security

تلاش TrickBot برای ورود به شبکه

تلاش TrickBot برای ورود به شبکه

تیم FortiGuard SE، اواخر ماه آگوست در وب سایت Virus Total موفق به کشف حمله هدفمند جالبی شد. این حمله، یکی از تأمین کنندگان توزیع/لجستیک دولت ملی را هدف قرار داد. از قرار معلوم یک شرکت سازنده و توزیع کننده لوازم برقی، ایمیلی حاوی یک فایل ضمیمه ارسال کرده و از طریق ایمیل حداقل یک بار با سازمان هدف سروکار داشته است.

تلاش TrickBot برای ورود به شبکه

تیم FortiGuard SE، اواخر ماه آگوست در وب سایت Virus Total موفق به کشف حمله هدفمند جالبی شد. این حمله، یکی از تأمین کنندگان توزیع/لجستیک دولت ملی را هدف قرار داد. از قرار معلوم یک شرکت سازنده و توزیع کننده لوازم برقی، ایمیلی حاوی یک فایل ضمیمه ارسال کرده و از طریق ایمیل حداقل یک بار با سازمان هدف سروکار داشته است.

ما پس از آنالیز Header این ایمیل توانستیم بفهمیم که اسپم مخرب به صورت کاملاً «قانونی» از سوی ارسال کننده بوده است. ما از اصطلاح «قانونی» استفاده کردیم چون ایمیل اسپم مخرب از حساب واقعی ایمیل کاربر ارسال شده ولی اطلاع یا رضایتی در این مورد نداشته است. آدرس آی پی مبدأ (هنگام انتشار) در لیست سیاه قرار نگرفته بود و به نظر می رسید توسط کاربر یک ISP بزرگ محلی این اتفاق رخ داده است.

البته به این معنی نیست که ارسال کننده همان مجرم پشت این ایمیل مخرب است، چون احتمال مختل شدن ماشین قربانی با Trickbot (که در حال حاضر با یک ماژول اسپم هم یکپارچه شده است) زیاد است. این ماژول اسپم در طول فرایند آلوده سازی از فهرست آدرس ایمیل فرد استفاده می کرد تا فهرستی از آدرس های ایمیل را جمع آوری نماید و برای اسپم کردن قربانی های جدید، تکثیر خود، سرقت داده و فعالیت های مخرب دیگر استفاده کند.

 

تجزیه و تحلیل حمله

ایمیل هدف به کارمند بخش خرید/تأمین ارسال شد. جالب اینجاست که به نظر می رسد سازمان هدف نیز امنیت ایمیل را به خوبی رعایت می کرد که در شکل 1 نشان داده شده است. در واقع این ایمیل با هشدار خاصی همراه است که اعلام می کند از خارج سازمان و به عنوان اقدام احتیاطی به کاربر ارسال شده تا او را هوشیار کند، بخصوص وقتی که با لینک ها یا فایل های ضمیمه کار می کند.

شکل 1: ایمیل اسپم Trickbot با فایل ضمیمه مخرب

با این وجود شاید افراد باهوش بتوانند تشخیص دهند که این در واقع بخشی از اسپم TrickBot است و قابل تصحیح خواهد بود. شاید ناشران TrickBot توانسته اند به ایمیل یک عرضه کننده قانونی دسترسی پیدا کنند و با استفاده از استانداردهای مطلوب ایمیل، ظاهری مطلوب تر به ایمیل داده اند تا این سازمان را مورد هدف قرار دهند. در این حمله ناشران TrickBot از این استراتژی استفاده کردند تا با سوء استفاده از روش تست شده و صحیح مخفی سازی در ADS (استریم های داده جایگزین) همچنان از نظرها مخفی بمانند.

سند آفیس ضمیمه شده حاوی ماکروهای مخربی است که اسکریپتی را برای اجرا ایجاد می کنند.

شکل 2: نمونه ای از کاربرد ADS (استریم داده جایگزین)

محتوای ADS که برای افراد بی دقت و قربانی احتمالی ناشناس است در جایی قابل مشاهده از سند مخفی می شود.

تلاش TrickBot برای ورود به شبکه

شکل 3: 9800 خط کد جاوا اسکریپت مبهم سازی شده برای جلوگیری از آنالیز

ناشرین تنها با تغییر رنگ فونت به سفید، اسکریپت را مخفی می کنند. علاوه بر این ناشرین TrickBot حدود 9800 خط کد جاوا اسکریپت خود را مبهم سازی کرده اند. اما با رفع مبهم سازی و استفاده از پایتون، تصویری واضح تر نمایان می شود.

