گزارش آزمایشگاه کسپرسکی در خصوص حمله به سرور ها توسط گروه Energetic Bear/Crouching Yeti

Energetic Bear/Crouching Yeti نام گروهی شناخته شده در سطح جهانی در حوزه ی APT است. این گروه حداقل از سال 2010 آغاز به کار کرده است و علاقه ی شدیدی به حمله به سرور های شرکت های مختلف دارد، تمرکز اصلی اش بر روی بخش های صنعت و انرژی است و کمپانی هایی که توسط این گروه مورد حمله قرار گرفته اند موقعیت جغرافیایی خاصی ندارند و در نقاط مختلف جهان هستند. این گروه بیشتر شرکت های اروپایی و آمریکایی را مورد حمله قرار می دهد؛ در سال های 2017 و 2016 تعداد حملات این گروه به شرکت های ترکیه ای به میزان قابل توجهی افزایش یافت.

تاکتیک اصلی این گروه در حملات، ارسال ایمیل های فیشینگ با محتوای مخرب و آلوده است که به خرابی و اختلال در سرور منجر می شود. این گروه همچنین از سرور های آلوده برای اهداف کمکی در سرویس های میزبانی (هاست ها) استفاده می کند. در این روش کاربران با ورود به سرور آلوده مورد حملات مختلف قرار می گیرند و آسیب های مختلفی را متحمل می شوند.

یکی از فعالیت های اخیر این گروه اقدام علیه سازمان های ایالات متحده ی آمریکا بود که موجب شد بحث در سازمان مشاوره ای US-CERT بالا بگیرد و مشاور CERT به روسیه و سازمان امنیت سایبری بریتانیا متصل شود تا تحقیقات در شرایط جامع تری ادامه بیابد.

آزمایشگاه کسپرسکی به تازگی گزارشی منتشر کرد که شامل اطلاعات سرور های آلوده شده توسط این گروه است. همچنین این گزارش شامل تجزیه و تحلیل وب سرور هایی است که در سال های 2016 تا 2017 هدف حمله ی این گروه قرار گرفته و آلوده شده اند.

قربانیان این حملات

در پایین جدولی تهیه شده است که گستردگی موقعیت جغرافیایی سرور های آلوده شده توسط این گروه را همراه با نوع سرور، نوع حمله و کشوری که سرور در آن بوده است نشان می دهد:

Country Description Role in the attack
Russia Opposition political website Waterhole
Real estate agency Auxiliary (collecting user data in the waterhole attack)
Football club Waterhole
Developer and integrator of secure automation systems and IS consultant Waterhole
Developers of software and equipment Auxiliary (collecting user data in the waterhole attack, tool hosting)
Investment website Auxiliary (collecting user data in the waterhole attack)
Ukraine Electric power sector company Waterhole
Bank Waterhole
UK Aerospace company Waterhole
Germany Software developer and integrator Waterhole
Unknown Auxiliary (collecting user data in the waterhole attack)
Turkey Oil and gas sector enterprise Waterhole
Industrial group Waterhole
Investment group Waterhole
Greece Server of a university Auxiliary (collecting user data in the waterhole attack)
USA Oil and gas sector enterprise Waterhole
Unknown Affiliate network site Auxiliary (collecting user data in the waterhole attack)

WaterHole یا چاله آب

تمامی حملات به سرور های waterhole به یک روش و با استفاده از الگویی مشخص انجام شده اند. این حملات یا از طریق ارائه ی لینک مخرب در یک صفحه ی وب انجام شده اند یا از طریق یک فایل JS با الگوی کلی: IP/filename.png.

لینک آلوده از طریق درخواست image شروع به متصل کردن کاربر به ریموت سرور روی پروتکل SMB می کند. در این دست حملات هدف مهاجم دسترسی و استخراج اطلاعات زیر است:

  • آی پی کاربر
  • نام کاربری
  • نام دامنه
  • هش NTLM از رمز عبور کاربر

لازم به ذکر است که فایل image حاوی لینک مخرب در ریموت سرور موقعیت فیزیکی ندارد.

منابع شناسایی شده

در برخی از حملات، سرور آلوده شده برای هدایت حملات دیگر استفاده شده است. در تجزیه تحلیلی هایی که بر روی سرورهای آلوده شده توسط این گروه انجام شد مشخص شد که مهاجمان در تعدادی از سرور ها و وبسایت ها اقدام به اسکن با ابزار های مختلفی چون nmap، dirsearch، sqlmap و … کرده اند.

