گزارش امنیتی ACSC در خصوص حملات مستمر بر ضد دولت و نهادهای استرالیا
قسمت دوم
چندی پیش نخست وزیر استرالیا اسکات موریسون اعلام کرد دولت و نهادهای این کشور به صورت مستمر هدف حملات امنیتی از سوی دولت چین قرار دارند. در همین راستا سازمان امنیت سایبری استرلیا ACSC گزارش مفصلی در ارتباط با جزئیات فنی این حملات منتشر نمود. مطالعه چنین گزارشهایی که حاصل تحقیق و بررسیهای سازمانهای معتبری مانند ACSC میباشد به تیم شبکه و امنیت سازمانها دیدگاه خوبی از حملات امنیتی خواهد داد. از این رو و به دلیل اهمیت این گزارش در سه قسمت و به زبان فارسی خلاصهای از آن را در بخش گزارشات امنیتی آرمان داده پویان تهیه کردیم. در قسمت اول از این گزارش بررسی این کمپین، نحوه گرفتن دسترسی مهاجمان، روشهای اجرای کد و چگونگی حفظ دسترسی بعد از نفوذ به شبکه قربانی پرداختیم. نکات قابل توجه در قسمت اول، استفاده مهاجمین از آسیبپذیریهایی نه چندان جدید در نرم افزارها و سرویسهایی بود که از طریق اینترنت قابل دسترس عموم بودند و همچنین استفاده از روش Spearphishing برای نفوذ به شبکه سازمانها و شرکتها. در قسمت اول جزئیات فنی در خصوص سواستفاده از آسیبپذیریهای موجود و راه اندازی حملات فیشینگ مطرح شد. همچنین راهکارهای مهاجمین برای اجرای دستورات مورد نظرشان بعد از نفوذ به شبکه هدف و حفظ دسترسی بعد از آن مورد بررسی قرار گرفت. در این قسمت به روشهایی که این مهاجمین با استفاده از آنها از دید راهکارهای امنیتی مخفی میمانند، چگونگی دسترسی یافتن به اطلاعات احراز هویت کاربران، راهکارهای مهاجمین برای حرکت بیشتر در شبکه و چگونگی جمع آوری اطلاعات پرداختهایم.
جلوگیری از شناسایی و مقابله
مبهمسازی (Obfuscation)
طبق بررسیهای انجام شده توسط ACSC، گروههای سایبری از روشهای زیر برای مبهمسازی اطلاعات و فایلها استفاده کردهاند:
استفاده از سیستم کدگذاری Base64 در فایلها و رشتههای موجود در ماکروهای آفیس، پاورشل و یا فایلهای متعلق به سرورهای C&C
جداسازی پروندهها و رشتههایی که قبل از استفاده واقعی، مجدداً سرهم شدهاند
استفاده از فشردهسازی Gzip برای پوستههای وب و فشردهسازی RAR برای استخراج دادهها
DLL Search Order Hijacking
طبق بررسیهای صورت گرفته، مهاجمین از این روش برای بارگذاری ابزار CobaltStrike استفاده کردهاند. بدین صورت که ابتدا یک فایل exe معتبر و مشکوک به حمله DLL search order hijacking در سیستم قربانی اجرا شده و فایل DLL مخرب را به جای DLL معتبر بارگذاری میکند. سپس این فایل مخرب، سربار CobaltStrike را استخراج و بارگذاری میکند. به عقیده ACSC، از این روش برای گریز از شناسایی استفاده میشود.
Software Packing
در این روش سعی میشود تا با فشرده سازی و یا رمزنگاری کدهای مخرب از شناسایی شدن آنها براساس ظاهر کد پیشگیری به عمل آید. در این حملات نیز مهاجمین برای عدم شناسایی بدافزار HTTPCore از ConfuserEx استفاده میکنند که یک Packer مخصوص باینریهای .NET است.
حسابهای کاربری معتبر
استفاده از حسابهای کاربری و اطلاعات هویتی معتبر یکی دیگر از روشهای مهاجمان سایبری برای گریز از سیستمهای دفاعی است.