تلاش TrickBot برای ورود به شبکه

شکل 4: پس از خارج کردن از حالت مبهم و پاکسازی

پس از پاکسازی، اسکریپت به حدود 300 کد خوانا تبدیل شد که از قضا در برابر خطا مقاوم بود و از بلوک های try-catch متعددی استفاده می کرد. خود این اسکریپت فعالیت های شناسایی خود را انجام می داد. این اسکریپت برای کشف اطلاعات بیشتر در مورد ماشین آلوده مثل نسخه سیستم عامل و شناسه زبان، از WMI استفاده کرد. علاوه بر این نام سیستم کامپیوتر، سازنده، مدل و منطقه زمانی و همچنین نام ها و مسیرهای پردازش های سیستم را نیز جمع آوری کرد.

جالب اینجاست که اسکریپت نیز تلاش می کرد پردازش هایی را تحت نظر بگیرد که خاتمه یافته بودند. اما این داده ها نه ثبت شدند و نه مورد استفاده قرار گرفتند. ما تنها حدس می زنیم که این ویژگی برای توسعه آینده است و شاید زمانی در آن قرار گیرد.

این اسکریپت به جز جمع آوری اطلاعات، با اجرا از طریق لوپ های خالی متعدد قادر است اجرا را به تأخیر بیندازد (تا مانع از آنالیز سندباکس خودکار شود). علاوه بر این می تواند درایوهای جانبی و شبکه ای که به دنبال نوع فایل خاصی هستند را شمارش کند. اسکریپت برای این کار به دنبال فایل هایی با پسوند doc، xls، pdf، rtf، txt، pub و odt می گردد. اگر این نوع فایل ها پیدا شوند، اسکریپت یک نسخه از خود را با همان نام فایل جایگزین می کند، اما پسوند آن را به جاوا اسکریپت تغییر می دهد. در نتیجه می تواند ماشین های میزبان دیگر درون شبکه یا حتی خارج از آن را جمع آوری و آلوده و بدین طریق خسارات بیشتری به بار آورد.

این اسکریپت می تواند خود را آپدیت کند و همچنین توانایی دانلود و اجرای بدافزارهای دیگر را هم دارد. فایل های دانلود شده می توانند در ADS هایی مانند “in[random(10000)].txt:clause” در دایرکتوری temp ذخیره شوند. در گام بعدی اسکریپت می تواند خود را چک کند و بفهمد آیا سرور C2 با هدرهای سفارشی پاسخگوست و از این طریق محل ذخیره فایل های دانلود شده را تعیین می کند. در صورتی که فایل دانلود شده فایل اجرایی باشد، اسکریپت برای اجرای آن از PowerShell استفاده می کند.

سپس اسکریپت با سرور C2 زیر ارتباط برقرار می کند:

hxxps://185.180[.]199.91/angola/mabutu.php?pi=28h&tan=cezar&z=…&n=…&u=…&an=…

همانگونه که محققان دیگر قبلاً هم یادآور شده اند، این تاکتیک و حوزه به TrickBot مربوط می شود و مختص یک وب هاستینگ روسی است. اما آدرس آی پی در ایالات متحده قرار دارد که برای خرده فروشان اصلی فضای هاستینگ امری رایج است.

متأسفانه آنالیز جامع هیچ نشانه ای در اختیار ما قرار نداد تا با جمع آوری اطلاعات از آن، حمله اخیر را به عامل تهدید شناخته شده ای نسبت دهیم. ما تنها می توانیم فرض کنیم نبود اطلاعات در مورد آدرس آی پی مورد استفاده مهاجم به عنوان یک C2 بر این نکته تأکید دارد که این هم یک کمپین جدید خواهد بود، چون با جستجوی DNS ساده می توان پی برد که زیرساخت مجدداً مورد استفاده قرار نگرفته است.

ما با نگاه به تلمتری پژوهش خود شاهد جهش در کاربرانی بودیم که در یک بازه زمانی از این آدرس آی پی بازدید کرده اند و بدین طریق به ما نشان می دهد که این یک اسپم جدید TrickBot است. طبق گزارش های تلمتری این اسپم که از روز اولین کشف کمپین یعنی 28 آگوست بیش از 20 هزار بار موفق عمل کرده است.

