Kdo plava v južnokorejskih vodah? Spoznajte ScarCruftovega delfina

ESET-ovi raziskovalci so analizirali prej neprijavljena stranska vrata, ki jih uporablja skupina ScarCruft APT. Zadnja vrata, ki smo jih poimenovali Dolphin, imajo širok nabor vohunskih zmogljivosti, vključno z nadzorovanjem pogonov in prenosnih naprav ter izločanjem zanimivih datotek, zapisovanjem tipk in snemanjem posnetkov zaslona ter krajo poverilnic iz brskalnikov. Njegova funkcionalnost je rezervirana za izbrane tarče, na katere se backdoor namesti po začetnem kompromisu z manj napredno zlonamerno programsko opremo. V skladu z drugimi orodji ScarCruft Dolphin zlorablja storitve za shranjevanje v oblaku – posebej Google Drive – za C&C komunikacijo.

Med našo preiskavo smo opazili nadaljnji razvoj stranskih vrat in poskuse avtorjev zlonamerne programske opreme, da bi se izognili odkrivanju. Pomembna značilnost prejšnjih različic Dolphin, ki smo jih analizirali, je možnost spreminjanja nastavitev prijavljenih računov Google in Gmail žrtev, da se zmanjša njihova varnost, najverjetneje ohrani dostop do e-poštnih predalov žrtev.

V tej objavi v spletnem dnevniku ponujamo tehnično analizo zakulisnih vrat Dolphin in pojasnjujemo njihovo povezavo s predhodno dokumentirano dejavnostjo ScarCruft. Naše ugotovitve o tem novem dodatku k naboru orodij ScarCruft bomo predstavili na AVAR 2022 konferenca.

ScarCruft profil

ScarCruft, znan tudi kot APT37 ali Reaper, je vohunska skupina, ki deluje vsaj od leta 2012. Osredotoča se predvsem na Južno Korejo, vendar so bile tarče tudi druge azijske države. Zdi se, da ScarCruft zanimajo predvsem vladne in vojaške organizacije ter podjetja v različnih panogah, povezanih z interesi Severne Koreje.

Pregled delfinov

Leta 2021 je ScarCruft izvedel napad na južnokorejski spletni časopis, osredotočen na Severno Korejo. Napad je sestavljalo več komponent, vključno z izkoriščanjem Internet Explorerja in lupinsko kodo, ki vodi do stranskih vrat z imenom BLUELIGHT, poroča Voleksnost in Kaspersky.

V teh poročilih so bila zadnja vrata BLUELIGHT opisana kot končni tovor napada. Vendar pa smo pri analizi napada prek telemetrije ESET odkrili druga, bolj izpopolnjena stranska vrata, ki so bila na izbranih žrtvah nameščena prek BLUELIGHT. Ta zakulisna vrata smo poimenovali Dolphin na podlagi poti PDB, najdene v izvršljivi datoteki.

Medtem ko zakulisna vrata BLUELIGHT izvedejo osnovno izvidovanje in oceno ogroženega stroja po izkoriščanju, je Dolphin bolj izpopolnjen in ročno nameščen le proti izbranim žrtvam. Oba backdoorja sta sposobna izločiti datoteke s poti, določene v ukazu, vendar Dolphin tudi aktivno išče po pogonih in samodejno izloči datoteke s končnicami, ki so zanimive za ScarCruft.

Slika 1 prikazuje pregled komponent napada, ki vodijo do izvedbe stranskih vrat Dolphin.

Analiza delfinov

Analiza komponent Dolphina in njihovih zmogljivosti je podana v naslednjem razdelku.

Analiza temelji na prvi različici backdoorja, ki smo jo našli, 1.9 (na podlagi niza v kodi) z dodatnimi informacijami o spremembah v novejših različicah. Povzetek opisa sprememb različice najdete v Evolucija delfinov oddelek.

Namestitveni program Dolphin

Naslednji razdelki opisujejo komponente namestitvenega in nalagalnega programa, ki so odgovorne za izvajanje stranskih vrat Dolphin v analiziranem scenariju napada.

