- PVSM.RU - https://www.pvsm.ru -
Вдохновившись статьей Group-IB [1] о масштабной хакерской атаке на банки и предприятия от лица госучреждений решил разузнать про RTM немного больше.
Цель – не только найти причастных к данной атаке, но и показать насколько доступно проведение такого расследования при наличии хороших инструментов и некоторого технического бэкграунда.
Исходные данные из поста [1] EditorGIB [2]:
«…в общей сложности с сентября до начала декабря хакеры отправили 11 073 писем с 2 900 различных электронных адресов, подделанных под госучреждения. Обнаружено около 900 различных доменов, связанных с адресами отправителей».
«…в качестве темы письма указывается «Отправка на четверг», «Служебная записка», «Оплата август-сентябрь», «Копии документов» и др.)».
«Для получения IP-адреса «C&C» сервера происходит обращение к сайту «namecha.in».
Проверим, что знают сервисы hybrid-analysis.com, virustotal.com о namecha.in. Для расследования буду использовать продукт с названием Lampyre — позиционирующий себя как «Data analysis tool for everyone», по моим впечатлениям, продукт является результатом композиции i2, Maltego и видимо разработчики вдохновлялись Palantir-ом.
Исполнение запросов Hybridanalysis search, и Virustotal search дает следующий результат:
Видно, что, имена файлов, отправленных когда-то на проверку в сервис Hybrid-analysis, схожи с именами из отчета аналитиков Group-IB.
Исполним 2 запроса Hybridanalysis report by hash с входными данными report ids, и hashes из результата предыдущего отчета. Результаты запросов отправим на схему с первоначальным графом и очистим граф от объектов, в которых пока нет необходимости. В результате получаем:
Можно увидеть, что события на графе имеют самую раннюю дату в августе 2017 года, потом провал, и возобновление использования инфраструктуры с начала лета 2018 года.
Визуализируем результат от запроса к Virustotal
Подведем промежуточный итог по объектам и результатам:
Итак, возникают вопросы:
Видно, что доменное имя stat-counter-3-1.bit из данных Hybrid-analysis похоже на url namecha.in/name/d/stat-counter-3-1 [4] из Virustotal.
Изначально, я не имел представления о namecha.in, однако, в общих чертах выяснилось: существует проект Namecoin [7], еще одно использование технологий «blockchain».
Namecoin — основанная на технологии Bitcoin система хранения произвольных комбинаций вида «имя-значение», наиболее известным применением которой является система альтернативных корневых DNS-серверов.
Ресурс Namecha.in — альтернативный namecoin block explorer.
То есть по namecha.in/name/d/mail-ru-stat-counter-cdn [5] вернется информация следующего содержания (сокращенно):
Status | Active |
Expires after block | 461917 (30918 blocks to go) |
Last update | 2018-11-16 10:35:22 (block 425917) |
Registered since | 2018-06-13 19:44:47 (block 402893) |
Current value | {«ip»: [«185.203.117.161»]} |
Operations
Date/time | Operation | Value |
---|---|---|
2018-11-16 10:35:22 | OP_NAME_UPDATE | {«ip»:[«185.203.117.161»]} |
2018-07-30 14:05:46 | OP_NAME_UPDATE | {«ip»:[«195.123.226.143»]} |
2018-07-18 11:35:27 | OP_NAME_UPDATE | {«ip»:[«185.82.219.79»]} |
2018-06-13 19:44:47 | OP_NAME_FIRSTUPDATE | {«ip»:[«195.123.217.232»]} |
Как видно, возвращается информация об ip-адресах указанного доменного имени (mail-ru-stat-counter-cdn.bit), в том числе с ретроспективой.
Кстати, проверить разрешение доменного имени в зоне bit возможно через nslookup с сервера 91.217.137.44 (взято с bitname.ru [8]).
С помощью поиска на namecha.in, удалось найти следующие домены в зоне *.bit, которые по типу генерации и созданию, вполне возможно имеют родственное происхождение:
Поэтому, с помощью запросов к namecha.in я собрал всю информацию по перечисленным доменам в зоне *.bit, сохранил информацию в csv файл [19] с полями Datetime, IP, URL, Domain, импортировал в Lampyre и создал шаблон для графа.