تلاش TrickBot برای ورود به شبکه

شکل 5: جهش در تلمتری مشاهده شده در کمپین

بر اساس این تلمتری، بسیاری از اهداف کمپین اسپم TrickBot نیز ساکن ایالات متحده بودند (98 درصد) و لهستان و آلمان با کمتر از یک درصد به ترتیب در رتبه های دوم و سوم قرار گرفتند.

اگرچه به نظر می رسد ناشرین TrickBot در ساخت و استفاده از ماژول های مختلف برای بدافزار خود مهارت زیادی دارند اما روز به روز از تکنیک های بیشتری استفاده می کنند تا از نظرها پنهان بمانند. برای مثال آن ها خود را تنها به بهبود کارهای قابل اجرا محدود نمی کنند، بلکه مکانیزم های توزیع خود را نیز بهبود می دهند. برای مثال آن ها با استفاده از ADS شانس به دام افتادن خود را کاهش می دهند. اصطلاح بدافزار بانکداری در واقع یک شمشیر دو لبه محسوب می شود، چون Trickbot نیز قادر است اعتبارنامه های بانکی و … را به سرقت ببرد.

ناشران بدافزار اغلب برای دستیابی به بالاترین بازده سرمایه گذاری اغلب ساده ترین اهداف ممکن را در نظر می گیرند. مهاجمین اغلب به جای استفاده از تکنیک های پیچیده از ساده ترین نقطه ورود که معمولاً به خاطر خطاهای انسانی است استفاده می کنند. به همین دلیل است که حمله های اسپم مخرب اغلب حتی با وجود اقدامات مختلف تکنولوژی باز هم موفق اند. با وجود این که یک ماه از هالووین گذشته است اما کمپین های TrickBot دست از کار نکشیده اند و با این نمونه ها می بینیم که آن ها درهای سازمان های دولتی را «می زنند» تا اطلاعات بیشتری جمع آوری کنند.

ما به دلیل محدودیت های زمانی، هش های Trickbot احتمالی و بررسی نشده بیشتری را ارائه می کنیم که به کمپین اخیر مورد بحث ما مربوط می شوند:

4778c0029aa6bac0cd15e7abdf043e2e
53b1707fcb83d3140106c4d5e919c2c5
07c05a2e0a98d89edd40703e34f6c5e1
2fc60f978bb24db0ebab24558a4f55e0
48eec534b053c1100c94659c9aae1a28
535036011305d70443d83d22d98c8872
1f2a02b06ff44b7298ffff17d2d184ac
47fbcb420379ce5ee458f4f62356007e
a8ea9522d54f966b5cd4fd7962ed01d9
1b562a3f7b4baaa4248792f0f671a027
d4ece05e85650febcf151cf8fddd28ab
341356d8a700e854cb6d75eec9be2d34
27c00158b3988e8f92c7834a10549c73
1cd6a793fd9cdb3787a87ad14301d240
23a9c8f71934b1c8825d7055541dce52
b48feb9f021ab87026a30b20918c8b56
b5798c32592444a90cb5abaf28a95026
a105d8a102a9632df1402d04bd4e1005
a6e2b85d40f5694d13c36f1a4ef2e151
eeb00168aebf9b3c0e5607cf271ddc23

ATT&CK TTP Summary

Initial Access

T1193: Spearphishing Attachment
T1195: Supply Chain Compromise
Email came from a known supplier
T1199: Trusted Relationship
Email came from a known supplier
T1078: Valid Accounts
Email came from a legitimate account.

Execution

T1086: PowerShell
Powershell wscript /E:Jscript [dropped Alternate Data Streams script from malicious macro]
Powershell Start-Process –NoNewWindow –FilePath [downloaded file]

T1064: Scripting
Malicious macro embedded in MS Office document
%CSIDL_STARTUP%\normal.txt:$.$        (JavaScript ADS)

T1047: Windows Management Instrumentation
WMI Select * from Win32_OperatingSystem
WMI Select * from Win32_ComputerSystem
WMI Select * from Win32_Process
WMI Select * from Win32_ProcessStopTrace

Persistence

T1158: Hidden Files and Directories
%CSIDL_STARTUP%\normal.txt:$.$        (JavaScript ADS)