تغییر برچسب زمان (Timestomping)
در این حملات از روش Timestomping نیز برای جلوگیری از شناسایی توسط راهکارهای امنیتی استفاده شده است. یکی از رایجترین روشهایی که در این حملات مورد استفاده قرار گرفته تطابق برچسب زمانی پوسته وب با پوشه والد، یک پوشه دیگر در همان دایرکتوری و یا با تغییر زمانی ک پوشه میباشد. طبق تحقیقات سازمان امنیت سایبری استرلیا این روش توسط مهاجمین تنها بر روی فایلهایی سیستمی انجام شده است که بر مبنای NTFS هستند.
سرویس وب
مهاجمین در بخش سرور فرمان و کنترل (C&C) از سرویسهای تحت وب استفاده کردهاند. برای مثال از سرویس Dropbox برای توزیع پیوندهای فیشینگ و سرویس OneDrive برای انتشار فایلهای فیشینگ استفاده شده است. همچنین مهاجمین از آسیبپذیری Open URL Redirects موجود بر روی چند وبسایت معتبر به منظور مبهمسازی صفحات اینترنتی و افزایش اعتبار آنها در نزد قربانی بهرهبرداری نموده اند.
حذف فایلها
بر اساس تحقیقات ACSC، تلاشهایی برای حذف شواهد حمله بر روی سیستم قربانی توسط مهاجمین صورت گرفته است.
رفع مبهمسازی و رمزگشایی اطلاعات
دادهها و فایلهایی که توسط مهاجمین کدگذاری شده بودند در این مرحله رمزگشایی شدهاند.
دسترسی به اطلاعات هویتی
استخراج نامهای کاربری و گذرواژهها
مهاجمین در برخی موارد از ابزار مایکروسافتی ProcDump استفاده میکنند. آنها استخراج اطلاعات احراز هویتی از LSASS را با استفاده از Dump کردن روندهای LSASS انجام میدهند. همچنین شواهدی مبنی بر استفاده مهاجمین از ابزار داخلی ویندوز به نام Ntdsutil برای تهیه کپی از دیتابیس اکتیودایرکتوری و دسترسی به حسابهای کاربری ذخیره شده در DC نیز وجود دارد.
استخراج اطلاعات هویتی از فایلها
طبق شواهد موجود، مهاجمین موفق به استخراج اطلاعات هویتی از فایلهای اکسل حاوی کلمات عبور و همچنین اطلاعات کاربری ذخیره شده در Mailbox قربانیان شدهاند. از این اطلاعات برای دسترسی به حسابهای کاربری در آفیس ۳۶۵ و سایر حسابهای کاربری در شبکههای اجتماعی استفاده شده است.
حمله Brute Force
بر اساس تحقیقات صورت گرفته، مهاجمین از حملات Brute Force برای دسترسی به کلیدهایی کردهاند که نرم افزار Telerik UI از آنها استفاده میکند. مهاجمین از این کلیدها در راستای اکسپلویت این نرم افزار استفاده میکنند.
احراز هویت اجباری
در این روش یک سند Word ارسال میشود که حاوی یک تصویر جاسازی شده است و از پیوندی شبیه file://192.0.2.1/file.jpeg بارگذاری میگردد. این سرور تحت کنترل مهاجمین است. برای جلوگیری از این حمله باید پورتهایTCP با شماره ۱۳۹ و ۴۴۵ و UDP 137 بر روی فایروال رصد شوند.
استراق سمع احراز هویت دو مرحلهای
بر اساس تحقیقات ACSC، مهاجمین هنوز موفق نشدهاند تا احراز هویت دومرحلهای را دور بزنند. اما آنها برخی از رایانامههای حاوی کد احراز هویت را در میانه راه دریافت کردهاند.