Urls намекают на причастность к известным компаниям, однако тут возникают вопросы:
В виде графа выглядит так (вершины с url – удалены с графа)
По графу можно увидеть, что инфраструктура из доменов *.bit готовилась с апреля 2018 года и продолжает использоваться по настоящее время. «Случайность» доменов и ip-адресов, как мне кажется — исключена.
Итак, отталкиваясь в самом начале от факта обращения трояна RTM к namecha.in, расследование пришло к некой устойчивой инфраструктуре — сети из ip-адресов, которые однозначно могут быть частью компании по распространению вредоносного программного обеспечения.
Всего выявлено IP-адресов: из Hybrid-analysis — 19, со схемы с namecha.in и доменами *.bit — 31.
Всего 44 уникальных IP-адресов:
102.165.37.97, 104.28.16.33, 104.28.17.33, 109.69.8.34, 109.94.110.11, 109.94.110.12, 149.202.30.7, 151.80.147.153, 169.239.129.25, 173.242.124.143, 185.141.61.246, 185.141.62.222, 185.141.62.82, 185.177.59.35, 185.190.82.182, 185.203.117.161, 185.203.119.69, 185.205.210.184, 185.206.146.194, 185.82.219.79, 188.165.200.156, 193.37.212.134, 193.37.212.147, 193.37.212.183, 193.37.212.185, 195.123.217.232, 195.123.217.242, 195.123.225.58, 195.123.226.143, 195.123.245.184, 204.85.32.91, 212.73.150.183, 216.58.213.131, 216.58.213.132, 5.135.183.146, 5.149.255.199, 5.149.255.217, 54.38.49.245, 88.221.214.41, 91.92.136.133, 91.92.136.232, 94.156.144.112, 94.156.189.28, 94.156.35.107
А теперь, вернёмся к статье аналитика из Group-IB, к входным данным в наше исследование:
«Далее «RTM» пытается установить соединение с «C&C» сервером (были обнаружены следующие адреса: 188.165.200.156, 185.190.82.182, 5.135.183.146, 151.80.147.153, 109.69.8.34). Для получения IP-адреса «C&C» сервера происходит обращение к сайту «namecha.in».
Все эти 5 IP адресов нами были обнаружены уже по результатам первого запроса к Hybrid-analysis с аргументом namecha.in, и можно было бы заниматься только ими, но я продолжил дальше, чтобы постараться обнаружить другие IP адреса. В итоге – для анализа и исследования на предмет взаимосвязей доступны 44 IP адреса.
Уже есть понимание, что известные 5 IP-адресов должны быть как-то по каким-то признакам связаны, возможно в сети (на графе) будет очевидна связь и с другими 39 адресами, или они все будут образовывать интересную структуру.
Очевидно, что и целями атак были российские предприятия, и файлы назывались по-русски, и отправка осуществлялась с различных электронных адресов, подделанных под госучреждения. Будут ли еще признаки русского следа? Что еще можно узнать по найденным выше IP – адресам?
Проверим принадлежность IP адресов к странам и получим такой результат: United States, Bulgaria, France, Austria, Canada, Czechia, Netherlands, Poland, South Africa, Spain.
Проверим были ли среди найденных 44 IP-адресов узлы сети Tor, лишним осуществить такую проверку не будет.
Обратим внимание, что IP 151.80.147.153 – с 2015 года регулярный узел сети TOR, nickname: DarkOVH, email: julles.reneau@post.com, – этот IP проходит по отчету аналитика Group-IB и отчетам Hybrid-analysis.
Проверим качали ли (раздавали) с этих IP-адресов torrents.
А вот сейчас, с моей стороны будет маленький трюк – так как статья готовилась в два подхода, то я уже обоснованно предполагаю, что 188.165.200.156 может использоваться кем-то русскоговорящим, но сейчас из скриншота и таблицы — это совсем не очевидно. Ранее, в первом подходе к написанию статьи, результат от исполнения поиска по torrents содержал наряду с другими такую информацию:
30.11.2018 14:36:00 30.11.2018 14:36:00 188.165.200.156 Пастырь (сезон 1) Preacher (2016).WEB-DL.720p.LostFilm 1976 cd46d4168ee44f31fbefce4303e24cbbda2d2cafe8283fa30363bc6148455d1ac1130edad0c9237934c05bf6c2d857c7
То есть пользователь(ли) за этим IP – адресом понимает русскую речь? И да, 188.165.200.156 – это так же один из 5 интересных адресов.