Treba je omeniti, da ta namestitveni program in nameščeni nalagalnik nista ekskluzivna za Dolphin in sta ju že videli uporabljati z drugo zlonamerno programsko opremo ScarCruft.

Lupinska koda namestitvenega programa sledi tem glavnim ciljem:

• Prenesite in namestite tolmač Python
• Ustvarite in razporedite nakladalno verigo s tovorom
• Zagotovite obstojnost nakladalne verige

Namestitveni program iz OneDrive prenese datoteko CAB, ki vsebuje zakonit tolmač Python 2.7. CAB je razpakiran do % APPDATA%, odvisno od arhitekture pa tolmač konča v enem od naslednjih imenikov:

• %appdata%Python27(32)
• %appdata%Python27(64)

Namestitveni program ustvari dve poti datotek za komponente nalagalne verige, in , z obliko .

je naključno izbran izmed

• %PROGRAMDATA%
• % JAVNO %
• %APPDATA%Microsoft
• %APPDATA%MicrosoftWindows
• % LOCALAPPDATA %
• %LOCALAPPDATA% Microsoft
• %LOCALAPPDATA%MicrosoftWindows

in so naključno izbrani izmed obstoječih imen datotek (brez končnice) v %windir%inf*.inf in %windir%system32*.dll.

Za ustvarjanje 1. koraka nalagalnika uporablja predlogo skripta, ki je napolnjena z naključno ustvarjenimi imeni (spremenljivke, funkcije). Predloga z ustvarjenim primerom je prikazana na sliki 2.

Nato se napiše scenarij .

2. korak (vdelan v namestitveni program), ki vsebuje preostanek nalagalne verige, vključno s koristnim tovorom, je šifriran z enobajtnim ključem XOR, ki je izpeljan iz trenutnega časa in zapisan v .

Da bi obdržal začetek verige nalaganja, namestitveni program nastavi vrednost registra Run:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun”%appdata%Python27({32|64})pythonw.exe” “” “”

O je naključno izbran izmed obstoječih ujemajočih se imen datotek %WINDIR%inf*.inf, zavračanje Inf. podaljšanje.

Za začetek verige nalaganja po namestitvi ustvari enkratno načrtovano opravilo.

Dolphin nakladalec

Nalagalnik Dolphin je sestavljen iz skripta Python in ukazne kode.

Korak 1, skript Python, prebere določeno datoteko, XOR-dešifrira njeno vsebino in izvede nastalo lupinsko kodo.

2. korak, lupinska koda, ustvari gostiteljski proces (naključna izvedljiva datoteka CLI iz %WINDIR%System32*.exe), XOR-dešifrira nadaljnjo lupinsko kodo, ki jo nosi v sebi, in jo vbrizga v ustvarjeni proces.

Korak 3, druga lupinska koda, XOR-dešifrira vdelano datoteko PE – stranska vrata Dolphin – ter jo naloži in izvede s pomočjo nalagalnika PE po meri.

Dolphin backdoor

Dolphin je stranska vrata, ki zbira informacije in izvaja ukaze, ki jih izdajo njegovi operaterji. Backdoor je običajna izvršljiva datoteka sistema Windows, napisana v C++. Komunicira s shrambo v oblaku Google Drive, ki se uporablja kot njegov C&C strežnik.

Backdoor smo poimenovali Dolphin na podlagi poti PDB, najdene v izvršljivi datoteki:

D:Razvoj BACKDOORDolphinx64ReleaseDolphin.pdb

Vztrajnost

Zakulisna vrata občasno preverijo in ustvarijo lastno obstojnost tako, da poskrbijo, da se 1. korak nalagalnika zažene vsakič, ko se sistem zažene, prek vrednosti za zagon registra, na enak način kot v namestitvenem programu:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun”%appdata%Python27({32|64})pythonw.exe” “” “”

Zmogljivosti

Zbirajo se naslednji osnovni podatki o računalniku in stranskih vratih:

• Trenutna konfiguracija backdoorja
• Uporabniško ime
• ime računalnika
• Lokalni in zunanji naslov IP
• Seznam nameščenih varnostnih izdelkov
• Velikost in uporaba RAM-a
• Rezultat preverjanja za razhroščevalnik in druga orodja za pregledovanje (kot je Wireshark)
• Različica OS
• Trenutni čas
• Različica zlonamerne programske opreme

Dolphin prenese ukaze, ki jih izdajo njegovi operaterji, iz pomnilnika Google Drive in jih izvrši. Po izvedbi se naloži izhod ukazov. Večino zmožnosti Dolphina upravljate z ukazi.

