สิ่งพิมพ์ใหม่จาก Symantec ซึ่งเป็นบริษัทซอฟต์แวร์ของ Broadcom เปิดเผยรายละเอียดเกี่ยวกับวิธีการใหม่ที่ใช้ในการสื่อสารกับมัลแวร์ในแคมเปญการโจมตีอย่างต่อเนื่อง

มัลแวร์ Geppei ได้รับคำสั่งจากไฟล์บันทึก IIS

พบ Dropper ที่ไม่ได้รับการรายงานก่อนหน้านี้ชื่อ Trojan.Geppei โดย Symantec ในเหยื่อหลายรายของแคมเปญการโจมตี มัลแวร์ใช้ PyInstaller ซึ่งเป็นเครื่องมือที่รู้จักในการคอมไพล์โค้ด Python ลงในไฟล์ปฏิบัติการ

วิธีที่มัลแวร์ Geppei สื่อสารกับตัวควบคุมนั้นใหม่ทั้งหมด: ใช้ไฟล์บันทึกของเว็บเซิร์ฟเวอร์บริการข้อมูลทางอินเทอร์เน็ต มัลแวร์เปิดใช้งานเมื่อพบสตริงเฉพาะในไฟล์บันทึก IIS เช่น “Wrde” “Exco” หรือ “Cllo” สตริงเหล่านั้นไม่มีอยู่ในบันทึก IIS ปกติ การมีอยู่ของสตริงดังกล่าวในไฟล์บันทึกของ IIS จึงเป็นตัวบ่งชี้ที่ชัดเจนของการโจมตีโดยใช้มัลแวร์ Geppei

ดู: นโยบายความปลอดภัยของอุปกรณ์มือถือ (TechRepublic Premium)

ผู้โจมตีสามารถแทรกคำสั่งในไฟล์บันทึกของ IIS โดยใช้ URL จำลอง หรือแม้แต่ URL ที่ไม่มีอยู่ เนื่องจาก IIS จะบันทึกข้อผิดพลาด 404 โดยค่าเริ่มต้น สตริง “Wrde” เปิดใช้งานอัลกอริทึมการถอดรหัสตามคำขอ:

GET [dummy string]Wrde[passed string to wrde()]Wrde[dummy string]

เพื่อแยกสตริงที่มีลักษณะดังนี้:

w+1+C:\inetpub\wwwroot\test\backdoor.ashx

ไฟล์ .ashx จะถูกบันทึกไปยังตำแหน่งนั้นและเปิดใช้งาน ทำหน้าที่เป็นแบ็คดอร์เพื่อเข้าถึงระบบที่ติดไวรัส

หากมัลแวร์ Geppei แยกสตริง “Exco” ในไฟล์บันทึก IIS มันจะถอดรหัสสตริงที่ส่งผ่านเป็นพารามิเตอร์:

GET [dummy string]Exco[passed string to exco()]Exco[dummy string]

สตริงจะถูกดำเนินการเป็นคำสั่งผ่านฟังก์ชัน os.system() สตริง “Exco” อาจเป็นคำย่อของ “execute command”

สตริงสุดท้ายที่เรียกมัลแวร์ Geppei คือ “Cllo” มันเรียกใช้ฟังก์ชัน clear() เพื่อวางเครื่องมือแฮ็คที่เรียกว่า sckspy.exe เครื่องมือนั้นปิดใช้งานการบันทึกบันทึกเหตุการณ์สำหรับ Service Control Manager ฟังก์ชันนี้ยังพยายามลบบรรทัดทั้งหมดในไฟล์บันทึก IIS ซึ่งจะมีคำสั่งหรือเส้นทางไฟล์ .ashx ที่เป็นอันตราย

นักวิจัยกล่าวว่าฟังก์ชันนี้ไม่ได้ตรวจสอบทุกบรรทัดของไฟล์บันทึก ทำให้การล้างข้อมูลไม่สมบูรณ์ ไฟล์ .ashx ที่เป็นอันตรายที่ถูกทิ้งจะถูกลบออกใน wrde() หากมีการเรียกด้วยตัวเลือก “r”

เครื่องมือเพิ่มเติม

จนถึงตอนนี้ ไซแมนเทคได้เห็นแบ็คดอร์ที่แตกต่างกันเพียงสองประเภทที่ติดตั้งโดยฟังก์ชัน “Wrde”

ตัวแรกถูกตรวจพบว่า “Hacktool.Regeorg” ซึ่งเป็นมัลแวร์ที่รู้จักแล้ว ประกอบด้วยเว็บเชลล์ที่มีความสามารถในการสร้างพร็อกซี SOCKS นักวิจัยได้เห็นการใช้ Regeorg สองเวอร์ชันที่แตกต่างกัน

อันที่สองชื่อ “Trojan.Danfuan” เป็นมัลแวร์ที่มองไม่เห็นก่อนหน้านี้ ซึ่งเป็น DynamicCodeCompiler ที่คอมไพล์และรันโค้ด C# ที่ได้รับ ตามที่นักวิจัยกล่าว มันขึ้นอยู่กับเทคโนโลยีคอมไพล์ไดนามิก .NET และไม่ได้สร้างบนฮาร์ดไดรฟ์ แต่ในหน่วยความจำ จุดประสงค์ของมัลแวร์นี้คือทำหน้าที่เป็นแบ็คดอร์

เครื่องมือ sckspy.exe ที่ใช้โดย Geppei เป็นเครื่องมือที่ไม่มีเอกสารก่อนหน้านี้

เครนฟลายคือใคร?

