اسکات موریسون نخست وزیر استرالیا چندی پیش اعلام کرد دولت و نهادهای این کشور هدف حملات مستمر و پیشرفته سایبری هستند که از یک منبع دولتی سرچشمه می گیرد. استرالیا، دولت چین را عامل اصلی در پشت این حملات می‌داند. اسکات موریسون روابط تیره و تار دو کشور را انگیزه اصلی چین دانسته، او همچنین اعلام کرده این حملات تا به حال موفق نبوده‌اند و منجر به نشت اطلاعات نشده‌اند. با این حال مرکز امنیت سایبری استرالیا (ACSC) گزارش مفصلی از روش‌ها و روندهای به کار رفته در این حملات منتشر کرده است. شما می‌توانید این گزارش را در چند قسمت و به زبان فارسی در بخش گزارشات امنیتی وب سایت آرمان داده پویان مطالعه نمایید.

عنوان “Copy-Paste” برای این کمپین بدلیل استفاده بیش از حد از کدهای اکسپلویت، پوسته‌های وب و سایر ابزارهایی که تقریبا از نسخه‌های متن باز کپی شده‌اند انتخاب شده است. در این حملات مهاجمین به سمت زیرساخت‌هایی رفته‌اند که در دسترس عموم هستند(از طریق اینترنت قابل دسترس هستند) و در این زیر‌ساخت‌ها بر روی آسیب‌پذیری‌های موجود که و وصله نشده‌اند تمرکز کرده‌اند. به طور مثال آسیب‌پذیری اجرای کد از راه دور در نرم افزار Telerik UI، آسیب‌پذیری deserialization در Microsoft Internet Information Services (IIS) و همچنین آسیب‌پذیری در Sharepoint 2019 و Citrix از جمله آسیب‌پذیری‌هایی هستند که در این حملات مورد استفاده قرار گرفته‌اند.

همچنین مهاجمین توانایی زیادی در بهره‌برداری از POC های منتشر شده برای هدف قرار دادن شبکه‌های مورد نظرشان و بعد از آن حفظ دسترسی‌شان و جست و جو برای آسیب‌پذیری‌های موجود در شبکه هدف نشان داده‌اند. طبق بررسی‌های صورت گرفته توسط  ACSC، مهاجمین در صورت عدم موفقیت در بکارگیری آسیب‌پذیری‌ها، از روش spearphishing برای نفوذ به سازمان‌های مورد نظرشان استفاده کرده‌اند:

• ارسال پیوند‌های منتهی به وب‌سایت‌های سرقت اطلاعات هویتی (harvesting websites)
• ارسال رایانامه به همراه پیوست‌های مخرب
• ارسال پیوند‌هایی برای فریب کاربران آفیس ۳۶۵ و همچنین ترغیب کاربران به کلیک بر روی پیوندهای مخرب

از روش‌هایی هستند که در این حملات مورد استفاده قرار گرفتند.

مرکز امنیت سایبری استرالیا (ACSC) راهکارهای زیر را برای کاهش تأثیرات این حمله موثر می‌داند:

• وصله نمودن سریع نرم‌افزارها، سیستم‌عامل‌ها و سایر دستگاه‌های متصل به اینترنت. سازمان‌ها باید اطمینان حاصل کنند که ضمن استفاده از آخرین نسخه سیستم‌عامل‌ها و نرم‌افزارها، وصله‌های امنیتی و راهکارهای پیشگیری در کمتر از ۴۸ ساعت اعمال شوند.
• استفاده از سیستم احراز هویت چندعاملی در کلیه خدمات دسترسی از راه دور از جمله رایانامه‌ها، پلتفرم‌های اشتراکی، شبکه‌های خصوصی مجازی (VPN) و سرویس دسترسی از راه دور
• علاوه بر موارد فوق، راهکارهای هشت‌گانه برای کاهش اثرات رخدادهای سایبری که توسط ACSC منتشر شده است نیز توصیه می‌گردد.

مهاجمین در این حملات برای گرفتن دسترسی اولیه از دو روش استفاده کردند. یکی استفاده از آسیب‌پذیری در نرم افزارها و سرویس‌هایی که از طریق اینترنت می‌توانستند به آن‌ها دسترسی یابند. اگر موفق به یافتن و یا سواستفاده از این آسیب‌پذیری‌ها نشده‌اند اقدام به راه اندازی حملات Spearphishing کرده‌اند. در ادامه به بررسی جزئیات این دو روش خواهیم پرداخت.

