بررسی حمله APT27

در بیشتر موارد با مدارکی که به دست می‌آید می‌توان حمایت یک دولت، کشور و یا یک گروه خاص را از حملات APT مشاهده کرد. APT ها برخلاف دیگر حملات و اسلحه‌های سایبری تا حد امکان از رصد کارشناسان امنیتی دور می‌مانند زیرا در بیشتر موارد بعد از اینکه به اهداف از قبل تعیین شده خود می‎رسند ، به سکوت طولانی فرو می‌روند و از چشم کارشناسان به دور می‌مانند.

در برخی موارد کشف APT ها بعد از چند سال از حمله اصلی صورت می‎گیرد و زمانی که دیگر کار از کار گذشته است و اطلاعات حساسی به دست گروه‌ها یا کشورهای طراح APT رسیده است.  

حملات APT نیاز به زمان ، نیروی فنی و در بعضی موارد هزینه‌های مالی بالا دارند، بعد از حملات Stuxnet و Flame، Duqu شرکت‎های امنیتی شروع به بررسی حملات APT کرده و آن‎ها را با شماره‌گذاری از لحاظ فنی و کشوری که به نظر می‎رسد از آن حمایت میکند از یکدیگر جدا ساخته‌اند چند نمونه از APTهایی که در سالهای اخیر کشف شده‎اند عبارتند از :

APT1 چین، APT3 چین، APT12 چین، APT28 روسیه، APT29 روسیه، APT32 ویتنام، APT37 کره شمالی

بررسی حمله APT27

APT27 با نام های دیگری مانند TG-3390، Emissary Panda، BRONZE UNION، IRON TIGER، Lucky Mouse نیز در میان کارشناسان امنیت شناخته شده است دلیل تفاوت اسم‌ها به این دلیل است که شرکت‌های مطرح در زمینه امنیت از اسم‎هایی جداگانه برای اکتشافات خود استفاده کرده‌اند. قابل ذکر است به دلیل استفاده از ابزارهای خاص و نشانه‌های برخی از ابزار استفاده شده در حملات APT27، این حملات به کشور و دولت چین نسبت داده شده است.

APT27، این حملات به کشور و دولت چین نسبت داده شده است. روش ورود اصلی به شبکه‌های رایانه‌ای که تا به حال توسط این گروه خاص مورد استفاده قرار گرفته است به دو بخش اصلی تقسیم می‎شود:

1. یک آلودگی یک سیستم داخل شبکه از طریق مهندسی اجتماعی و فایل های مخرب مایکروسافت آفیس که در این سال ها بارها از آن‎ها استفاده شده.
2. و راه دیگر دسترسی به محصول SharePoint آسیب پذیر (CVE-2019-0604) که اجرای کد از راه دور را فراهم می‌سازد  

در صورت آسیب‌پذیر بودن محصول SharePoint Microsoft، اقدام بعدی بارگذاری ابزار دیگر برای شناسایی شبکه و نفوذ به سیستم‌های دیگر می‌باشد. این  کار از طریق آپلود Webshell معرف به Antak webshell در مسیرهای زیر بر روی سرور SharePoint انجام می‎گیرد:

/_layouts/15/error2.aspx

/_layouts/15/errr.aspx

قابل ذکر است مسیرها و اسم فایل های Webshell می‌تواند در هر حمله تغییر نماید. برای بررسی دقیق تر کد Antak webshell می‎توانید به این لینک مراجعه کنید.

Webshell مذکور امکان ارسال و دریافت فایل و همچنین اجرای کامند بر روی سرور هدف را فراهم می‌سازد. در جدول زیربه Webshell های دیگر مورد استفاده این گروه و امضا دیجیتالی آنها اشاره شده است.

در صورتی که مرحله اول موفق باشد، تیم حمله کننده اقدام به بارگذاری ابزار خود بر روی سرور هدف کرده و شروع به شناسایی شبکه و سیستم‎های آسیب پذیر دیگر می‎کند تا از این طریق به سرویس دهنده‌های حساس دیگر مانند سرویس دهنده پست الکترونیک یا مدیریت دامین (Active Directory) نیز دسترسی پیدا کند.