Najpomembnejše zmožnosti so opisane spodaj.

Eksfiltracija datoteke

Dolphin privzeto preišče vse nefiksne pogone (USB), ustvari sezname imenikov in izloči datoteke po priponah. To iskanje je mogoče razširiti na fiksne pogone (HDD) prek namenskih ukazov.

V privzeti konfiguraciji so podane naslednje zanimive datotečne pripone, specifične za medije, dokumente, e-pošto in potrdila:

jpg, doc, xls, ppt, hwp, url, csv, pdf, show, cell, eml, odt, rtf, nxl, amr, 3gp, m4a, txt, msg, ključ, der, cer, docx, xlsx, pptx, pfx, mp3

Poleg tega samodejnega iskanja je mogoče eksfiltrirati določene datoteke.

V novejših različicah je bilo privzeto iskanje razširjeno na fiksne pogone. Ukaz za pridobivanje določenih datotek je bil izboljšan s predpomnjenjem/shranjevanjem v konfiguracijo do dokončanja.

Prenosne naprave

Med običajnimi pogoni Dolphin išče tudi prenosne naprave, kot so pametni telefoni, z uporabo API-ja Windows Portable Device (WPD). Ustvari sezname imenikov in izloči datoteke. Zdelo se je, da je ta funkcionalnost v razvoju v prvi različici, ki smo jo našli, iz več razlogov:

• Zanašanje na trdo kodirano pot z uporabniškim imenom, ki verjetno ne obstaja v računalniku žrtve
• Manjkajoča inicializacija spremenljivke – domneva se, da so nekatere spremenljivke inicializirane z ničlo ali dereferencirane kot kazalci brez inicializacije
• Manjkajoče filtriranje razširitev

Koda v veliki meri temelji na Microsoftovem API-ju COM za prenosne naprave vzorec kode.

Poleg samodejnega iskanja lahko operaterji določijo posamezne datoteke, ki jih je treba odstraniti iz prenosnih naprav.

V novejših različicah je bila ta zmožnost dokončana in izboljšana z dodajanjem filtriranja razširitev. Iz neznanih razlogov je bil ukaz za pridobivanje določenih datotek iz prenosnih naprav odstranjen.

Keylogging in posnetki zaslona

Dolphin beleži pritiske tipk za okna z naslovi, ki vsebujejo podnize, določene v njegovi konfiguraciji. Privzete vrednosti so krom in raziskovanje interneta (sic). To se naredi prek GetAsyncKeyState API, pri čemer se pritiski tipk beležijo skupaj z imenom okna in trenutnim časom. Posnetki zaslona se prav tako posnamejo v nastavljivem intervalu; privzeto je enkrat na 30 sekund.

Posnetki zaslona in beleženje tipk so privzeto omogočeni in jih je mogoče preklapljati z ukazom.

Shellcode

Dolphin lahko prejme lupinsko kodo za izvedbo. Shellcode je shranjen v registru pod enim od naslednjih ključev:

• HKCUSoftwareMicrosoftWindowsCurrentVersionThemesClassic
• HKCUSoftwareMicrosoftOneDriveUpdate
• HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsHttpsSoftwareMicrosoftInternet ExplorerZone (dva podključa kot eden, verjetno napaka pri kodiranju)

Izvede se lahko lokalno ali v določenem ločenem procesu, ki je ustvarjen in vstavljen.

V novejših različicah je lupinska koda shranjena v datotekah namesto v registru, shranjena lupinska koda pa se naloži in izvede ob zagonu Dolphina, kar v različici 1.9 (prvotni različici, ki smo jo analizirali) ni bilo tako.

Ukazi lupine

Dolphin lahko izvaja ukaze lupine; to se naredi prek popen API in njihov izhod je pridobljen.

