[Из песочницы] Собственное исследование, что нам могут рассказать открытые источники?

image

Вдохновившись статьей Group-IB о масштабной хакерской атаке на банки и предприятия от лица госучреждений решил разузнать про RTM немного больше.

Цель — не только найти причастных к данной атаке, но и показать насколько доступно проведение такого расследования при наличии хороших инструментов и некоторого технического бэкграунда.
Исходные данные из поста EditorGIB:

  1. 11 сентября 2018 года — начало массовой вредоносной рассылки

    »…в общей сложности с сентября до начала декабря хакеры отправили 11 073 писем с 2 900 различных электронных адресов, подделанных под госучреждения. Обнаружено около 900 различных доменов, связанных с адресами отправителей».

  2. По содержанию писем представлена информация:

    »…в качестве темы письма указывается «Отправка на четверг», «Служебная записка», «Оплата август-сентябрь», «Копии документов» и др.)».

  3. Информация о вредоносном коде — «Троян RTM».
  4. Сетевые идентификаторы: домен namecha.in и IP-адреса: 188.165.200.156, 185.190.82.182, 5.135.183.146, 151.80.147.153, 109.69.8.34.
  5. Согласно выводам аналитика от Group-IB:

    «Для получения IP-адреса «C&C» сервера происходит обращение к сайту «namecha.in».


Проверим, что знают сервисы hybrid-analysis.com, virustotal.com о namecha.in. Для расследования буду использовать продукт с названием Lampyre — позиционирующий себя как «Data analysis tool for everyone», по моим впечатлениям, продукт является результатом композиции i2, Maltego и видимо разработчики вдохновлялись Palantir-ом.

Исполнение запросов Hybridanalysis search, и Virustotal search дает следующий результат:

image

Видно, что, имена файлов, отправленных когда-то на проверку в сервис Hybrid-analysis, схожи с именами из отчета аналитиков Group-IB.

Исполним 2 запроса Hybridanalysis report by hash с входными данными report ids, и hashes из результата предыдущего отчета. Результаты запросов отправим на схему с первоначальным графом и очистим граф от объектов, в которых пока нет необходимости. В результате получаем:

image

Можно увидеть, что события на графе имеют самую раннюю дату в августе 2017 года, потом провал, и возобновление использования инфраструктуры с начала лета 2018 года.

Визуализируем результат от запроса к Virustotal

image

image

Подведем промежуточный итог по объектам и результатам:

  1. Hybrid-analysis:
    • 4 домена: stat-counter-3–1.bit, stat-counter-4–1.bit, stat-counter-6–1.bit, vpnrooter.bit;
    • 19 ip-адресов: 151.80.147.153, 94.156.189.28, 185.177.59.35, 185.203.117.161, 88.221.214.41, 195.123.225.58, 5.135.183.146, 91.92.136.232, 212.73.150.183, 204.85.32.91, 169.239.129.25, 216.58.213.132, 109.69.8.34, 185.190.82.182, 188.165.200.156, 216.58.213.131, 5.149.255.199, 104.28.17.33, 104.28.16.33
  2. Virsutotal:


Итак, возникают вопросы:

  1. Что за доменная зона *.bit;
  2. Что за urls к namecha.in и какие ответы.


Видно, что доменное имя stat-counter-3–1.bit из данных Hybrid-analysis похоже на url namecha.in/name/d/stat-counter-3–1 из Virustotal.

Изначально, я не имел представления о namecha.in, однако, в общих чертах выяснилось: существует проект Namecoin, еще одно использование технологий «blockchain».

Namecoin — основанная на технологии Bitcoin система хранения произвольных комбинаций вида «имя-значение», наиболее известным применением которой является система альтернативных корневых DNS-серверов.

Ресурс Namecha.in — альтернативный namecoin block explorer.