Defense Evasion

T1027: Obfuscated Files or Information
%CSIDL_STARTUP%\normal.txt:$.$        (obfuscated JavaScript ADS)

T1158: Hidden Files and Directories
%CSIDL_STARTUP%\normal.txt:$.$        (JavaScript ADS)

T1064: Scripting
%CSIDL_STARTUP%\normal.txt:$.$        (JavaScript ADS)

T1497: Virtualization/Sandbox Evasion
%CSIDL_STARTUP%\normal.txt:$.$        (JavaScript ADS) utilizes a delay loop to avoid immediately executing its malicious payload

Discovery

T1057: Process Discovery
WMI Select * from Win32_Process

T1082: System Information Discovery
WMI Select * from Win32_OperatingSystem
WMI Select * from Win32_ComputerSystem

T1077: Network Share Discovery
Script logs any shared network drives

T1083: File and Directory Discovery
Script logs files with .DOC, .XLS, .PDF, .RTF, .TXT, .PUB, .ODT extensions stored in removable and network drives

Lateral Movement

T1091: Replication Through Removable Media
Replaces any .DOC, .XLS, .PDF, .RTF, .TXT, .PUB, .ODT with a copy of the malicious JavaScript on all removable and network drives

Collection

T1119: Automated Collection

WMI Select * from Win32_Process
WMI Select * from Win32_OperatingSystem
WMI Select * from Win32_ComputerSystem

Command and Control

T1043: Commonly Used Port

TCP:443 (HTTPS)T1105: Remote File Copy
Script may download updates of itself or other malware and save as file “%TEMP%\in[1-10000].txt:clause”

T1071: Standard Application Layer Protocol

HTTPS

Exfiltration

T1020: Automated Exfiltration

May contact the following URI automatically after a delay of X seconds/minutes to exfiltrate data: hxxps://185.180.199.91/angola/mabutu.php?pi=…&tan=…&z=…&n=…&u=…&an=…

T1041: Exfiltration Over Command and Control Channel

Data is sent over the standard HTTPS connections

Impact

T1485: Data Destruction

این اسکریپت به جای فایل های با پسوند DOC، XLS، PDF، RTF، TXT، PUB و ODT یک کپی از جاوا اسکریپت مخرب را بر روی تمام درایوهای جانبی و شبکه قرار می دهد.

اقدامات دفاعی و کاهش ریسک

Initial Access (دسترسی اولیه): برای مسدود کردن فایل های این چنینی می توان از فورتی میل (FortiMail) یا راه حل های ایمیل دیگر استفاده کرد. علاوه بر این فورتی میل قادر است فایل های ضمیمه را به ATP (راه حل فورتی سندباکس) اجاره ای یا کلود ارسال کند تا رفتار مخرب فایل مشخص شود. فایروال های فورتی گیت به همراه آنتی ویروس و یک حق اشتراک معتبر نیز قادرند این تهدید را شناسایی و مسدود نمایند.

Execution (اجرا): افزایش آگاهی کاربر: به دلیل این که طبق گزارشات، تهدید از طریق مکانیزم های توزیع مهندسی اجتماعی توزیع می شود، بسیار مهم است که کاربران درون سازمان از انواع حملات توزیع شده با مهندسی اجتماعی آگاه شوند. این کار با دوره های آموزشی منظم و تست های فوری و با استفاده از قالب های از پیش تعریف شده بخش های امنیتی داخلی سازمان انجام می شود. افزایش آگاهی کاربر در مورد یافتن ایمیل های دارای فایل های ضمیمه یا لینک های مخرب می تواند دسترسی اولیه به شبکه را متوقف کند. در صورتی که این افزایش آگاهی ناموفق باشد و کاربر فایل ضمیمه یا لینک را باز کند، فورتی کلاینت (FortiClient) که جدیدترین امضاهای ویروس را دارد، این فایل و فایل های مربوط به آن را شناسایی و مسدود می کند.

فایل درون این حمله در حال حاضر با نام VBA/SDrop.5452!tr شناخته شده است.

Exfiltration & C&C: فورتی گیت با قرارگیری بر روی هر یک از نقاط ورودی و خروجی و فعال کردن سرویس Web Filtering آن به همراه آپدیت ها و/یا فعال کردن Botnet Security می تواند هر گونه اتصال خروجی قابل مشاهده را شناسایی و مسدود کند.