سوءاستفاده از آسیب‌پذیری‌ها

آسیب‌پذیری در نرم‌افزار Telerik UI  با شناسه مرجع CVE-2019-18935: یکی از آسیب‌پذیری‌هایی که توسط مهاجمین در این حملات به صورت گشترده‌ای مورد استفاده قرار گرفته آسیب‌پذیری اجرای کد از راه دور در نرم افزار Telerik UI است. زیرا بعد از سوءاستفاده از این آسیب‌پذیری قادر خواهند بود تا کدهای مورد نظر خود را در سمت مقابل اجرا نمایند. رایج‌ترین سربار استفاده شده در این حملات کدهای اکسپلویت کپی شده از یک PoC عمومی برای یک sleep test و reverse shell binary می‌باشد. چندین سربار (payload) دیگر نیز توسط مرکز امنیت سایبری استرالیا شناسایی شده است که عموما زمان‌هایی که مهاجمین در اجرای reverse shell موفق نبوده‌اند از آن‌ها استفاده کرده‌اند. این سربارها عبارتند از:

• سرباری که کارش اجرای یک PowerShell reverse shell می‌باشد.
• سرباری که کارش اجرای certutil.exe به منظور بارگذاری یک سربار دیگر است.
• سرباری که بدافزار باینری اجرا می‌کند (در این داکیومنت به عنوان HTTPCore شناخته می‌شود.)

آسیب‌پذیری در مدیریت VIEWSTATE در سرورهای IIS:  آسیب‌پذیری در بخش مدیریت VIEWSTATE در سرویس‌دهنده‌های IIS که به مهاجم اجازه بارگیری پوسته وب و ایجاد دسترسی برای تعاملات بعدی را می‌دهد. این آسیب‌پذیری از نوع deserialisation می‌باشد.

استفاده از آسیب‌پذیری در محصولات Citrix با شناسه مرجعCVE-2019-19781

آسیب‌پذیری Microsoft SharePoint با شناسه مرجع CVE-2019-0604 

SpearPhishing

مهاجمین در صورت عدم موفقیت در سوءاستفاده از برنامه‌های کاربردی عمومی، از روش‌های فیشینگ که در اینجا به آن‌ها اشاره خواهیم کرد استفاده کرده‌اند:

• مهاجمین در صورت عدم موفقیت در سوءاستفاده از برنامه‌های کاربردی عمومی، از روش‌های فیشینگ که در اینجا به آن‌ها اشاره خواهیم کرد استفاده خواهند کرد.
• وب‌سایت‌هایی برای سرقت اطلاعات هویتی (harvesting website): در این روش مهاجمین با ارسال رایانامه‌هایی حاوی پیوندهای مخرب، قربانیان را به صفحاتی هدایت می‌کنند که شامل فرم‌های ‌ HTML برای سرقت اطلاعات هویتی و مشخصات کاربری هستند.
• فایل‌های پاورپوینت مخرب: مهاجمین با ارسال رایانامه‌های فیشینگ برای گروهی مشخص، کاربران را به دانلود اسناد آلوده که معمولاً بر روی سرویس‌های آنلاین DropBox یا OneDrive میزبانی می‌گردند ترغیب می‌نمایند.
• سرقت توکن OAuth: در صورت عدم موفقیت در موارد فوق، مهاجمین پیوند‌هایی را از طریق رایانامه برای قربانیان ارسال می‌کنند که با کلیک بر روی آن‌ها، توکن‌های احراز هویت قربانیان در اختیار مهاجمین قرار گرفته و از آن برای دسترسی به صندوق پستی آفیس ۳۶۵ استفاده می‌گردد.
• استفاده از سرویس ردیابی رایانامه: مهاجمین با ارسال رایانامه‌هایی حاوی محتوای ردیابی رایانامه و ترغیب کاربران به باز کردن محتوای فریبنده، آنان را به سمت این سرویس‌ها هدایت می‌نمایند.
• مهاجمین در صورت ناکام ماندن در موارد فوق، رایانامه‌های حاوی اسناد مخرب پاورپوینت را برای قربانیان خود ارسال می‌نمایند.

در این بخش به بررسی روش‌های حمله و اجرای کدهای مخرب در سیستم قربانیان می‌پردازیم:

زمان‌بندی اجرای برنامه‌ها

مهاجمین با بهره‌گیری از ابزارهای داخلی ویندوز از قبیل at.exe و schtasks.exe به اجرای نرم‌افزارها بر روی سیستم قربانی و جمع‌آوری داده‌ها از راه دور می‌پردازند.

رابط خط فرمان

رابط خط فرمان ویندوز (cmd.exe) به منظور اجرای برنامه‌ها و دستورات دلخواه مهاجمین بر روی سیستم قربانی استفاده می‌شود. نمونه‌ای از این دستورات را در زیر مشاهده می‌کنید:

C:\Windows\system32\cmd.exe  /c  powerShell.exe  –exec  bypass  –c  “”

اسکریپت‌ها

مهاجمین در حملات خود از اسکریپت‌های مختلفی از جمله JScript، Batch File و ماکروهای آفیس نیز استفاده می‌کنند. برای نمونه یکی از ماکروهای جاسازی شده در یک سند پاورپوینت که توسط مهاجمین مورد استفاده قرار می‌گیرد پس از شکستن یک رشته بزرگ هگزادسیمال به ۱۰۰ رشته کوچک، آن را در مسیر  %APPDATA%\Roaming\Microsoft\Word\STARTUP\Template.dotm  قرار داده و مقادیر زیر را برای پایداری در سیستم قربانی تنظیم می‌گردد:

کلید رجیستری: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\AddinLoadTimes

مقدار: %APPDATA%\Roaming\Microsoft\Word\STARTUP\Template.dotm

همچنین در مواردی مشاهده شده که مهاجمین سربارهای مبتنی بر JScript را از سرور فرمان و کنترل خود ارسال نموده و آن‌ها را بر روی سیستم مورد حمله اجرا می‌نمایند.