جدول پایین منابعی را نشان می دهد که از یکی از سرور های آلوده اسکن شده اند:

Country
(based on the content)

Description
Russia Non-profit organization
Sale of drugs
Travel/maps
Resources based on the Bump platform (platform for corporate social networks) – non-profit organization, social network for college/university alumni, communication platform for NGOs, etc.
Business – photographic studio
Industrial enterprise, construction company
Door manufacturing
Cryptocurrency exchange
Construction information and analysis portal
Personal website of a developer
Vainah Telecom IPs and Subnets (Chechen Republic)
Various Chechen resources (governmental organizations, universities, industrial enterprises, etc.)
Web server with numerous sites (alumni sites, sites of industrial and engineering companies, etc.)
Muslim dating site
Brazil Water treatment
Turkey Hotels
Embassy in Turkey
Software developer
Airport website
City council website
Cosmetics manufacturer
Religious website
Turktelekom subnet with a large number of sites
Telnet Telecom subnet with a large number of sites
Georgia Personal website of a journalist
Kazakhstan Unknown web server
Ukraine Office supplies online store
Floral business
Image hosting service
Online course on sales
Dealer of farming equipment and spare parts
Ukrainian civil servant’s personal website
Online store of parts for household appliance repair
Timber sales, construction
Tennis club website
Online store for farmers
Online store of massage equipment
Online clothes store
Website development and promotion
Online air conditioner store
Switzerland Analytical company
US Web server with many domains
France Web server with many domains
Vietnam Unknown server
International Flight tracker

 

سایت ها و وبسایت هایی که در جدول بالا وجود دارند از نظر موضوعی و موارد مختلف به یکدیگر شباهتی ندارند. البته به نظر نمی رسد که این سرور ها قربانی نهایی این گروه باشند؛ ممکن است این گروه قصد داشته باشد تا از این سرور ها برای گسترش حملات خود استفاده کند. برخی از سایت هایی که مورد حمله ی گروه قرار گرفته اند برای میزبانی حملات waterhole بسیار جذابند و گمان می رور که مهاجمان هم با همین هدف به این سایت ها حمله کرده اند.

در برخی از موارد مهاجمان گروه دامنه هایی را اسکن کرده اند که روی یک سرور میزبانی می شدند؛ گاهی مهاجمان تلاش می کنند تا از طریق یک لیست از دامنه های احتمالی به یک IP مشخص دست پیدا کنند. گروه Energetic Bear/Crouching Yeti تا به حال با هدف ایجاد صدمات بزرگ به تارنمایی حمله نکرده است و تنها در موارد معدودی در حملات به سایت های روی پلتفرم Bump، حمله به سایت های هواپیمایی و چند سایت مربوط به هتل های ترکیه ای از روش های صدمه زننده استفاده کرده است.

نکته ی جالبی که در این حملات وجود دارد این است که سایت هایی که مورد حمله و اسکن گروه قرار گرفته اند شامل یک وبسایت توسعه دهنده به نام kashey.ru بوده اند.

ابزار استفاده شده توسط گروه

برنامه های کاربردی که این گروه از آن ها استفاده کرده است همگی متن باز بوده اند و بر روی سایت GitHub برای همگان قابل دسترسی اند. این برنامه ها عبارتند از:

  • Nmap– این برنامه یک ابزار کاربردی متن باز برای تحلیل و آنالیز امنیت شبکه و تایید امنیت آن است.
  • Dirsearch– این برنامه یک ابزار خط فرمان ساده برای اعمال جستجو و اجبار است (این برنامه قدرت جستجو در میان تمامی داده های وب سایت را به مهاجم می دهد)
  • Sqlmap– این برنامه بصورت خودکار به بررسی و آنالیز آسیب پذیری های SQL بر روی دیتا بیس ها می پردازد.
  • Sublist3r- این برنامه بصورت متن باز است و به زبان پایتون توسعه یافته است و برای شمارش زیر دامنه های وب سایت طراحی شده مورد استفاده قرار می گیرد. Sublist3r از بسیاری از موتور های جستجو مانند Google، Yahoo، Bing، Baidu و Ask پشتیبانی می کند. این ابزار به آزمایش گنندگان، اطلاعات مربوط به زیر دامنه های مورد نظرشان را می دهد.
  • Wpscan– از این برنامه برای تست آسیب پذیری وردپرس استفاده می شود. این برنامه از BlackBox برای تست آسیب پذیری استفاده می کند و به دسترسی به کد های وب سایت نیازی ندارد. این بزار می تواند سایت های مبتنی بر وردپرس را از راه دور مورد اسکن قرار دهد.
  • Impacket– این ابزار برای کار با پروتکل های مختلف شبکه است که SMBTrap نیز به آن نیاز دارد.
  • SMBTrap – این برنامه ابزاری است برای ثبت اطلاعات دریافت شده از طرف پروتکل SMB (اطلاعاتی از قبیل نام کاربری کاربر، IP کاربر، دامنه کاربر و هش NTLM رمز عبور کاربر)
  • Commix– این ابزار برای جستجوی آسیب پذیری و اجرای فرمان ها است که توسط زبان برنامه نویسی پایتون توسعه یافته است.
  • Subbrute– این برنامه برای شمارش زیر دامنه مورد استفاده قرار می گیرد و برای ویندوز و پایتون دردسترس است و ترافیک را به سرور DNS ارسال نمی کند.
  • PHPMailer– ابزاری برای ارسال ایمیل.