Kraja poverilnic

Dolphin lahko iz brskalnikov pridobi poverilnice v obliki shranjenih gesel in piškotkov. Podprti so naslednji brskalniki:

• Krom
• Edge
• Internet Explorer

V različici 2.2 je bila ta zmožnost odstranjena, verjetno zato, da bi se izognili odkrivanju. Kasneje je bil obnovljen v različici 3.0, vendar v drugačni obliki. Zdaj se dinamično sprejema od C&C v obliki shellcode.

Google Račun

Še en od Dolphinovih ukazov spremeni nastavitve trenutno prijavljenega Google računa, s čimer zniža njegovo varnost glede na privzete nastavitve. Iz brskalnika ukrade obstoječi piškotek prijavljenega računa in oblikuje zahteve, ki spreminjajo nastavitve.

Prvič, omogoči dostop do Gmaila prek protokola IMAP tako, da pošlje zahtevo HTTP POST na:

• https://mail.google.com/mail/u/0/?ik=&at=&view=up&act=prefs

Nato omogoči "manj varen dostop do aplikacije" tako, da pošlje nedokumentirano zahtevo RPC prek HTTP POST na:

• https://myaccount.google.com/_/AccountSettingsUi/data/batchexecute

Te spremembe se v backdoorju imenujejo "gromov dostop", kar je verjetno sklicevanje na e-poštnega odjemalca Thunderbird. Dostop do nabiralnikov žrtev z odjemalcem tretje osebe prek IMAP verjetno pomaga operaterjem ScarCruft ohraniti dostop do e-pošte žrtev po kraji poverilnic, kar morda samo po sebi ne bo dovolj zaradi Googlovega zaznavanja sumljivih poskusov prijave.

Ta funkcija je bila najdena v različicah 1.9 in 2.0 backdoorja; ni prisoten v različicah 2.2 ali 3.0.

Uprizoritev podatkov

Dolphin eksfiltrira podatke v shrambo Google Drive in jih pred nalaganjem uprizori v šifriranih arhivih ZIP. Backdoor vzdržuje tudi seznam datotek v obliki zgoščenih vrednosti MD5, da se izogne ​​večkratnemu nalaganju iste datoteke. Ta seznam je mogoče ponastaviti z namenskim ukazom.

konfiguracija

Zadnja vrata vsebujejo začetno privzeto konfiguracijo, ki se obdrži pri prvem zagonu in naloži pri naslednjih zagonih. Shranjen je v datoteki %ProgramData%.inf, Kjer je naključno izbran izmed obstoječih ujemajočih se imen datotek %windir%inf*.inf. Vsebina je šifrirana z uporabo AES CBC z naključnimi 16-bajtnimi ključi in IV-ji, ki so shranjeni na začetku datoteke. Konfiguracija uporablja format JSON s ključi, podobnimi razpršitvi. Primer dešifrirane konfiguracije je prikazan na sliki 3.

Konfiguracijo je mogoče spremeniti z ukazi. Med drugim vsebuje naslednje:

• Šifrirni ključi
• Poverilnice za dostop do API-ja za Google Drive
• Naslovi oken za keylog
• Seznam končnic datotek za eksfiltracijo

Evolucija delfinov

Od začetnega odkritja Dolphina aprila 2021 smo opazili več različic zakulisnih vrat, v katerih so akterji groženj izboljšali zmožnosti zakulisnih vrat in se poskušali izogniti odkrivanju. Slika 4 povzema videne različice; podrobnejši opis sprememb različice je podan spodaj.

november 2021 – različica 2.0

Različica 2.0 je uvedla naslednje spremembe različice, najdene aprila 2021:

