چندی پیش نخست وزیر استرالیا اسکات موریسون اعلام کرد دولت و نهادهای این کشور به صورت مستمر هدف حملات امنیتی از سوی دولت چین قرار دارند. در همین راستا سازمان امنیت سایبری استرلیا ACSC گزارش مفصلی در ارتباط با جزئیات فنی این حملات منتشر نمود. مطالعه چنین گزارش‌هایی که حاصل تحقیق و بررسی‌های سازمان‌های معتبری مانند ACSC می‌باشد به تیم شبکه و امنیت سازمان‌ها دیدگاه خوبی از حملات امنیتی خواهد داد. از این رو و به دلیل اهمیت این گزارش در سه قسمت و به زبان فارسی خلاصه‌ای از آن را در بخش گزارشات امنیتی آرمان داده پویان تهیه کردیم. در قسمت اول از این گزارش بررسی این کمپین، نحوه گرفتن دسترسی مهاجمان، روش‌های اجرای کد و چگونگی حفظ دسترسی بعد از نفوذ به شبکه قربانی پرداختیم. نکات قابل توجه در قسمت اول، استفاده مهاجمین از آسیب‌پذیری‌هایی نه چندان جدید در نرم افزارها و سرویس‌هایی بود که از طریق اینترنت قابل دسترس عموم بودند و همچنین استفاده از روش Spearphishing برای نفوذ به شبکه سازمان‌ها و شرکت‌ها. در قسمت اول جزئیات فنی در خصوص سواستفاده از آسیب‎‌پذیری‌های موجود و راه اندازی حملات فیشینگ مطرح شد. همچنین راهکارهای مهاجمین برای اجرای دستورات مورد نظرشان بعد از نفوذ به شبکه هدف و حفظ دسترسی بعد از آن مورد بررسی قرار گرفت. در این قسمت به روش‌هایی که این مهاجمین با استفاده از آن‌ها از دید راهکارهای امنیتی مخفی می‌مانند، چگونگی دسترسی یافتن به اطلاعات احراز هویت کاربران، راهکارهای مهاجمین برای حرکت بیشتر در شبکه و چگونگی جمع آوری اطلاعات پرداخته‌ایم.

مبهم‌سازی (Obfuscation)

طبق بررسی‌های انجام شده توسط ACSC، گروه‌های سایبری از روش‌های زیر برای مبهم‌سازی اطلاعات و فایل‌ها استفاده کرده‌اند:

استفاده از سیستم کدگذاری Base64 در فایل‌ها و رشته‌های موجود در ماکروهای آفیس، پاورشل و یا فایل‌های متعلق به سرورهای C&C

جداسازی پرونده‌ها و رشته‌هایی که قبل از استفاده واقعی، مجدداً سرهم شده‌اند

استفاده از فشرده‌سازی Gzip برای پوسته‌های وب و فشرده‌سازی RAR برای استخراج داده‌ها

DLL Search Order Hijacking

طبق بررسی‌های صورت گرفته، مهاجمین از این روش برای بارگذاری ابزار CobaltStrike استفاده کرده‌اند. بدین صورت که ابتدا یک فایل exe معتبر و مشکوک به حمله DLL search order hijacking در سیستم قربانی اجرا شده و فایل DLL مخرب را به جای DLL معتبر بارگذاری می‌کند. سپس این فایل مخرب، سربار CobaltStrike را استخراج و بارگذاری می‌کند. به عقیده ACSC، از این روش برای گریز از شناسایی استفاده می‌شود.

Software Packing

در این روش سعی میشود تا با فشرده سازی و یا رمزنگاری کدهای مخرب از شناسایی شدن آنها براساس ظاهر کد پیشگیری به عمل آید. در این حملات نیز مهاجمین برای عدم شناسایی بدافزار HTTPCore از ConfuserEx استفاده می‌کنند که یک Packer مخصوص باینری‌های .NET است.

حساب‌های کاربری معتبر

استفاده از حساب‌های کاربری و اطلاعات هویتی معتبر یکی دیگر از روش‌های مهاجمان سایبری برای گریز از سیستم‌های دفاعی است.