То есть по namecha.in/name/d/mail-ru-stat-counter-cdn вернется информация следующего содержания (сокращенно):

Status Active
Expires after block 461917 (30918 blocks to go)
Last update 2018–11–16 10:35:22 (block 425917)
Registered since 2018–06–13 19:44:47 (block 402893)
Current value {«ip»: [»185.203.117.161»]}


Operations

Date/time Operation Value
2018–11–16 10:35:22 OP_NAME_UPDATE {«ip»:[»185.203.117.161»]}
2018–07–30 14:05:46 OP_NAME_UPDATE {«ip»:[»195.123.226.143»]}
2018–07–18 11:35:27 OP_NAME_UPDATE {«ip»:[»185.82.219.79»]}
2018–06–13 19:44:47 OP_NAME_FIRSTUPDATE {«ip»:[»195.123.217.232»]}


Как видно, возвращается информация об ip-адресах указанного доменного имени (mail-ru-stat-counter-cdn.bit), в том числе с ретроспективой.

Кстати, проверить разрешение доменного имени в зоне bit возможно через nslookup с сервера 91.217.137.44 (взято с bitname.ru).

С помощью поиска на namecha.in, удалось найти следующие домены в зоне *.bit, которые по типу генерации и созданию, вполне возможно имеют родственное происхождение:

  1. namecha.in/name/d/ya-ru-stat-counter, ya-ru-stat-counter.bit;
  2. namecha.in/name/d/ya-ru-stat-counter-cdn, ya-ru-stat-counter-cdn.bit;
  3. namecha.in/name/d/stat-counter-3–1, stat-counter-3–1.bit;
  4. namecha.in/name/d/stat-counter-3–2, stat-counter-3–2.bit;
  5. namecha.in/name/d/stat-counter-4–1, stat-counter-4–1.bit;
  6. namecha.in/name/d/stat-counter-4–2, stat-counter-4–2.bit;
  7. namecha.in/name/d/stat-counter-6–1, stat-counter-6–1.bit;
  8. namecha.in/name/d/stat-counter-6–2, stat-counter-6–2.bit;
  9. namecha.in/name/d/mail-ru-stat, mail-ru-stat.bit;
  10. namecha.in/name/d/mail-ru-stat-cdn, mail-ru-stat-cdn.bit;
  11. namecha.in/name/d/mail-ru-stat-counter, mail-ru-stat-counter.bit;
  12. namecha.in/name/d/mail-ru-stat-counter-cdn, mail-ru-stat-counter-cdn.bit


Поэтому, с помощью запросов к namecha.in я собрал всю информацию по перечисленным доменам в зоне *.bit, сохранил информацию в csv файл с полями Datetime, IP, URL, Domain, импортировал в Lampyre и создал шаблон для графа.

Urls намекают на причастность к известным компаниям, однако тут возникают вопросы:

  • их структурная идентичность — полагаю, что если бы их действительно придумывали разные люди, то и их структура была бы разной.
  • IP адреса, в которые резолвятся эти записи, не имеют никакого отношения к этим двум компаниям, а принадлежат зарубежным хостерам. У обеих компаний есть свои ЦОДы за пределами РФ и вряд ли они бы стали размещать какие-то сервисы на хостингах. Но даже если бы и стали, то скорее всего добавили бы обратные ДНС записи к этим адресам.
  • Создается впечатление, что эти urls придумывали для того, чтобы замаскироваться под всем известные, российские сервисы.


image

В виде графа выглядит так (вершины с url — удалены с графа)

image

По графу можно увидеть, что инфраструктура из доменов *.bit готовилась с апреля 2018 года и продолжает использоваться по настоящее время. «Случайность» доменов и ip-адресов, как мне кажется — исключена.

Итак, отталкиваясь в самом начале от факта обращения трояна RTM к namecha.in, расследование пришло к некой устойчивой инфраструктуре — сети из ip-адресов, которые однозначно могут быть частью кампании по распространению вредоносного программного обеспечения.

Всего выявлено IP-адресов: из Hybrid-analysis — 19, со схемы с namecha.in и доменами *.bit — 31.

