Фишинговая атака в Angara Security: расследование инцидента
Никита Леокумович, руководитель отдела реагирования и цифровой криминалистики Angara SOC, поделился опытом, как «невинное» письмо из «отдела кадров» может привести к серьезным последствиям для компании.
Среди киберпреступлений фишинг — это наиболее распространенный тип атаки для получения учетных данных, в том числе для последующего проникновения во внутреннюю сеть организаций и распространения вредоносного программного обеспечения (далее — ВПО).
Чтобы повысить эффективность таких фишинговых атак, в частности, чтобы привлечь внимание, улучшить структуру и визуальную составляющую сообщений, хакеры используют новостную и политическую повестку. Это позволяет оказывать определенное моральное давление на получателей, особенно, если приходит от «государственной организации» и затрагивает чувствительные темы.
Распространение ChatGPT позволяет преступникам создавать эффективные с т.з. содержания и структуры сообщения, даже если вектор атаки нацелен на адресатов в другой языковой среде. Если раньше одним из методов распознания фишинговых сообщений было выявление ошибок, неточностей или необычного слога при составлении письма, то сейчас использование ChatGPT может полностью исключить такие промахи со стороны атакующих.
За 2023 год резко выросло число фишинговых писем, связанных с рабочими процессами. Вместе с тем процент атак на компании, проведенных посредством отправки фишинговых писем по почте, содержащих во вложениях ВПО под видом легитимных файлов либо гиперссылок на них, составил более 50%.
Как бы хорошо ни была защищена компания и какое бы большое количество средств защиты информации (далее — СЗИ) не применялось, полностью исключить вероятность кибератаки нельзя. Серебряной пули или волшебной таблетки не существует.
Представим ситуацию: ваша компания просчитывает все риски, чтобы не допустить репутационных, финансовых потерь и иных простоев процессов. Более того, имеет в своем распоряжении знания и силы для выстраивания процессов, отслеживания и анализа событий информационной безопасности, проводит инструктажи и регулярные тренинги по киберграмотности для сотрудников, в частности о том, как правильно реагировать на поступающие электронные письма и почему не следует переходить на незнакомые или подозрительные ресурсы.
Такой подход правилен и должен быть базой для любой компании. Однако это не мешает злоумышленнику «попытать удачу», тем более, если речь идет о таргетированных атаках. Электронная почта и по сей день остается одним из самых эффективных векторов проникновения в корпоративную сеть. Для этого могут применяться различные методы и техники фишинга, использующие человеческий фактор. Например, метод спуфинга (от англ. spoofing), т.е. замена реального доменного имени одним или несколькими символами для маскировки под конкретное лицо или организацию, которая может быть не сразу заметна.
Для иллюстрации этого метода разберем в деталях кейс…из практики Angara Security.
26 мая 2023 года в 12:23 (UTC+3) на адреса корпоративной почты сотрудников IT-отдела компании Angara Security пришли письма, которые, казалось бы, напрямую связаны с рабочим процессом:
Фрагмент фишингового письма
На первый взгляд, это обычное внутрикорпоративное письмо, которое не вызывает никаких подозрений, тем более, что отправитель и получатель — реальные действующие сотрудники компании (что указывает на хорошую проработку и попытку реализации целевого фишинга злоумышленниками).
Но если посмотреть шире, то при визуальном анализе можно заметить ряд моментов, которые указывают на наличие следов фишинга.
Так, например, следует обратить внимание на адрес отправителя: p.vanina@angara-security[.]ru. Основное отличие реального доменного имени от представленного заключается в одном символе »-», т.е. был применен метод тайпсквоттинга (от англ. typosquatting), а также спуфинга электронной почты.
При анализе текстового содержимого письма видно, что дополнительные вложения отсутствуют, однако существуют две гиперссылки, вшитые в двух фразах «во вложении», при переходе по которым автоматически скачивается содержимое с нелегитимного домена.
Детект команды SOC
Спустя пару минут, в тот же день в 12:30 (UTC+3) в SOC-центр компании Angara Security поступило сообщение о подозрительных событиях, а именно, было зарегистрировано срабатывание правила корреляции c общим названием »Доставка почтового сообщения с вредоносным вложением», что позволило зафиксировать, предупредить сотрудников и пресечь дальнейшее распространение и «заражение» внутренней системы организации.