Cranefly มีนามแฝงอื่นเปิดเผยในสิ่งพิมพ์จาก Mandiant: UNC3524 Mandiant เปิดเผยว่าผู้คุกคามรายนี้เป็นเป้าหมายอีเมลของพนักงานที่เน้นไปที่การพัฒนาองค์กร การควบรวมและเข้าซื้อกิจการ และธุรกรรมขององค์กรขนาดใหญ่

รายงานของ Mandiant ยังกล่าวถึงการใช้เครื่องมือ Regeorg เครื่องมือนี้เผยแพร่สู่สาธารณะ แต่ผู้คุกคามใช้เว็บเชลล์เวอร์ชันที่ไม่ค่อยมีใครรู้จัก ซึ่งทำให้สับสนอย่างมากในการเลี่ยงการตรวจหา เวอร์ชันดังกล่าวยังได้รับการรายงานโดยสำนักงานความมั่นคงแห่งชาติซึ่งใช้โดยผู้คุกคาม APT28 ข้อมูลนี้ยังไม่เป็นที่แน่ชัดเพียงพอที่จะระบุแหล่งที่มาได้

สิ่งหนึ่งที่แน่นอนคือ Cranefly วางทุน A ไว้ใน Advanced Persistent Threat พวกเขาได้แสดงความเชี่ยวชาญที่จะอยู่ภายใต้เรดาร์โดยการติดตั้งแบ็คดอร์บนอุปกรณ์ที่ไม่ธรรมดาซึ่งทำงานโดยไม่มีเครื่องมือรักษาความปลอดภัย เช่น โหลดบาลานเซอร์ ตัวควบคุมจุดเชื่อมต่อไร้สาย หรืออาร์เรย์ NAS พวกเขายังดูเหมือนใช้มัลแวร์ที่เป็นกรรมสิทธิ์ ซึ่งเป็นตัวบ่งชี้อีกตัวหนึ่งของการคุกคามที่มีโครงสร้างอย่างมีประสิทธิภาพ และเป็นที่ทราบกันดีอยู่แล้วว่าพวกเขาใช้เวลาอาศัยอยู่นาน โดยใช้เวลาอย่างน้อย 18 เดือนในเครือข่ายเหยื่อ และประนีประนอมกับบริษัทที่ตรวจพบพวกเขาอีกครั้งในทันที

วิธีตรวจจับภัยคุกคามนี้

ตามที่เปิดเผยก่อนหน้านี้ ลักษณะที่ปรากฏของสตริง “Wrde” “Exco” หรือ “Cllo” ในไฟล์บันทึก IIS ควรเป็นที่น่าสงสัยอย่างยิ่งและตรวจสอบ เนื่องจากอาจเปิดเผยการติดไวรัส Geppei การรับส่งข้อมูลขาออกที่มาจากที่อยู่ IP ที่ไม่รู้จักควรได้รับการตรวจสอบและตรวจสอบอย่างรอบคอบด้วย

Mandiant ยังกล่าวถึงการใช้มัลแวร์ตัวอื่นที่ชื่อว่า “QUIETEXIT” ที่ใช้โดยผู้คุกคาม ซึ่งอิงจากซอฟต์แวร์ไคลเอนต์เซิร์ฟเวอร์ Dropbear SSH แบบโอเพ่นซอร์ส ดังนั้น การค้นหาทราฟฟิก SSH บนพอร์ตอื่นที่ไม่ใช่พอร์ต 22 อาจช่วยตรวจจับกิจกรรมของ Cranefly ได้เช่นกัน

QUIETEXIT ยังสามารถค้นพบบนโฮสต์โดยการค้นหาสตริงเฉพาะ ตามรายงานของ Mandiant พวกเขายังจัดเตรียมคำสั่ง grep สองคำสั่งด้านล่างเพื่อช่วยตรวจจับ QUIETEXIT:

grep “x48x8bx3cxd3x4cx89xe1xf2xae” -rs /

grep ‘xDDxE5xD5x97x20x53x27xBFxF0xA2xBAxCDx96x35x9AxADx1Cx75xEBx47’ -rs /

สุดท้าย การดูโฟลเดอร์อุปกรณ์ rc.local สำหรับอาร์กิวเมนต์บรรทัดคำสั่งอาจช่วยตรวจจับกิจกรรมของ Cranefly:

grep -e” -[Xx] -p [[:digit:]{2,6}]” -rs /etc

แน่นอน คำแนะนำปกติจะนำไปใช้ เนื่องจากเวกเตอร์ประนีประนอมเริ่มต้นยังไม่ทราบ เฟิร์มแวร์ ระบบปฏิบัติการ และซอฟต์แวร์ทั้งหมดควรอัปเดตและแพตช์อยู่เสมอ เพื่อหลีกเลี่ยงช่องโหว่ทั่วไป โซลูชันการรักษาความปลอดภัยต้องติดตั้งใช้งานบนโฮสต์ และควรใช้การพิสูจน์ตัวตนแบบหลายปัจจัยในทุกที่ที่ทำได้

การเปิดเผยข้อมูล: ฉันทำงานให้กับ Trend Micro แต่ความคิดเห็นที่แสดงในบทความนี้เป็นของฉัน