Всего 44 уникальных IP-адресов:

102.165.37.97, 104.28.16.33, 104.28.17.33, 109.69.8.34, 109.94.110.11, 109.94.110.12, 149.202.30.7, 151.80.147.153, 169.239.129.25, 173.242.124.143, 185.141.61.246, 185.141.62.222, 185.141.62.82, 185.177.59.35, 185.190.82.182, 185.203.117.161, 185.203.119.69, 185.205.210.184, 185.206.146.194, 185.82.219.79, 188.165.200.156, 193.37.212.134, 193.37.212.147, 193.37.212.183, 193.37.212.185, 195.123.217.232, 195.123.217.242, 195.123.225.58, 195.123.226.143, 195.123.245.184, 204.85.32.91, 212.73.150.183, 216.58.213.131, 216.58.213.132, 5.135.183.146, 5.149.255.199, 5.149.255.217, 54.38.49.245, 88.221.214.41, 91.92.136.133, 91.92.136.232, 94.156.144.112, 94.156.189.28, 94.156.35.107

А теперь, вернёмся к статье аналитика из Group-IB, к входным данным в наше исследование:

«Далее «RTM» пытается установить соединение с «C&C» сервером (были обнаружены следующие адреса: 188.165.200.156, 185.190.82.182, 5.135.183.146, 151.80.147.153, 109.69.8.34). Для получения IP-адреса «C&C» сервера происходит обращение к сайту «namecha.in».

Все эти 5 IP адресов нами были обнаружены уже по результатам первого запроса к Hybrid-analysis с аргументом namecha.in, и можно было бы заниматься только ими, но я продолжил дальше, чтобы постараться обнаружить другие IP адреса. В итоге — для анализа и исследования на предмет взаимосвязей доступны 44 IP адреса.

Уже есть понимание, что известные 5 IP-адресов должны быть как-то по каким-то признакам связаны, возможно в сети (на графе) будет очевидна связь и с другими 39 адресами, или они все будут образовывать интересную структуру.

Опять русские хакеры?


Очевидно, что и целями атак были российские предприятия, и файлы назывались по-русски, и отправка осуществлялась с различных электронных адресов, подделанных под госучреждения. Будут ли еще признаки русского следа? Что еще можно узнать по найденным выше IP — адресам?

Проверим принадлежность IP адресов к странам и получим такой результат: United States, Bulgaria, France, Austria, Canada, Czechia, Netherlands, Poland, South Africa, Spain.

image

image

Проверим были ли среди найденных 44 IP-адресов узлы сети Tor, лишним осуществить такую проверку не будет.

image

Обратим внимание, что IP 151.80.147.153 — с 2015 года регулярный узел сети TOR, nickname: DarkOVH, email: julles.reneau@post.com, — этот IP проходит по отчету аналитика Group-IB и отчетам Hybrid-analysis.

Проверим качали ли (раздавали) с этих IP-адресов torrents.

image

image

А вот сейчас, с моей стороны будет маленький трюк — так как статья готовилась в два подхода, то я уже обоснованно предполагаю, что 188.165.200.156 может использоваться кем-то русскоговорящим, но сейчас из скриншота и таблицы — это совсем не очевидно. Ранее, в первом подходе к написанию статьи, результат от исполнения поиска по torrents содержал наряду с другими такую информацию:

30.11.2018 14:36:00        30.11.2018 14:36:00     188.165.200.156         Пастырь (сезон 1) Preacher (2016).WEB-DL.720p.LostFilm                          1976    cd46d4168ee44f31fbefce4303e24cbbda2d2cafe8283fa30363bc6148455d1ac1130edad0c9237934c05bf6c2d857c7


То есть пользователь (ли) за этим IP — адресом понимает русскую речь? И да, 188.165.200.156 — это так же один из 5 интересных адресов.