پاورشل

در برخی حملات، مهاجمین از اسکریپت‌های پاورشل برای فعالیت در سیستم قربانی استفاده می‌کنند. برای مثال در رابطه با اکسپلویت نرم‌افزار Telerik UI از یک پوسته وب معکوس پاورشل که توسط cmd.exe تولید شده، استفاده شده است.

اجرا از طریق API

مهاجمین با فراخوانی رابط برنامه‌نویسی نرم‌افزار (API) ویندوز ابزارها و دستورات مختلف را بر روی سیستم قربانی اجرا کرده‌اند.

اجرا از طریق کاربر

در این روش مهاجمین بدافزار HTTPCore را که قبلاً از طریق اکسپلویت کردن برنامه‌های کاربردی عمومی (مثل Telerik UI) در سیستم قربانی نصب شده است را مجدداً به منظور حفظ دسترسی‌شان و پایدار ماندن اجرا می‌نمایند.

همانطور که قبلاً نیز اشاره شد در برخی موارد با ارسال پیوند‌های مخرب، کاربران ناآگاه، فایل‌های پاورپوینت آلوده را باز می‌نمایند.

حساب‌های کاربری معتبر

مهاجمین پس از دسترسی به شبکه قربانیان و با در اختیار گرفتن اطلاعات هویتی آنان به رایانامه‌های قربانیان دسترسی پیدا خواهند کرد. حتی در صورت کشف و جلوگیری از سایر روش‌های حمله، استفاده از این اطلاعات هویتی، دسترسی مهاجمین به برخی از داده‌های قربانیان را تضمین می‌کند.

پوسته‌های وب

استفاده فراوان از پوسته‌های وب برای ایجاد پایداری و تعامل با سیستم قربانیان در این حملات مشاهده گردیده است. این پوسته‌های وب می‌توانند شامل فایل‌های تکی، کدهای مخرب و یا Backdoor باشند که در مسیرهای مختلف در سیستم قربانیان کپی می‌گردند. برخی اسامی مورد استفاده در این پوسته‌های وب عبارتند از  index.aspx، default.aspx، utility.aspx، test.aspx، Temp.aspx و xml.aspx.

دسترسی اضافی

تعدد استفاده از پوسته وب‌های مختلف در سیستم قربانیان نشان‌دهنده استفاده از روش‌های اضافی و جایگزین توسط مهاجمین برای دسترسی به اهداف مورد حمله می‌باشد.

استفاده از Startup ویندوز

مهاجمین در این حملات از ماکروهای آفیس که در بخش “اسکریپت‌ها”  به آن اشاره کردیم، برای حفظ دسترسی‌شان و پایدار ماندندر سیستم قربانی استفاده می‌کنند. این فایل‌ها معمولاً در سیستم قربانیان در مسیر AppData%\Roaming\Microsoft\Word\STARTUP\Template.dotm  قرار دارد و با هربار راه‌اندازی مجدد ویندوز، اجرا می‌گردند.

سوءاستفاده از آسیب‌پذیری برای بالا بردن سطح دسترسی

در بررسی‌های صورت گرفته توسط ACSC خانواده‌ای از اکسپلویت‌ها با عنوان RottenPotato/JuicyPotato شناسایی شده که از آن‌ها برای بالابردن سطح دسترسی در سیستم‌های آسیب‌پذیر استفاده می‌گردد. بدافزاری که اولین بار از این اکسپلویت استفاده کرد HTTPotato بود. مهاجمین پس از دسترسی به حساب کاربری سرویسIIS، برای اجرای اکسپلویت به مجوزهای SeImpersonatePrivilege  و  SeAssignPrimaryPrivilege  نیاز دارند. در صورت موفقیت‌آمیز بودن، دسترسی خود را تا سطح SYSTEM می‌توانند افزایش دهند. برای شناسایی روش‌های اشاره شده در این حملات، شاخص‌های زیر می‌بایست به Watch List در ابزارهای مانیتورینگ شبکه اضافه گردند:

Microsoft_Windows_RPC.InterfaceUuid  ==  {۹۹fcfec4-5260-101b-bbcb-00aa0021347a}  AND

Microsoft_Windows_RPD.NetworkAddress  ==  “۱۲۷٫۰٫۰٫۱”  AND

Microsoft_Windows_RPC.AuthenticationService  ==

Microsoft_Windows_RPC.AuthenticationServices.Value_9

ادامه دارد…