سرقت توکن دسترسی به برنامه
همانطور که در بخش “رایانامههای فیشینگ” اشاره شد، مهاجمین از ابزارهای سرقت توکن برای دسترسی به صندوق پستی آفیس ۳۶۵ استفاده نمودهاند. مهاجمین این حمله را با ایجاد پیوندی جعلی و ارسال آن برای قربانی پیادهسازی کردهاند. در زیر یک نمونه از این پیوندها آورده شده است:
https://login.microsoftonline.com/common/oauth2/v2.0/authorize?response_type=code&client_id&redirect_uri=https://malicious.example.com/oauth/api/microsoft/callback&scope= offline_access%20prople.read%20mail.readwrite&state=&response_mode=form_post
کشف سیستم از راه دور
مهاجمین با تولید جستارهای DNS و پاسخهایی که از لاگ DNS داخلی ویندوز دریافت میکنند، قادر به دسترسی به Hostname و IP سیستم و شبکه قربانی شدهاند.
نفوذ بیشتر در شبکه هدف
Windows Remote Management
مهاجمین با استفاده از ابزار داخلی ویندوز (WinRM) از طریق پاورشل برای حرکت و نفوذ بیشتر در شبکه قربانی استفاده کردهاند.
Windows Admin Shares
بر اساس تحقیقات ACSC، مهاجمین از بخش Windows admin shares و پروتکل SMB برای جابجایی در شبکه قربانی استفاده کردهاند. یکی از کاربردهای این بخش انتقال فایلها برای یک میزبان راه دور از طریق اشتراک منابع در شبکه (net use x: \hostname\c$) و یا از طریق ابزارهای داخلی ویندوز مثل at.exe و schtasks.exe میباشد.
کپی فایلها از راه دور
مهاجمین از طریق روشهای کپی کردن فایلها از راه دور از طریق Windows Admin Share حرکت و نفوذ بیشتر خود را در شبکه تسهیل بخشیدهاند.
جمعآوری دادهها
جمعآوری دادهها از سیستم محلی
بر اساس تحقیقات ACSC، مهاجمین به نحوی موفق به جمعآوری دادهها از سیستمهای محلی (غیر شبکه) گردیدهاند.
جمعآوری دادهها از منابع اشتراکی
طبق شواهد موجود، مهاجمین اطلاعاتی را ازمنابع به اشتراک گذاشته شده در شبکه نیز جمعآوری نمودهاند.
دستهبندی دادهها
بررسیها نشان میدهد که مهاجمین دادهها را در دو مسیر زیر دسته بندی کردهاند:
- پوشهای در دایرکتوری ریشه IIS که از طریق اینترنت قابل دسترس است. ۲٫ پوشه دلخواه مهاجم
ضمناً مسیرهای زیر نیز برای همین منظور توسط مهاجمین مورد استفاده قرار گرفتهاند:
C:\ProgramData\
C:\ProgramData\.Lookup
C:\Windows\Temp
جمعآوری رایانامهها
مهاجمین با استفاده از ابزارهای مختلفی اقدام به جمعآوری رایانامههای قربانیان کردهاند. برای مثال مهاجمین با بهرهگیری از API سرویس Exchange Web Services (EWS) بر روی سرور Exchange و آفیس ۳۶۵، اقدام به سرقت اطلاعات هویتی نمودهاند. همچنین برای تعامل با EWS از یک کتابخانه پایتون به نام ExchangeLib استفاده نموده و پس از احراز هویت از طریق NTLM موفق به شمارش و جمعآوری رایانامههای قربانیان گردیدهاند.
برای کشف و جلوگیری از این حمله توصیه میگردد که لاگهای ثبت شده در Exchange IIS و Exchange EWS مورد بررسی قرار گیرد. این بخش حاوی اطلاعات مهمی مثل برچسب زمانی، روشهای احراز هویت، حساب کاربری، آدرس آیپی و … میباشد. ضمناً تحقیقات ACSC نشان میدهد که مهاجمین از اطلاعات هویتی سرقت شده برای دسترسی به محتوای رایانامه قربانیان از طریق رابط کاربری تحت وب سرویس Outlook در آفیس ۳۶۵ استفاده نمودهاند.
دادههای جمعآوری شده از فضای ذخیرهسازی ابری
شواهدی مبنی بر دسترسی و دانلود فایلها از حسابهای کاربری Dropbox قربانیان توسط مهاجمین وجود دارد. مهاجمین سایبری با استفاده از دادههای جمعآوری شده از شبکه قربانی موفق به پیادهسازی این حمله شدهاند.