Первичная аналитика показала, что письмо поступило с внешнего адреса p.vanina@angara-security[.]ru, который имитирует адрес реального сотрудника HR-отдела.
В процессе изучения журналов почтовых СЗИ мы выяснили, что внешний адресат p.vanina@angara-security[.]ru массово рассылал сообщения на множество внутренних почтовых адресов компании с темой «Пропуск рабочих дней». В каждом письме находилось заархивированное вложение »Табель учета рабочего времени.zip», предположительно, хранящее вредоносные файлы.
Затем мы направили нашему заказчику (стоит объяснить, что подразделение Angara SOC оказывает услуги компании Angara Security на общих основаниях) уведомление об инциденте с указанием внешнего адреса злоумышленника, списка затронутых почтовых адресов и первичными рекомендациями.
В ходе дальнейшего расследования и получения информации, а именно, был ли загружен данный архив кем-то из сотрудников, мы проверяли, не остались ли следы одноименного файла во временных директориях от используемых почтовых клиентов. В результате обнаружили, что один из пользователей открывал вложение почти сразу после его получения. В результате были созданы следующие исполняемые файлы с маскировкой под таблицу Excel и PDF-файл (детальный анализ вложений приведен ниже по тексту):
Табель учета рабочего времени 2023 год.xlsx.exe
СМК Правила оформления больничных листов.pdf.exe
По найденным событиям мы направили заказчику дополнительное письмо с развернутым расследованием, в котором отметили затронутые хосты (в нашем случае, был всего один), учетные записи, список индикаторов компрометации (имен файлов, хеш-значений), а также рекомендации по митигации рисков. В ходе пост-расследования мы также направляли нашим коллегам информацию по новым хостам, на которых была зафиксирована активность событий с вредоносными вложениями.
После поступления данного письма на корпоративную почту сотрудникам компании и сработки команды SOC, задача перешла команде DFIRMA для анализа содержимого объекта исследования.
Анализ письма
Помимо визуального анализа содержимого электронного письма (выше), мы провели исследование заголовков (Email Header Analysis). Самую интересную информацию, которая считается достоверной, содержит поле Received. Рассмотрим детальнее.
В заголовке Received содержится история, как сообщение прошло через узлы, где указываются имена и IP-адреса отправления и получения с указанием даты и времени. Если вы не знакомы со структурой фиксации данных в нем, напомним, что она осуществляется снизу-вверх, т.е. самая первая добавленная запись Received будет самой последней по порядку. В нашем случае так:
Received: from mail.angara-security[.]ru (unknown [172.20.0.1]) (Authenticated sender: p.vanina@angara-security[.]ru) by mail.angara-security[.]ru (Postfix) Fri, 26 May 2023 12:22:51 +0300 (MSK) |
from указывает IP-адрес и имя хоста отправителя (от которого получено сообщение) — mail.angara-security.ru (unknown [172.20.0.1])
by содержит информацию о том, кем получено сообщение — mail.angara-security.ru
for предоставляет информацию об адресе электронной почты конечного получателя — a.morozov@angarasecurity.ru.
Таким образом, сообщение отправлено с сервера mail.angara-security[.]ru, а именно от аутентифицированного отправителя p.vanina@angara-security[.]ru, адрес которого фигурирует в строке отправителя (Иллюстрация 1) и направлено на адрес a.morozov@angarasecurity[.]ru.
В следующей записи ключевой информацией является наличие IP-адреса отправителя — 45.143.92.99.
Received: from mail.angara-security.ru (45.143.92.99) by EDGE1.angaratech.ru (192.168.194.7) with Microsoft SMTP Server id 15.2.922.27; Fri, 26 May 2023 12:22:52 +0300 |
Последующие отдельные записи Received отображают внутренние перемещения по доверенным хостам. Письмо также подкреплено подписью DKIM (DKIM-Signature), направленной на подтверждение электронного письма, а именно для обмена информации об отправителе, сообщении и открытого ключа для проверки подлинности сообщения. Соответственно, настраивают такую подпись для того, чтобы при получении письма адресатом оно прошло проверку сервером (именно с DKIM она и начинается) на подлинность доменного имени и поступило во входящие сообщения, не вызвав подозрений. И злоумышленники этим тоже пользуются.