تغییر برچسب زمان (Timestomping)

در این حملات از روش Timestomping نیز برای جلوگیری از شناسایی توسط راهکارهای امنیتی استفاده شده است. یکی از رایج‌ترین روش‌هایی که در این حملات مورد استفاده قرار گرفته تطابق برچسب زمانی پوسته وب با پوشه والد، یک پوشه دیگر در همان دایرکتوری و یا با تغییر زمانی ک پوشه می‌باشد. طبق تحقیقات سازمان امنیت سایبری استرلیا این روش توسط مهاجمین تنها بر روی فایل‌هایی سیستمی انجام شده است که بر مبنای NTFS هستند.

سرویس وب

مهاجمین در بخش سرور فرمان و کنترل (C&C) از سرویس‌های تحت وب استفاده کرده‌اند. برای مثال از سرویس Dropbox برای توزیع پیوند‌های فیشینگ و سرویس OneDrive برای انتشار فایل‌های فیشینگ استفاده شده است. همچنین مهاجمین از آسیب‌پذیری Open URL Redirects موجود بر روی چند وب‌سایت معتبر به منظور مبهم‌سازی صفحات اینترنتی و افزایش اعتبار آن‌ها در نزد قربانی بهره‌برداری نموده ‌اند.

حذف فایل‌ها

بر اساس تحقیقات ACSC، تلاش‌هایی برای حذف شواهد حمله بر روی سیستم قربانی توسط مهاجمین صورت گرفته است.

رفع مبهم‌سازی و رمزگشایی اطلاعات

داده‌ها و فایل‌هایی که توسط مهاجمین کدگذاری شده بودند در این مرحله رمزگشایی شده‌اند.

استخراج نام‌های کاربری و گذرواژه‌ها

مهاجمین در برخی موارد  از ابزار مایکروسافتی ProcDump استفاده می‌کنند. آن‌ها استخراج اطلاعات احراز هویتی از LSASS را با استفاده از Dump کردن روندهای LSASS انجام می‌دهند. همچنین شواهدی مبنی بر استفاده مهاجمین از ابزار داخلی ویندوز به نام Ntdsutil برای تهیه کپی از دیتابیس اکتیودایرکتوری و دسترسی به حساب‌های کاربری ذخیره شده در DC نیز وجود دارد.

استخراج اطلاعات هویتی از فایل‌ها

طبق شواهد موجود، مهاجمین موفق به استخراج اطلاعات هویتی از فایل‌های اکسل حاوی کلمات عبور و همچنین اطلاعات کاربری ذخیره شده در Mailbox قربانیان شده‌اند. از این اطلاعات برای دسترسی به حساب‌های کاربری در آفیس ۳۶۵ و سایر حساب‌های کاربری در شبکه‌های اجتماعی استفاده شده است.

حمله Brute Force

بر اساس تحقیقات صورت گرفته، مهاجمین از حملات Brute Force برای دسترسی به کلیدهایی کرده‌اند که نرم افزار Telerik UI از آن‌ها استفاده می‌کند. مهاجمین از این کلید‌ها در راستای اکسپلویت این نرم افزار استفاده می‌کنند.

احراز هویت اجباری

در این روش یک سند Word ارسال می‌شود که حاوی یک تصویر جاسازی شده است و از پیوندی شبیه file://192.0.2.1/file.jpeg بارگذاری می‌گردد. این سرور تحت کنترل مهاجمین است. برای جلوگیری از این حمله باید پورت‌هایTCP با شماره  ۱۳۹ و ۴۴۵ و UDP 137 بر روی فایروال رصد شوند.

استراق سمع احراز هویت دو مرحله‌ای

بر اساس تحقیقات ACSC، مهاجمین هنوز موفق نشده‌اند تا احراز هویت دومرحله‌ای را دور بزنند. اما آن‌ها برخی از رایانامه‌های حاوی کد احراز هویت را در میانه راه دریافت کرده‌اند.