شاید برای شما جالب باشد بسیاری از این ابزارها توسط گروه‌های تخصصی امنیت مانند باگدشت در وقوع رخدادهای امنیتی، تحلیل و شناسایی شده است. یکی از ابزارهای معروف ابزار Mimikatz می‌باشد که با تغییرات کوچک هم از چشم برنامه ضدبدافزار به دور می‌ماند و هم به صورت اتوماتیک عمل می‎کند. ابزار Mimikatz یک ابزار کارآمد برای دسترسی به کلمه عبور ذخیره شده در حافظه سیستم می‌باشد به این طریق اگر مدیر سیستم به یکی از سیستم‌های لاگین کند امکان برملا شدن کلمه عبور مهیا شده و دسترسی به دامین کنترل نیز فراهم می‎گردد‌. در نتیجه تمام سیستم‎های متصل به دامین کنترلر آسیب‎پذیر می‌شوند.

پس از آلودگی سیستم اول چه از طریق ارسال ایمیل آلوده چه از طریق سو استفاده از آسیب پذیری CVE-2019-0604 در محصول SharePoint  Microsoft ابزاری جهت شناسایی آسیب پذیری Eternal Blue به سیستم هدف منتقل می‌شود.

Eternal Blue از آسیب‌پذیری CVE-2017-0144 در سرویس SMBV1 سیستم عامل ویندوز استفاده می‌کند. این آسیب پذیری توسط لو رفتن اطلاعات از یک سیستم کارمند سابق NSA توسط تیمی ناشناس به نام Shadow Brokers به صورت عمومی منتشر گردید که در زمان خود 0day محسوب می‌شد اما متاسفانه بعد از گذشت دو سال از این حادثه هنوز بسیاری از سرویس دهنده‌های حساس کشور که در داخل شبکه داخلی سازمان‌ها قرار دارند در مقابل آن آسیب پذیر می‌باشند و وصله امنیتی آن را اعمال نکرده‌اند. این آسیب پذیری امکان اجرای کد از راه دور را فراهم می سازد و حمله کنندگان می‌توانند به سرویس دهندگان دیگر سازمان خود را منتقل کنند.

در حملات این گروه، پی لود اصلی توسط سه فایل زیر بر روی سیستم قربانی اجرا می‌شوند:

1. INISafeWebSSO.exe   وظیفه اصلی اجرای فایل مخرب DLL
2. inicore_v2.3.30.dll فایل DLL مخرب
3. sys.bin.url   پی لود اصلی بدافزار که این فایل به صورت رمز شده به صورت XOR قرار گرفته است و توسط فایل DLL فراخوانی شده و اجرا می‎گردد.

نام این فایل‌ها می‌تواند در هر حمله تغییر نماید اما اصل روش که شامل سه فایل اصلی بدافزار می‌باشد به نظر می‌رسد در بیشتر موارد یکسان می‌باشد به عنوان مثال فایل sys.bin.url یکی از فایل‎های اصلی می‌باشد که برای بررسی آلودگی به APT27 به عنوان یکی از سه پارامتر اصلی در سیستم مشکوک به آلودگی به دنبال آن می‎گردند تا آلودگی سیستم را شناسایی کند.

نکته دیگر قابل توجه که در بررسی‌های تیم فنی باگدشت محرز گردیده این است که فایل های با پسوند url به صورت پیش‎فرض توسط سیستم برخی از برنامه های ضدبدافزار مورد بررسی امنیتی قرار نمی‌گیرند.  

برای اجرای فایل DLL از روشی مرسوم به نام DLL Search Order Hijacking استفاده می‌شود به این ترتیب فایل DLL با اجرای یک لوپ XOR شروع به رمزگشایی خود می‌کند و در هر مرحله یک قدم به جلو رفته و بخشی از کد را رمزگشایی می‌کند و Entry point را تغییر داده و این لوپ را تا زمانی که به صورت کامل رمزگشایی گردد ادامه می‎دهد. در آخر فایل پی لود اصلی با نام sys.bin.url فراخوانی شده، به صورت XOR رمزگشایی میگردد و توسط تابع RtlDecompressBuffer از حالت فشرده خارج شده و در روند اجرای بدافزار قرار می‌گیرد.

