствующих команд вида net group <cmd> сохраняется перечень администраторов домена, контроллеров домена,
серверов MS Exchange и другая информация о корпоративной сети.
Именно благодаря его примитивности данный способ сбора информации работал безотказно. Встроенные средства диагностики есть на любом
компьютере с любой версией Windows. Переменная %TEMP% избавляет от необходимости искать папку для сохранения логов. В каталог
для временных файлов может писать любой пользователь (и запущенный с его правами бэкдор). На файлы текстового формата (тем более — логи
стандартного вида) не ругается ни один антивирус, да и для пользователя они выглядят совершенно безобидно — примерно как сбор телеметрии от
Microsoft или рутинные проверки админа.
Единственное отличие заключалось в том, что собранные логи затем упаковывались в архив .rar и отправлялись на серверы APT1 для выбора
дальнейших целей. Чтобы усложнить анализ утечки данных, содержащий логи архив .rar создавался с ключом -hp (указывает на необходимость шифровать не только содержимое, но и сами имена файлов).
После сбора отчетов о системе начинался следующий этап атаки для получения пользовательских паролей. В основном на этом шаге также
использовались общедоступные утилиты, которые бэкдор запускал по команде C&C-сервера:
- программа сбора NTLM-хешей паролей в Windows
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки;
- дампер парольных хешей
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки;
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки;
- gsecdump и другие утилиты от
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки;
- pass-the-hash toolkit и другие инструменты от
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки.
Все они распознаются как not-a-virus или hacktool и не вызывают срабатывания антивирусов при соответствующих настройках (игнорировать утилиты для аудита паролей).
Подобрав пару хеш — пароль (чаще всего — простейшими атаками по словарю), в APT1 получали возможность удаленно выполнять любые действия
от имени реального сотрудника компании. В том числе отправлять с его адреса и через его аккаунт в корпоративной сети (а также через его
учетку VPN) новые фишинговые письма для атаки на компьютеры руководства и партнерских организаций. Именно они и хранящиеся на них данные
становились конечной целью. В общей сложности APT1 ответственна за похищение информации о высокотехнологических разработках более чем у ста
крупных международных компаний и связанных с ними университетов. Многие цели были успешно атакованы несколько раз.
APT3 (UPS Team)
Предположительно связана с
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
— Министерством государственной безопасности КНР. Действует через Центр оценки информационных технологий Китая (CNITSEC) и Центр безопасности
ITSEC в Гуандуне.
Именно в деловой центр Гуандуна — Huapu Square West Tower ведут следы сразу нескольких крупных таргетированных атак. В нем находится
штаб-квартира компании Boyusec, которая наряду с Huawei и ZTE сотрудничает с Shanghai Adups Technology — ключевым партнером CNITSEC.
Huapu Square West Tower — предположительно одна из баз APT3, фото: DigitalGlobe
Так или иначе, APT3 — самая технически продвинутая группа. Использует в атаках 0day-уязвимости, кастомные бэкдоры, постоянно меняет набор
используемых C&C-серверов, инструментов и методов. Ее подходы хорошо иллюстрируют три крупные таргетированные атаки, подробнее о которых
будет рассказано ниже.
Операция «Подпольная лиса»
APT под названием Operation Clandestine Fox началась весной 2014 года. Она затронула IE с шестой по одиннадцатую версии, что согласно
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
суммарно составляло около трети всех браузеров на тот момент.В Clandestine Fox использовалась уязвимость
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, приводящая к атаке Use-after-free с использованием кучи.Динамическая память, или куча (heap), устроена так, что постоянно перезаписывается крупными блоками. Обычно на запрос следующего
свободного блока менеджер кучи выдает адрес того, который только что был освобожден каким-либо объектом (особенно если он такого же размера).
Суть атаки Use-after-free состоит в том, что после освобождения объектом памяти на адрес его блока еще какое-то время ссылается
указатель ptr при вызове методов данного объекта. Если сперва запросить выделение динамической памяти, а затем попытаться вызвать метод только
что освободившегося объекта, то менеджер кучи с большой вероятностью вернет нам старый адрес. Если в таблицу виртуальных методов (VMT,
Virtual Method Table) поместить указатель на вредоносный код, а саму VMT записать в начало нового блока памяти, то зловред запустится при вызове
метода хранившегося там ранее объекта.
Предотвратить такой сценарий атаки призван механизм рандомизированного выделения памяти — ASLR. Однако при операции
Clandestine Fox использовались простые методы его обхода.
Самый простой из них — задействовать модули, не поддерживающие ASLR. Например, старые библиотеки MSVCR71.DLL и HXDS.DLL, которые скомпилированы без новой опции /DYNAMICBASE. Они загружаются по одним и тем же адресам в памяти и на момент атаки присутствовали на большинстве компьютеров. MSVCR71.DLL загружается IE в Windows 7 (в частности, при попытке открыть страницу помощи, начинающуюся с ms-help://), а HXDS.DLL — при запуске приложений MS Office 2007 и 2010.
Дополнительно в Clandestine Fox использовалась техника, позволяющая обойти систему предотвращения выполнения данных (DEP), подробности о ней
стали известны только при анализе следующей атаки группы APT3.