Так вот, чтобы подтвердить предположение в рамках текущего наглядного расследования, что за IP 188.165.200.156 «сидит» кто-то очень похожий на «русского товарища» выделим следующую строку:

17.12.2018 18:18:00        17.12.2018 18:18:00     188.165.200.156 Books   2017-14 986     186a81cee9d9900f42f700bc53a9da08f5ba6cd2ab56b885e3157f063f203871e01c95d2877325710a1859a66c71a379


По id торрента направляем запрос Downloaded torrents info by ID и получаем ответ кто и с каких ip качал торрент с заданным id. Результат выглядит следующим образом:

image

Согласно таблице скачивающих и раздающих такой торрент — это всё русскоговорящие товарищи. Более того, Lampyre не скрывает, что использует результат сервиса iknowwhatyoudownload.com, и в принципе, любой может посмотреть содержание торрента, проследовав по ссылке — много файлов книг на русском языке.

Итоговая схема и странный ресурс


Комбинируя запросы из представленных в Lampyre и методы визуализации (укладка графа, удаление ненужных вершин, группировка вершин, изменения визуальных свойств вершин и рёбер графа) выстроилась такая схема.

image

В процессе возникали различные трудности, причем, по некоторым входным данным Hybrid-analysis показывал отсутствие информации, а сервис Virustotal по запросу из Lampyre возвращал один срез данных, при поиске из интерфейса по адресу www.virustotal.com/#/home/upload предоставлял другой набор данных, через поиск из интерфейса с адреса www.virustotal.com/gui/home/upload — самые полные данные. Несколько связей на итоговой схеме — составлены в Lampyre в ручном режиме создания ребер.

На мой взгляд, на схеме достаточно четко показана взаимосвязь ip-адресов, названия и hash значения вредоносных файлов. Выделяется область на графе из ip-адресов: 151.80.147.153, 188.165.200.156, 5.135.183.146, 54.38.49.245, 149.202.30.7,
IP-адреса установленные аналитиками GIB — 151.80.147.153, 188.165.200.156, 5.135.183.146, 185.190.82.182, 109.69.8.34

Как видно из схемы, IP-адреса, представленные в отчете GIB — 185.190.82.182, 109.69.8.34 связаны с hash: b0cde90e300e6d86394de375cd62bb462962016521d94ee987922e61c5e4977a, который в свою очередь связан с объектом Hybrid report — с вредоносом August.scr, который первый раз зафиксирован в августе 2017 года.

Следующее событие, связанное с вредоносной активностью, начинается с июня 2018 года и по нарастающей до конца 2018 года.

image

По-хорошему дальше расследование можно было бы продолжить, имея на руках логи доступа управления, регистрации, оплаты и так далее к IP адресам провайдера OVH. Но увы, таких данных нет, и расследование можно было бы завершать, но…

В ходе расследования, просматривая содержание web страниц ресурсов не выходил из головы французский ресурс arthurgarnier.fr

image

Стоит отметить, что не выходил он из головы, потому как с него качали (раздавали) русские торренты.

Ресурс якобы принадлежит французскому инженеру «Arthur Garnier», на ресурсе даже указано его резюме — arthurgarnier.fr/CV_A_Garnier.pdf. Из которого возможно узнать: github.com/ArthurGarnier, www.linkedin.com/in/arthur-garnier-13326880. Причем, согласно резюме, оно составлено на конец 2017 года, в github.com пишет крайне редко. В профиле www.linkedin.com указано, что с октября 2017 года по настоящее время Артур работает инженером в Groupe SII. И вроде бы ничего, но, то самое но… на странице помимо прочего указан адрес twitter аккаунта Артура twitter.com/Dark_Arthur

image

и тут при переходе в аккаунт

image

Кто стоит за этим профилем, почему на сайте Артура указан русскоязычный твиттер-аккаунт, а не предполагаемо настоящий, позже найденный, аккаунт: twitter.com/UpsiloN1X — остается вопросом.

В завершение, возможно сказать, конечно, заявленная изначально цель — не достигнута, но результаты такого исследования, равно и как и сам процесс познания оказался очень увлекательным.

Остались вопросы, по аккаунту в Twitter, по перечню IP адресов, почему столько информации про «русскоязычный след». Думаю, продолжить самостоятельное расследование возможно было бы обратившись к истинному Артуру, если он до сих пор управляет своим сервером (если сервер вообще его).

© Habrahabr.ru