Так вот, чтобы подтвердить предположение в рамках текущего наглядного расследования, что за IP 188.165.200.156 «сидит» кто-то очень похожий на «русского товарища» выделим следующую строку:
17.12.2018 18:18:00 17.12.2018 18:18:00 188.165.200.156 Books 2017-14 986 186a81cee9d9900f42f700bc53a9da08f5ba6cd2ab56b885e3157f063f203871e01c95d2877325710a1859a66c71a379
По id торрента направляем запрос Downloaded torrents info by ID и получаем ответ кто и с каких ip качал торрент с заданным id. Результат выглядит следующим образом:
Согласно таблице скачивающих и раздающих такой торрент — это всё русскоговорящие товарищи. Более того, Lampyre не скрывает, что использует результат сервиса iknowwhatyoudownload.com [20], и в принципе, любой может посмотреть содержание торрента, проследовав по ссылке [21] — много файлов книг на русском языке.
Комбинируя запросы из представленных в Lampyre и методы визуализации (укладка графа, удаление ненужных вершин, группировка вершин, изменения визуальных свойств вершин и рёбер графа) выстроилась такая схема [22].
В процессе возникали различные трудности, причем, по некоторым входным данным Hybrid-analysis показывал отсутствие информации, а сервис Virustotal по запросу из Lampyre возвращал один срез данных, при поиске из интерфейса по адресу www.virustotal.com/#/home/upload [23] предоставлял другой набор данных, через поиск из интерфейса с адреса www.virustotal.com/gui/home/upload [24] – самые полные данные. Несколько связей на итоговой схеме – составлены в Lampyre в ручном режиме создания ребер.
На мой взгляд, на схеме достаточно четко показана взаимосвязь ip-адресов, названия и hash значения вредоносных файлов. Выделяется область на графе из ip-адресов: 151.80.147.153, 188.165.200.156, 5.135.183.146, 54.38.49.245, 149.202.30.7,
IP-адреса установленные аналитиками GIB — 151.80.147.153, 188.165.200.156, 5.135.183.146, 185.190.82.182, 109.69.8.34
Как видно из схемы, IP-адреса, представленные в отчете GIB — 185.190.82.182, 109.69.8.34 связаны с hash: b0cde90e300e6d86394de375cd62bb462962016521d94ee987922e61c5e4977a, который в свою очередь связан с объектом Hybrid report – с вредоносом August.scr, который первый раз зафиксирован в августе 2017 года.
Следующее событие, связанное с вредоносной активностью, начинается с июня 2018 года и по нарастающей до конца 2018 года.
По-хорошему дальше расследование можно было бы продолжить, имея на руках логи доступа управления, регистрации, оплаты и так далее к IP адресам провайдера OVH. Но увы, таких данных нет, и расследование можно было бы завершать, но…
В ходе расследования, просматривая содержание web страниц ресурсов не выходил из головы французский ресурс arthurgarnier.fr [25]
Стоит отметить, что не выходил он из головы, потому как с него качали (раздавали) русские торренты.
Ресурс якобы принадлежит французскому инженеру «Arthur Garnier», на ресурсе даже указано его резюме — arthurgarnier.fr/CV_A_Garnier.pdf [26]. Из которого возможно узнать: github.com/ArthurGarnier [27], www.linkedin.com/in/arthur-garnier-13326880 [28]. Причем, согласно резюме, оно составлено на конец 2017 года, в github.com пишет крайне редко. В профиле www.linkedin.com [29] указано, что с октября 2017 года по настоящее время Артур работает инженером в Groupe SII. И вроде бы ничего, но, то самое но… на странице помимо прочего указан адрес twitter аккаунта Артура twitter.com/Dark_Arthur [30]
и тут при переходе в аккаунт
Кто стоит за этим профилем, почему на сайте Артура указан русскоязычный твиттер-аккаунт, а не предполагаемо настоящий, позже найденный, аккаунт: twitter.com/UpsiloN1X [31] – остается вопросом.