Операция «Подпольный волк»
Фишинговая кампания Clandestine Wolf стала продолжением «подпольной лисы» и проводилась APT3 в 2015 году. Она стала одной из самых
эффективных, поскольку в ней использовалась ошибка переполнения буфера в Adobe Flash Player, для которой тогда не было патча. Уязвимость
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
затрагивала все актуальные на тот момент версии плеера для Windows, OS X и Linux. Она позволяла выполнить произвольный код почти безвзаимодействия с пользователем и в обход защитных систем.
В почтовой рассылке APT3 заманивала предложением купить восстановленные iMac по льготной цене. Ссылка в письме вела на
веб-страницу, содержащую flv-файл и запускающую эксплоит. Интересно, что эксплоит обходил встроенную защиту DEP (Data Execution Prevention),
перехватывая управление стеком (call stack) и выполняя атаку методом возвратно-ориентированного программирования —
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.При этой атаке вызывалась функция VirtualAlloc из Kernel32.dll и создавались указатели на внедренный шелл-код, а сам он помечался как
исполняемый.
Также эксплоит преодолевал второй слой защиты, эксплуатируя известные недостатки рандомизации адресного пространства (ASLR) и внедряя
исполняемый код в другие процессы (в основном в поток браузера).
Чтобы скрыть ROP-атаку, эксплоит на веб-странице был зашифрован (RC4), а ключ для его дешифровки извлекался скриптом из соседней
картинки. Поэтому антивирусная проверка зараженной веб-страницы тоже не обнаруживала ничего подозрительного.
В результате пользователю достаточно было кликнуть по ссылке, чтобы на его компьютер установился бэкдор. Ни встроенные методы защиты в ОС и
браузере, ни отдельные антивирусы не могли защитить от 0day-эксплоита.
Операция «Двойное нажатие»
Фишинговая кампания Double Tap проводилась осенью 2014 года с использованием двух свежих уязвимостей:
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки;
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.Эксплоиты запускались при помощи элемента iframe, внедряемого на страницы взломанных сайтов и HTML-писем. В качестве наживки на этот раз
было выбрано предложение о бесплатной подписке на месяц в клубе Playboy, дающей неограниченный доступ к фотографиям в высоком разрешении и Full
HD клипам. Ссылка вела на фейковый домен playboysplus.com.
После клика по ней на компьютер загружался файл install.exe размером 46 Кбайт. Это троян-дроппер, который не содержит вредоносных
функций и на момент начала атаки не детектировался антивирусами ни по сигнатурному, ни по эвристическому анализу. Он создавал два файла: doc.exe и test.exe в общем пользовательском каталоге C:\Users\Public\.
Этот жестко заданный путь отсутствовал на некоторых компьютерах, что уберегло их от заражения. Достаточно было использовать вместо него
переменную (например, %USERPROFILE% или %TEMP%), чтобы столь сложная атака не заглохла в самом начале из-за недоразумения с абсолютными путями.
Файл doc.exe поддерживал 64-битную архитектуру и содержал эксплоит уязвимости CVE-2014-4113. Он был нужен для того, чтобы попытаться
запустить бэкдор test.exe с правами системы. Проверка успешного запуска выполнялась консольной командой whoami.
В свою очередь, test.exe содержал код для эксплуатации уязвимости CVE-2014-6332, который был модификацией другого
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, входящего в состав Metasploit.В случае успеха бэкдор устанавливал SOCKS5-прокси и отправлял короткий запрос (05 01 00) на командный сервер первого уровня по адресу
192.157.198.103, TCP-порт 1913.
Если он отвечал 05 00, бэкдор соединялся с командным сервером второго уровня по адресу 192.184.60.229, TCP-порт 81. Затем он слушал его трехбайтовые команды и выполнял их.
В ходе развития атаки бэкдор получил апгрейд, а позже антивирусы стали детектировать его как Backdoor.APT.CookieCutter, aka
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.Чтобы снизить вероятность обнаружения, он загружался по адресу %USERPROFILE%/Application Data/ в виде файла mt.dat (часто *.dat исключаются из антивирусной проверки ради ее ускорения) и запускался отдельным командным файлом:
@echo off
cmd.exe /C start rundll32.exe "%USERPROFILE%\Application Data\mt.dat" UpdvaMt
Rundll32 — служебная консольная программа, позволяющая вызывать явно заданные функции, экспортируемые из динамических библиотек (DLL). Изначально она создавалась для внутреннего использования в Microsoft, но затем вошла в состав Windows (начиная с 95). Если другими средствами можно обратиться к библиотеке только с корректным расширением, то Rundll32 игнорирует расширения файлов.
Выводы
Судя по всплывающим фактам, в области кибербезопасности на правительство Китая работают крупные команды профессиональных хакеров. Часть из них официально считаются армейскими подразделениями – им оформляют допуск к государственной тайне и охраняют наравне со штабными связистами.
Другие действуют через коммерческие фирмы и выполняют атаки прямо из делового центра. Третьи – вольнонаёмные группы, которые часто сменяются.
Похоже, что последним поручают самые грязные дела, после чего некоторых сдают правоохранительным органам, чтобы обелить репутацию правящей партии. В случае прокола их просто назначают виноватыми и нанимают следующих.
Оригинал:
Код:
https://xakep.ru/2018/08/09/china-apt/