• Dinamično reševanje sumljivih API-jev namesto statičnih uvozov (npr GetAsyncKeyState) dodano
• Zmogljivost shellcode končana in izboljšana
  • Stalna lupinska koda, shranjena v datotekah namesto v registru
  • Obstojna lupinska koda se naloži in izvede ob zagonu Dolphin (prej manjka)
• Zmožnost ekstrakcije datotek prenosne naprave je končana in izboljšana
  • Dodana eksfiltracija z razširitvami
  • Dodano je prepoznavanje notranjega pomnilnika in kartic SD (iz ID-ja naprave).
  • Ukaz za pridobivanje datotek iz prenosnih naprav je dejansko NOP
• Izboljšano zaznavanje naprave/pogona in izločanje datotek
  • Dolphin zdaj brezpogojno ustvarja sezname imenikov in eksfiltrira datoteke po razširitvah vsakih 30 minut za vse pogone in naprave (fiksne pogone, izmenljive pogone, prenosne naprave). Prej je bilo samo za izmenljive pogone; fiksni pogoni so bili privzeto onemogočeni, koda za dostop do prenosnih naprav pa je bila napačna in pokvarjena.

december 2021 – različica 2.2

Spremembe, uvedene v različici 2.2, so bile osredotočene predvsem na izogibanje zaznavanju. Zmožnost kraje poverilnic in z njo povezani ukazi – kraja poverilnic in ukazi Google Račun – so bili odstranjeni. Večina nizov v tej različici je kodiranih base64.

Januar 2022 – različica 3.0

V različici 3.0 je bila koda reorganizirana in razredi preimenovani, zmožnosti pa so ostale nespremenjene. Nizi, kodirani z base64, so bili v tej različici spet navadno besedilo. Opazili smo naslednje dodatne spremembe:

• Ukaz za krajo poverilnic obnovljen v drugačni obliki; zdaj izvaja lupinsko kodo iz C&C
• Ukaz za popolno odstranitev datotek iz prenosnih naprav
• Ukaz za pridobivanje datotek iz pogonov je zdaj predpomnjen/shranjen v konfiguraciji do dokončanja. Če je prekinjen (na primer z zaustavitvijo računalnika), se izvede ob naslednjem zagonu. To je uporabno tudi v primeru izmenljivih pogonov, ki ob izdaji ukaza morda niso povezani.
• Dodano preverjanje internetne povezave (https://www.microsoft.com); brez povezave se zlonamerna koda ne izvede

Razlike med različicama 2.2 in 3.0, zlasti neskladje v kodiranju nizov, kažejo na možnost, da so različici vzporedno razvijali različni ljudje.

zaključek

Dolphin je še en dodatek k ScarCruftovemu obsežnemu arzenalu zakulisnih vrat, ki zlorabljajo storitve shranjevanja v oblaku. Po namestitvi na izbrane cilje preišče zanimive datoteke na diskih ogroženih sistemov in jih eksfiltrira v Google Drive. Ena nenavadna zmožnost, ki jo najdemo v prejšnjih različicah zakulisnih vrat, je možnost spreminjanja nastavitev računov Google in Gmail žrtev, da se zmanjša njihova varnost, verjetno zato, da se akterjem groženj ohrani dostop do računa. Med našo analizo več različic stranskih vrat Dolphin smo opazili nadaljnji razvoj in poskuse izogibanja odkrivanju.

IoC

SHA-1	Ime datoteke	Ime zaznavanja ESET	Opis
F9F6C0184CEE9C1E4E15C2A73E56D7B927EA685B	N / A	Win64/Agent.MS	Dolphin backdoor različica 1.9 (x64)
5B70453AB58824A65ED0B6175C903AA022A87D6A	N / A	Win32/Spy.Agent.QET	Dolphin backdoor različica 2.0 (x86)
21CA0287EC5EAEE8FB2F5D0542E378267D6CA0A6	N / A	Win64/Agent.MS	Dolphin backdoor različica 2.0 (x64)
D9A369E328EA4F1B8304B6E11B50275F798E9D6B	N / A	Win32/Agent.UYO	Dolphin backdoor različica 3.0 (x86)
2C6CC71B7E7E4B28C2C176B504BC5BDB687C4D41	N / A	Win64/Agent.MS	Dolphin backdoor različica 3.0 (x64)

Tehnike MITER ATT&CK

Ta tabela je bila izdelana z uporabo različica 12 okvira MITER ATT&CK.