بدافزار مورد استفاده در حملات APT27 به چند طریق خود را به صورت خاموش در سیستم عامل قرار می‌دهد. با اضافه شدن UAC به سیستم عامل‌های ویندوزی در برخی موارد کار برای اجرای بدافزار با سطح دسترسی بالاتر سخت می‎شود. گرچه چندین روش فراگیر برای دور زدن UAC در سیستم عامل‎های ویندوز شناسایی شده‎اند و در حملات مختلف مورد استفاده قرار می‌گیرند. UAC یا همان User Account Control به بررسی سطح دسترسی کاربر و برنامه‌ای که می‌خواهد اجرا کند می‌پردازد و در صورت عدم تایید امکان برخی از فعالیت ها از برنامه گرفته می‌شود.

روش‌های اجرای بدافزار در حملات APT27

• در صورتی که بدافزار متوجه شود در پوشه %TEMP% در حال اجرا می‌باشد به کار خود پایان می‌دهد.
• در صورتی که بدافزار از پوشه %APPDATA% اجرا گردد، یک پروسه جدید SVCHOST با پارامتر -K  ایجاد کرده و محتوانی پی لود اصلی یعنی فایل Sys.bin.url را به درون آن تزریق می‌نماید.
• در صورتی که هیچ یک از موارد فوق اتفاق نیافتد، بدافزار یک پوشه با نامهای متفاوت در شاخه %APPDATA% ایجاد کرده هر سه فایل (فایل EXE,DLL,URL) را به این پوشه جدید منتقل کرده و فایل باینری بدافزار را از طریق WMI اجرا می‌کند. برای آشنایی کامل با روش WMI می‎توانید به مقاله منتشر شده در کنفرانس بلک‌هت ۲۰۱۵ به این لینک مراجعه شود.
• بدافزار در صورتی که تشخیص دهد با سطح دسترسی مدیر در حال اجرا است یک سرویس ایجاد کرده  و بر روی سیستم فعال می شود، در غیر اینصورت از طریق شاخه معروف رجیستری که در رابطه با بدافزارها بسیار معروف است یعنی Software\Microsoft\Windows\CurrentVersion\Run یک کلید جدید ایجاد کرده و خود را با پارامتر -update اجرا می کند و در غیر اینصورت از طریق تزریق به SVCHOST که پیشتر به آن اشاره گردید خود را اجرا می‌کند.
• اطلاعات حساس و تنظیمات بدافزار مانند آدرس C&C در این بدافزار به صورت رمز شده در رجیستری در شاخه HKEY_CURRENT_USER\Software\Classes با تولید یک سرشاخه جدید ذخیره می‌گردد. هر یک از این اطلاعات به صورت استاندارد رمزنگاری DES در رجیستری ذخیره می‌شوند.
• اطلاعات دیگر شامل محل قرارگیری فایل‌های اصلی بدافزار، نام سرویس ساخته شده جهت اجرا، تزریق به SVCHOST ، آدرس سرور کنترل و فرماندهی بدافزار، نام فایل های DLL و exe  می‌باشد.

مقابله با APT27

در آخر توصیه می‌شود برای جلوگیری از حملات APT

• قوانین امنیتی و استراتژی دفاعی سازمانها بصورت لایه‌ای تدوین گردند.
• از برنامه‌های دفاعی امنیتی به روز و معتبر استفاده شود.
• همچنین سیستم یکپارچه مدیریت وصله‌های امنیتی به کار گرفته شود.
• همکاری‌های استراتژیک با تیم‎های متخصص امنیتی به منظور شناسایی زودهنگام مشکلات امنیتی سازمان اجرا گردند.
• به صورت دوره‌ای رفتار و حافظه (Memory) بعضی از سرورهای حساس را مورد بررسی قرار گیرد و در صورت رویت مورد مشکوک به بررسی علل آن پرداخته شود.

منابع

https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2018/may/emissary-panda-a-potential-new-malicious-tool

https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntifs/nf-ntifs-rtldecompressbuffer

https://www.secureworks.com/blog/state-of-the-bronze-union-snapshot

https://attack.mitre.org/groups/G0027