В завершение, возможно сказать, конечно, заявленная изначально цель — не достигнута, но результаты такого исследования, равно и как и сам процесс познания оказался очень увлекательным.
Остались вопросы, по аккаунту в Twitter, по перечню IP адресов, почему столько информации про «русскоязычный след». Думаю, продолжить самостоятельное расследование возможно было бы обратившись к истинному Артуру, если он до сих пор управляет своим сервером (если сервер вообще его).
Автор: Вадим
Источник [32]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/305831
Ссылки в тексте:
[1] Group-IB: https://habr.com/company/group-ib/blog/432256/
[2] EditorGIB: https://habr.com/ru/users/editorgib/
[3] namecha.in/name/d/ya-ru-stat-counter: https://namecha.in/name/d/ya-ru-stat-counter
[4] namecha.in/name/d/stat-counter-3-1: http://namecha.in/name/d/stat-counter-3-1
[5] namecha.in/name/d/mail-ru-stat-counter-cdn: https://namecha.in/name/d/mail-ru-stat-counter-cdn
[6] namecha.in: https://namecha.in
[7] Namecoin: https://ru.wikipedia.org/wiki/Namecoin
[8] bitname.ru: https://bitname.ru
[9] namecha.in/name/d/ya-ru-stat-counter-cdn: https://namecha.in/name/d/ya-ru-stat-counter-cdn
[10] namecha.in/name/d/stat-counter-3-1: https://namecha.in/name/d/stat-counter-3-1
[11] namecha.in/name/d/stat-counter-3-2: https://namecha.in/name/d/stat-counter-3-2
[12] namecha.in/name/d/stat-counter-4-1: https://namecha.in/name/d/stat-counter-4-1
[13] namecha.in/name/d/stat-counter-4-2: https://namecha.in/name/d/stat-counter-4-2
[14] namecha.in/name/d/stat-counter-6-1: https://namecha.in/name/d/stat-counter-6-1
[15] namecha.in/name/d/stat-counter-6-2: https://namecha.in/name/d/stat-counter-6-2
[16] namecha.in/name/d/mail-ru-stat: https://namecha.in/name/d/mail-ru-stat
[17] namecha.in/name/d/mail-ru-stat-cdn: https://namecha.in/name/d/mail-ru-stat-cdn
[18] namecha.in/name/d/mail-ru-stat-counter: https://namecha.in/name/d/mail-ru-stat-counter
[19] csv файл: https://www.dropbox.com/s/u0xm5ll25u7hrvh/blockchain.csv?dl=0
[20] iknowwhatyoudownload.com: https://iknowwhatyoudownload.com
[21] ссылке: https://iknowwhatyoudownload.com/en/torrent/?id=186a81cee9d9900f42f700bc53a9da08f5ba6cd2ab56b885e3157f063f203871e01c95d2877325710a1859a66c71a379
[22] схема: https://www.dropbox.com/s/f5832yjhp83bp6g/document-group.pdf?dl=0
[23] www.virustotal.com/#/home/upload: https://www.virustotal.com/#/home/upload
[24] www.virustotal.com/gui/home/upload: https://www.virustotal.com/gui/home/upload
[25] arthurgarnier.fr: https://arthurgarnier.fr/
[26] arthurgarnier.fr/CV_A_Garnier.pdf: https://arthurgarnier.fr/CV_A_Garnier.pdf
[27] github.com/ArthurGarnier: https://github.com/ArthurGarnier
[28] www.linkedin.com/in/arthur-garnier-13326880: https://www.linkedin.com/in/arthur-garnier-13326880/
[29] www.linkedin.com: http://www.linkedin.com
[30] twitter.com/Dark_Arthur: https://twitter.com/Dark_Arthur
[31] twitter.com/UpsiloN1X: https://twitter.com/UpsiloN1X
[32] Источник: https://habr.com/ru/post/436740/?utm_source=habrahabr&utm_medium=rss&utm_campaign=436740
Нажмите здесь для печати.