Источниками информации также являются следующие заголовки:
Заголовок | Значение | Описание |
Date | дата и время создания электронного письма | Fri, 26 May 2023 12:22:51 +0300 |
From | отправитель письма P.S. | =? utf-8? b?0JLQsNC90LjQvdCw0J/QvtC7INC40L3QsA==?= |
To | адресат письма | a.morozov@angarasecurity[.]ru |
Subject | тема письма | =? utf-8? b?0J/RgNC+0L/Rg9GB0Log0YDQsNCx0L7Rh9C40YUg0LTQvdC10Lk=?= Пропуск рабочих дней |
Message-ID | уникальное значение электронного сообщения | <27902924107e7499d01ddcf88b8a2968@angara-security.ru> |
Стоит отметить, что поля From и Reply-to (в нашем случае не был представлен) в общем случае могут также быть целенаправленно изменены, так как протокол SMTP сам по себе не предполагает никаких проверок подлинности содержимого заголовков.
Кроме того, присутствуют отдельно заголовки, начинающиеся на «X-», создаваемые установленными службами или почтовым клиентом на устройстве получателя, например, X-Sender p.vanina@angara-security[.]ru — фиксирует отправителя письма. Также могут присутствовать заголовки, отображающие рейтинг спама. Среди всех таких записей наибольший интерес вызывают следующие поля:
X-KSE-AntiSpam-Info: {Found in DNSBL: 45.143.92.99 in (user) zen.spamhaus.org}
X-KSE-AntiSpam-Info: 45.143.92.99:7.4.1,7.7.3;d41d8cd98f00b204e9800998ecf8427e.com:7.1.1;127.0.0.199:7.1.2
X-KSE-AntiSpam-Info: {iprep_blacklist}
X-KSE-AntiSpam-Info: ApMailHostAddress: 45.143.92.99
Несмотря на то, что представленный IP-адрес числится в черном списке, данное письмо было направлено в основную папку с входящими, а не отфильтровано в спам.
После всех заголовков следует текст письма, внутри которого дважды прописана ссылка на скачивание архива hxxps://angara-security[.]ru=/data/uploads/2023/05/25/tabel.zip.
Вместе с тем, при проверке домена angara-security[.]ru, мы обнаружили, что он был зарегистрирован 22 мая 2023 года, то есть за несколько дней до целевой атаки, и принадлежит неизвестному частному лицу.
Следующим шагом проанализируем содержимое вложений.
Анализ файлов
Вложения, упомянутые ранее, расположенные при переходе по гиперссылке, представляют собой архив «Табель учета рабочего времени.zip», который содержит два исполняемых файла с двойным расширением (СМК Правила оформления больничных листов.pdf.exe и Табель учета рабочего времени 2023 год.xlsx.exe).
Содержимое архива
Стоит отметить, что при установленных стандартных настройках у пользователей не отображаются расширения имен файлов, что позволяет мимикрировать программам под привычные для пользователя файлы форматов pdf и xlsx.
Содержимое архива без отображения расширения файлов
Данные программы разработаны на языке программирования С++ и ориентированы на запуск в среде операционной системы Windows, обе идентичны по своим функциональным возможностям. Для взаимодействия с командным центром (C&C, C2) применяются HTTPS-запросы к shlalala.ru c использованием генерируемого ключа для идентификации зараженного устройства C&C сервером. В программах различными способами обфусцирована большая часть строк и вызовы некоторых функции API.
Расшифровка ключа шифрования, пример обфускации строк
Идентификатор клиента (client_hash), получаемый при запуске вредоносного ПО, представляет собой шестнадцатеричную строку (hex-строку) длиной в 24 символа. Она получена путем конкатенации значений хеш-сумм, которые вычислены различными способами от следующей системной информации:
— имя компьютера;
— производитель CPU (результат выполнения инструкции процессора cpuid (0));
— серийный номер том C;
— МАС-адреса двух сетевых интерфейсов.