لازم به ذکر است که حملات روز به روز پیچیده تر می شوند، به طوری که گاهی به دلایل مختلف می توانند تجهیزات دفاعی شما را دور بزنند. به همین دلیل باید مطمئن شوید که توانایی شناسایی فعالیت های غیرعادی مخرب را دارید.

در نهایت Enterprise Bundle پاسخگوی این حمله و حملات دیگر است. Enterprise Bundle تمام سرویس های امنیت سایبری لازم برای محافظت و دفاع در برابر تمام کانال های حمله سایبری (از اندپوینت تا کلود) شامل دیوایس های IoT را به صورت یکپارچه در خود جای داده است و تجهیزات دفاعی لازم برای مقابله با تهدیدات پیشرفته امروزی و پاسخ به ریسک های چالش برانگیز، پیروی از قوانین، مدیریت، دیدپذیری و امنیت عملیاتی را در اختیار شما قرار می دهد.

تمام IOC های شبکه که در این گزارش نام برده شدند در لیست سیاه سرویس Web Filtering فورتی گارد قرار گرفته اند.

شاید این مطالب نیز برای شما جالب باشد

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون ما در دمیستو (Demisto) برای تهیه گزارش سالانه سوم در مورد وضعیت SOAR (هماهنگی، اتوماسیون و...

انتخاب انسیبل یا ترافرم برای F5 Application Services

انتخاب انسیبل یا ترافرم برای F5 Application Services

انتخاب انسیبل یا ترافرم برای F5 Application Services برای پیاده سازی و استفاده از F5 Application Services می توانید انسیبل (Ansible)، ترافرم (Terraform) یا هر دو را...

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک CNCF (بنیاد محاسبات کلود نیتیو) سال گذشته دست به یک تست نفوذ زد تا آسیب پذیری های...

از «دواپس علیه سکاپس» تا «دِوسِکاپس»

از «دواپس علیه سکاپس» تا «دِوسِکاپس»

از «دواپس علیه سکاپس» تا «دِوسِکاپس» دی.اچ.آی گروپ (DHI Group) در AWS (سرویس های وب آمازون) در حال فعالیت است. ما یک پلتفرم کاریابی را برای کسب و...

رویکرد زیروتراست در کلود

رویکرد زیروتراست در کلود

رویکرد زیروتراست در کلود اصطلاح زیروتراست (Zero Trust) بیش از ده سال قدمت دارد اما اخیراً با ورود کسب و کارها به حوزه محافظت از داده ها و...

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون

افزایش آگاهی تیم های امنیتی نسبت به اتوماسیون ما در دمیستو (Demisto) برای تهیه گزارش سالانه سوم در مورد وضعیت SOAR (هماهنگی، اتوماسیون و...

تلاش TrickBot برای ورود به شبکه

تلاش TrickBot برای ورود به شبکه

تلاش TrickBot برای ورود به شبکه تیم FortiGuard SE، اواخر ماه آگوست در وب سایت Virus Total موفق به کشف حمله هدفمند جالبی شد. این حمله، یکی از تأمین کنندگان...

انتخاب انسیبل یا ترافرم برای F5 Application Services

انتخاب انسیبل یا ترافرم برای F5 Application Services

انتخاب انسیبل یا ترافرم برای F5 Application Services برای پیاده سازی و استفاده از F5 Application Services می توانید انسیبل (Ansible)، ترافرم (Terraform) یا هر دو را...

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک

گزارش تست نفوذ کوبرنتیز: نکات گزارش و پاسخگویی توئیست لاک CNCF (بنیاد محاسبات کلود نیتیو) سال گذشته دست به یک تست نفوذ زد تا آسیب پذیری های...

از «دواپس علیه سکاپس» تا «دِوسِکاپس»

از «دواپس علیه سکاپس» تا «دِوسِکاپس»

از «دواپس علیه سکاپس» تا «دِوسِکاپس» دی.اچ.آی گروپ (DHI Group) در AWS (سرویس های وب آمازون) در حال فعالیت است. ما یک پلتفرم کاریابی را برای کسب و...

رویکرد زیروتراست در کلود

رویکرد زیروتراست در کلود

رویکرد زیروتراست در کلود اصطلاح زیروتراست (Zero Trust) بیش از ده سال قدمت دارد اما اخیراً با ورود کسب و کارها به حوزه محافظت از داده ها و...

اصالت کالا
پشتیبانی
گارانتی تعویض
پست پیشتاز