علاوه بر این ها یک اسکریپت سفلرشی پایتون به نام ftpChecker.py در یکی از سرور ها یافته شده است که این اسکریپت برای چک کردن FTP لیست ورودی طراحی شده است.

فایل های PHP مخرب

فایل های PHP آسیب زننده زیر در بخش های مختلفی از پوشه ی nginx و یکی از پوشه های اجرایی یافت شدند که برای آلوده کردن وب سایت ها توسط مهجمان ایجاد شده بودند:

File name Brief description md5sum Time of the latest file change (MSK) Size, bytes
ini.php wso shell+ mail f3e3e25a822012023c6e81b206711865 2016-07-01 15:57:38 28786
mysql.php wso shell+ mail f3e3e25a822012023c6e81b206711865 2016-06-12 13:35:30 28786
opts.php wso shell c76470e85b7f3da46539b40e5c552712 2016-06-12 12:23:28 36623
error_log.php wso shell 155385cc19e3092765bcfed034b82ccb 2016-06-12 10:59:39 36636
code29.php web shell 1644af9b6424e8f58f39c7fa5e76de51 2016-06-12 11:10:40 10724
proxy87.php web shell 1644af9b6424e8f58f39c7fa5e76de51 2016-06-12 14:31:13 10724
theme.php wso shell 2292f5db385068e161ae277531b2e114 2017-05-16 17:33:02 133104
sma.php PHPMailer 7ec514bbdc6dd8f606f803d39af8883f 2017-05-19 13:53:53 14696
media.php wso shell 78c31eff38fdb72ea3b1800ea917940f 2017-04-17 15:58:41 1762986

فایل های PHP مخرب ini.php و mysql.php حاوی پوسته های WSO بوده اند و توسط ایمیل به کاربرا ارسال می شدند. تمامی اسکریپت هایی که پیدا شد اند مخرب و سردرگم کننده اند.

Sshd اصلاح شده

در روند بررسی و آنالیز سرور آلوده یک sshd اصلاح شده با backdoor پیدا شد. پچ برخی از نسخه های backdoor برای sshd که همانند نسخه های پیدا شده در سرور اند در لینک زیر موجود اند:

https://github.com/jivoi/openssh-backdoor-kit

یکی از نتایج جایگزینی sshd اصلاح شده (تغیر یافته توسط مهاجمان) این است که مهاجمان می توانند پس از جایگزینی اجازه دسترسی از راه دور و کنترل سرور را به خود بدهند. علاوه بر این ها Sshd اصلاح شده می تواند به تمامی اتصالات و حساب های کاربری دسترسی داشته باشد.

فعالیت مهاجمان در سرور های آسیب دیده

مهاجمان پس از ورود و دستیابی به سرور علاوه بر اسکن منابع مختلف فعالیت های دیگری نیز می کردند. این مهاجمان پس از ورود به سرور برنامه هایی را که در زمان های مختلف مورد نیازشان است را نصب می کنند. به عنوان مثال، دستورات زیر برای نصب برخی از برنامه در سرور اجرا شده اند:

  • apt install traceroute
  • apt-get install nmap
  • apt-get install screen
  • git clone https://github.com/sqlmapproject/sqlmap.git

علاوه بر موارد بالا، این گروه هر پکیج و ابزار پایتونی که نیاز دارد بر روی سرور نصب می کند.

دیاگرام زیر زمان ورود این مهاجمان را در زمان های مختلف در طی مدت زمان یک ماه نشان می دهد. این هکر ها بیشتر در زمان های معینی وارد سرور شده اند و بصورت روتین عمل کرده اند.

نتیجه

بر اساس یافته هایی که از تجزیه و تحلیل سرور های آلوده بدست آوردیم، فعالیت این گروه در سرور ها بیشتر بصورت زیر است:

  • این گروه برای حملات خود از ابزار های در دسترس و همگانی استفاده می کند و در حملات خود هیچ نشان یا علامتی از گروه به جا نمی گذارد و این، شرایط را برای شناسایی کردنشان سخت تر می کند.
  • به طور کلی می توان گفت که هر سرور آسیب پذیری بر بستر اینترنت برای مهاجمان جذاب است و زمانی که این افراد قصد حمله به سروری را می گیرند، سرور های آسیب پذیر در اولویت قرار دارند.
  • بر اساس مشاهداتمان، این گروه ابتدا به دنبال سرور های آسیب پذیر و نقاط ضعف آن ها می گردد و سپس از طریق این نقطه ضعف ها به سرور ها حمله کرده و اطلاعاتش را به سرقت می برد.
  • تنوع قربانیان این گروه نشان از تنوع اهداف این گروه است و این احتمال را بالا می برد که این گروه بر اساس سفارشات خارجی به سرور های خاصی حمله می کند.

100%
Awesome
  • Design

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.