Помимо самого идентификатора, программа собирает следующую системную информацию в формате JSON:
BIOS_release_date | Дата релиза BIOS. |
BIOS_vendor | Производитель BIOS. |
CPU_core | Количество ядер процессора |
OS_type | Тип операционной системы. |
RAM | Размер оперативной памяти в гигабайтах |
current_path | Текущий каталог. |
desktop_files | Файлы на рабочем столе текущего пользователя. Значения в виде hex-строк |
disk_C_info | Общий и свободный размер дискового пространства C |
domain | Имя домена. Значение в виде hex-строки |
host_name | Имя хоста. Значение в виде hex-строки |
network | Список IP-адресов и названий сетевых интерфейсов. Значения в виде hex-строк |
ports | Список открытых портов |
processes | Список запущенных процессов |
program_files | Содержимое каталога »Program Files». Значения в виде hex-строк |
systemUpTime | Время с момента старта системы |
user_name | Имя текущего пользователя. |
users_list | Список пользователей. |
users_programs | Список пользовательского программного обеспечения, полученный из раздела реестра Uninstall. Значения в виде hex-строк |
volume_info | Информация о других томах компьютера. Значения в виде hex-строк |
Отформатированный вид примера системной информации в формате JSON
Для подключения с C&C программа ThirdEye может использовать настройки прокси веб-браузера текущего пользователя. Все передаваемые данные шифруются с помощью циклической операции XOR с ключом в виде строки, содержащейся в коде:
715c4985ad76d08797f9e1d30f8fb952cf60a898aef62a02a0a3fb1467ed5e715cfdce5e2b9413aa56197730815bc937d6fe5b93169416ada7da6189f058286e
Зашифрованную системную информацию ThirdEye с помощью HTTP-запроса POST отправляет по ссылке:
где C&C — адрес управляющего сервера («https://shlalala.ru»).
Заголовки HTTP-запроса:
User-Agent: «Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36»
Cookie: 3rd_eye=
Content-Type: application/octet-stream
где CLIENT_HASH — идентификатор клиента (client_hash).
Далее агент отправляет HTTP-запрос GET по ссылке:
где C&C — адрес управляющего сервера («https://shlalala.ru»).
Если полученные данные соответствуют «fcku», агент отправляет запрос снова. В ином случае агент пытается загрузить извлеченную из принятых данных динамически подключаемую библиотеку (DLL) непосредственно в оперативной памяти и вызвать экспортируемую DLL функцию «runCalc». Также ThirdEye пытается загрузить из C&C EXE-файл и запустить его — C:\Users\Public\calc.exe. После выполнения агент посылает в C&C результат выполнения.
Отформатированный вид примера сообщения об ошибке
Таким образом, оба программы относятся к типу вредоносного программного обеспечения, которое автоматически крадет информацию с системы жертвы после инициации запуска. При этом ПО не оказывает разрушающего влияния на системные конфигурации и пользовательские данные. Данные агенты используются при первичной компрометации и позволяют злоумышленникам провести разведку жертвы и развить атаку далее.
Вывод
«На мушке» может оказаться любая компания, даже если она работает в сфере информационной безопасности. Этот вектор атак крайне распространен, поэтому крайне важно оперативно реагировать и проводить анализ подобных инцидентов.
Ниже делимся рекомендациями:
1. Используйте прикладные средства, предназначенные для фильтрации входящих сообщений и правильно проводите их настройку, а также средства, которые изолированно проверяют вложения электронного письма
2.Проводите корректную настройку DKIM-, SPF- и DMARC-записей
3.Настройте или включите фильтрацию пропускаемых расширений вложенных файлов (например, запретите получение файлов формата образа данных iso или ярлыков lnk)
4. Внимательно визуально проверяйте данные отправителя, а перед открытием ссылок — наводите курсор на саму гиперссылку для просмотра адреса без перехода по ней, например:
5. Настройте функцию дополнительной фильтрации адресов, которая оповещает, что письмо поступило с внешнего адреса дополнительной подписью внутри сообщения
6. Повышайте цифровую грамотность сотрудников, проводите обучающие тренинги
7. Используйте EDR-агенты для сбора телеметрии с конечных узлов и последующего мониторинга событий информационной безопасности.
Индикаторы компрометации (IOCs)
Файловые индикаторы:
Имя файла | Хэш-сумма SHA-256 |
Табель учета рабочего времени.zip | 09DB721FA9EA9CDEC98F113B81429DB29EA47FB981795694D88959D8A9F1042E6 |
СМК Правила оформления больничных листов.pdf.exe | F6E6D44137CB5FCEE20BCDE0A162768DADBB84A09CC680732D9E23CCD2E79494 |
Табель учета рабочего времени 2023 год.xlsx.exe | 5D211C47612B98426DD3C8EAC092AC5CE0527BDA09AFA34B9D0F628109E0C79 |
Доменные имена: shlalala[.]ru