Taktika	ID	Ime	Opis
Začetni dostop	T1189	Kompromis vožnje	ScarCruft uporablja napade z vodnimi luknjami, da ogrozi žrtve.
Izvedba	T1059.006	Tolmač ukazov in skriptov: Python	Nalagalnik Dolphin a uporablja skript Python.
	T1059.007	Tolmač ukazov in skriptov: JavaScript	ScarCruft je uporabil zlonamerni JavaScript za napad z vodo.
	T1203	Izkoriščanje za izvedbo naročnika	ScarCruft izkorišča CVE-2020-1380 za ogrožanje žrtev.
	T1106	Izvorni API	Dolphin uporablja funkcije Windows API za izvajanje datotek in vstavljanje procesov.
Vztrajnost	T1053.005	Načrtovano opravilo/opravilo: Načrtovano opravilo	Dolphin za zagon po namestitvi uporablja začasno načrtovano nalogo.
	T1547.001	Izvedba samodejnega zagona zagona ali prijave: ključi za zagon registra / zagonska mapa	Dolphin uporablja tipke Run za obstojnost svojega nalagalnika.
Izmikanje obrambi	T1055.002	Procesno vstavljanje: prenosno izvršljivo vstavljanje	Dolphin lahko vbrizga v druge procese.
	T1027	Zakrite datoteke ali informacije	Dolphin ima šifrirane komponente.
Dostop s poverilnicami	T1555.003	Poverilnice iz shramb gesel: Poverilnice iz spletnih brskalnikov	Dolphin lahko pridobi shranjena gesla iz brskalnikov.
	T1539	Ukradi piškotek spletne seje	Dolphin lahko pridobi piškotke iz brskalnikov.
Discovery	T1010	Odkrivanje okna aplikacije	Dolphin zajame naslov aktivnega okna.
	T1083	Odkrivanje datotek in imenikov	Dolphin lahko pridobi sezname datotek in imenikov.
	T1518.001	Odkrivanje programske opreme: Odkrivanje varnostne programske opreme	Dolphin pridobi seznam nameščene varnostne programske opreme.
	T1082	Odkrivanje sistemskih informacij	Dolphin pridobi različne informacije o sistemu, vključno z različico OS, imenom računalnika in velikostjo RAM-a.
	T1016	Odkrivanje konfiguracije sistemskega omrežja	Dolphin pridobi lokalni in zunanji naslov IP naprave.
	T1016.001	Odkrivanje konfiguracije sistemskega omrežja: Odkrivanje internetne povezave	Dolphin preverja internetno povezavo.
	T1033	Odkrivanje lastnika sistema/uporabnika	Dolphin pridobi uporabniško ime žrtve.
	T1124	Odkrivanje sistemskega časa	Dolphin pridobi trenutni čas žrtve.
Collection	T1056.001	Zajem vnosa: beleženje tipk	Dolphin lahko beleži pritiske tipk.
	T1560.002	Arhiviraj zbrane podatke: arhiviraj prek knjižnice	Z uporabo knjižnice Zipper Dolphin stisne in šifrira zbrane podatke pred eksfiltracijo.
	T1119	Avtomatizirano zbiranje	Dolphin občasno zbira datoteke z določenimi končnicami iz pogonov.
	T1005	Podatki iz lokalnega sistema	Dolphin lahko zbira datoteke z lokalnih pogonov.
	T1025	Podatki iz izmenljivih medijev	Dolphin lahko zbira datoteke z izmenljivih pogonov.
	T1074.001	Data Staged: Lokalno podatkovno uprizarjanje	Delfinske stopnje so pred eksfiltracijo zbirale podatke v imeniku.
	T1113	screen Capture	Dolphin lahko zajema posnetke zaslona.
Poveljevanje in nadzor	T1071.001	Protokol aplikacijskega sloja: spletni protokoli	Dolphin uporablja HTTPS za komunikacijo z Google Drive.
	T1102.002	Spletna storitev: dvosmerna komunikacija	Dolphin komunicira z Google Drive za prenos ukazov in izločanje podatkov.
Eksfiltracija	T1020	Avtomatizirana eksfiltracija	Dolphin občasno eksfiltrira zbrane podatke.
	T1567.002	Exfiltration Over Web Service: Exfiltration to Cloud Storage	Dolphin izliva podatke v Google Drive.