سرقت توکن دسترسی به برنامه

همانطور که در بخش “رایانامه‌های فیشینگ” اشاره شد، مهاجمین از ابزارهای سرقت توکن برای دسترسی به صندوق پستی آفیس ۳۶۵ استفاده نموده‌اند. مهاجمین این حمله را با ایجاد پیوندی جعلی و ارسال آن برای قربانی پیاده‌سازی کرده‌اند. در زیر یک نمونه از این پیوند‌ها آورده شده است:

https://login.microsoftonline.com/common/oauth2/v2.0/authorize?response_type=code&client_id&redirect_uri=https://malicious.example.com/oauth/api/microsoft/callback&scope= offline_access%20prople.read%20mail.readwrite&state=&response_mode=form_post

کشف سیستم از راه دور

مهاجمین با تولید جستارهای DNS و پاسخ‌هایی که از لاگ DNS داخلی ویندوز دریافت می‌کنند، قادر به دسترسی به Hostname و IP سیستم و شبکه قربانی شده‌اند.

Windows Remote Management

مهاجمین با استفاده از ابزار داخلی ویندوز (WinRM) از طریق پاورشل برای حرکت و نفوذ بیشتر در شبکه قربانی استفاده کرده‌اند.

Windows Admin Shares

بر اساس تحقیقات ACSC، مهاجمین از بخش Windows admin shares و پروتکل SMB برای جابجایی در شبکه قربانی استفاده کرده‌اند. یکی از کاربردهای این بخش انتقال فایل‌ها برای یک میزبان راه دور از طریق اشتراک منابع در شبکه (net  use  x:  \hostname\c$) و یا از طریق ابزارهای داخلی ویندوز مثل at.exe و schtasks.exe می‌باشد.

کپی فایل‌ها از راه دور

مهاجمین از طریق روش‌های کپی کردن فایل‌ها از راه دور از طریق Windows Admin Share حرکت و نفوذ بیشتر خود را در شبکه تسهیل بخشیده‌اند.

جمع‌آوری داده‌ها از سیستم محلی

بر اساس تحقیقات ACSC، مهاجمین به نحوی موفق به جمع‌آوری داده‌ها از سیستم‌های محلی (غیر شبکه) گردیده‌اند.

جمع‌آوری داده‌ها از منابع اشتراکی

طبق شواهد موجود، مهاجمین اطلاعاتی را ازمنابع به اشتراک گذاشته شده در شبکه نیز جمع‌آوری نموده‌اند.

دسته‌بندی داده‌ها

بررسی‌ها نشان می‌دهد که مهاجمین داده‌ها را در دو مسیر زیر دسته بندی کرده‌اند:

1. پوشه‌ای در دایرکتوری ریشه IIS که از طریق اینترنت قابل دسترس است. ۲٫ پوشه دلخواه مهاجم

ضمناً مسیرهای زیر نیز برای همین منظور توسط مهاجمین مورد استفاده قرار گرفته‌اند:

C:\ProgramData\

C:\ProgramData\.Lookup

C:\Windows\Temp

جمع‌آوری رایانامه‌ها

مهاجمین با استفاده از ابزارهای مختلفی اقدام به جمع‌آوری رایانامه‌های قربانیان کرده‌اند. برای مثال مهاجمین با بهره‌گیری از API سرویس Exchange Web Services (EWS) بر روی سرور Exchange و آفیس ۳۶۵، اقدام به سرقت اطلاعات هویتی نموده‌اند. همچنین برای تعامل با EWS از یک کتابخانه پایتون به نام ExchangeLib استفاده نموده و پس از احراز هویت از طریق NTLM موفق به شمارش و جمع‌آوری رایانامه‌های قربانیان گردیده‌اند.

برای کشف و جلوگیری از این حمله توصیه می‌گردد که لاگ‌های ثبت شده در Exchange IIS و Exchange EWS مورد بررسی قرار گیرد. این بخش حاوی اطلاعات مهمی مثل برچسب زمانی، روش‌های احراز هویت، حساب کاربری، آدرس آی‌پی و … می‌باشد. ضمناً تحقیقات ACSC نشان می‌دهد که مهاجمین از اطلاعات هویتی سرقت شده برای دسترسی به محتوای رایانامه قربانیان از طریق رابط کاربری تحت وب سرویس Outlook در آفیس ۳۶۵  استفاده نموده‌اند.

داده‌های جمع‌آوری شده از فضای ذخیره‌سازی ابری

شواهدی مبنی بر دسترسی و دانلود فایل‌ها از حساب‌های کاربری Dropbox قربانیان توسط مهاجمین وجود دارد. مهاجمین سایبری با استفاده از داده‌های جمع‌آوری شده از شبکه قربانی موفق به پیاده‌سازی این حمله شده‌اند.