Eigene Recherche, was kann uns Open Source sagen?

Bild

Inspiriert durch den Artikel der Gruppe IB zu einem massiven Hackerangriff auf Banken und Unternehmen im Auftrag staatlicher Institutionen entschied ich mich, etwas mehr über RTM zu erfahren.

Ziel ist es nicht nur, die an diesem Angriff Beteiligten zu finden, sondern auch aufzuzeigen, wie zugänglich eine solche Untersuchung ist, wenn gute Werkzeuge und ein gewisser technischer Hintergrund vorhanden sind.

Quelldaten aus dem EditorGIB- Beitrag :

  1. 11. September 2018 - der Beginn der Massenverteilung von Malware
    „Insgesamt haben Hacker von September bis Anfang Dezember 11.073 Briefe von 2.900 verschiedenen E-Mail-Adressen gesendet, die von Regierungsbehörden gefälscht wurden. Es wurden ungefähr 900 verschiedene Domains gefunden, die den Adressen der Absender zugeordnet sind.
  2. Der Inhalt der Briefe enthält Informationen:
    "... als Betreff des Schreibens bedeutet" Senden am Donnerstag "," Service Note "," Zahlung August-September "," Kopien von Dokumenten "usw.)".
  3. Informationen zum Schadcode - "Trojan RTM".
  4. Netzwerkkennungen: namecha.in-Domäne und IP-Adressen: 188.165.200.156, 185.190.82.182, 5.135.183.146, 151.80.147.153, 109.69.8.34.
  5. Laut den Befunden der Group-IB-Analysten
    „Um die IP-Adresse des C & C-Servers zu erhalten, heißt die Site namecha.in.

Vergewissern Sie sich, dass sie die Dienste von hybrid-analysis.com, virustotal.com über namecha.in kennen. Für die Untersuchung werde ich ein Produkt namens Lampyre verwenden, das sich selbst als "Datenanalyse-Tool für alle" positioniert. Nach meinen Eindrücken ist das Produkt das Ergebnis der i2-Komposition. Maltego und anscheinend waren die Entwickler von Palantir inspiriert.

Ausführung von Anforderungen Hybridanalysis Suche und Virustotal Suche ergibt folgendes Ergebnis:

Bild

Es ist ersichtlich, dass die Dateinamen einmal beim Check - in Hybridanalysis Dienst, ähnlich wie die Namen der Gruppe-IB Analysten Bericht gesendet.

Lassen Sie uns zwei Anforderungen ausführen. Hybridanalyse-Bericht per Hashmit den Eingabedaten, Berichts-IDs und Hashes aus dem Ergebnis des vorherigen Berichts. Die Ergebnisse der Anforderungen werden mit der Originalgrafik an die Schaltung gesendet und wir löschen die Grafik von Objekten, die noch nicht erforderlich sind. Das Ergebnis ist:

Bild

Sie können sehen, dass die Ereignisse in der Grafik das früheste Datum im August 2017 haben, dann fehlgeschlagen sind und die Nutzung der Infrastruktur seit Beginn des Sommers 2018 wieder aufgenommen wurde.

Wir visualisieren das Ergebnis der Abfrage in Virustotal und

Bild

Bild

fassen das Zwischenergebnis für die Objekte und Ergebnisse zusammen:

  1. Hybridanalyse:
    • 4 Domänen: stat-counter-3-1.bit, stat-counter-4-1.bit, stat-counter-6-1.bit, vpnrooter.bit;
    • 19 IP-Adressen: 151.80.147.153, 94.156.189.28, 185.177.59.35, 185.203.117.161, 88.221.214.41, 195.123.225.58, 5.135.183.146, 91.92.136.232, 212.73.150.183, 204.85.32.91, 169.239.129.25, 216,58 2113.132, 109.69.8.34, 185.190.82.182, 188.165.200.156, 216.58.213.131, 5.149.255.199, 104.28.17.33, 104.28.16.33
  2. Virsutotal:


Es gibt also Fragen:

  1. Was für eine Domainzone * .bit;
  2. Welche URLs zu namecha.in und welche Antworten.

Es ist ersichtlich, dass der Domainname stat-counter-3-1.bit aus den Hybrid-Analysedaten der URL namecha.in/name/d/stat-counter-3-1 von Virustotal ähnelt .

Anfangs hatte ich keine Ahnung von namecha.in, im Allgemeinen stellte sich jedoch heraus: Es gibt ein Namecoin- Projekt , eine andere Verwendung von Blockchain-Technologien.
Namecoin ist ein Bitcoin-basiertes System zum Speichern beliebiger Kombinationen des Typs "Name-Wert", wobei die bekannteste Verwendung das alternative Root-DNS-Serversystem ist.
Die Ressource Namecha.in ist ein alternativer Namecoin-Block-Explorer.

Das heißt, die Informationen werden an namecha.in/name/d/mail-ru-stat-counter-cdn (abgekürzt) zurückgegeben:

StatusAktiv
Läuft nach dem Block ab461917 (noch 30918 Blöcke)
Letztes Update2018-11-16 10:35:22 (block 425917)
Registriert seit2018-06-13 19:44:47 (Block 402893)
Aktueller Wert{"Ip": ["185.203.117.161"]}

Operationen

Datum / UhrzeitBedienungWert
2018-11-16 10:35:22OP_NAME_UPDATE{"Ip": ["185.203.117.161"]}
2018-07-30 14:05:46OP_NAME_UPDATE{"Ip": ["195.123.226.143"]}
2018-07-18 11:35:27OP_NAME_UPDATE{"Ip": ["185.82.219.79"]}
2018-06-13 19:44:47OP_NAME_FIRSTUPDATE{"Ip": ["195.123.217.232"]}

Wie Sie sehen, werden Informationen zu den IP-Adressen des angegebenen Domänennamens (mail-ru-stat-counter-cdn.bit) zurückgegeben, einschließlich einer Rückschau.

Übrigens ist es möglich, die Auflösung eines Domainnamens in der Bitzone über nslookup vom Server 91.217.137.44 (aus bitname.ru ) zu überprüfen .

Mit der Suche auf namecha.in konnten wir die folgenden Domänen in der Zone * .bit finden, die aufgrund der Art der Generierung und Erstellung möglicherweise einen verwandten Ursprung haben:

  1. namecha.in/name/d/ya-ru-stat-counter , ya-ru-stat-counter.bit;
  2. namecha.in/name/d/ya-ru-stat-counter-cdn , ya-ru-stat-counter-cdn.bit;
  3. namecha.in/name/d/stat-counter-3-1 , stat-counter-3-1.bit;
  4. namecha.in/name/d/stat-counter-3-2 , stat-counter-3-2.bit;
  5. namecha.in/name/d/stat-counter-4-1 , stat-counter-4-1.bit;
  6. namecha.in/name/d/stat-counter-4-2 , stat-counter-4-2.bit;
  7. namecha.in/name/d/stat-counter-6-1 , stat-counter-6-1.bit;
  8. namecha.in/name/d/stat-counter-6-2 , stat-counter-6-2.bit;
  9. namecha.in/name/d/mail-ru-stat , mail-ru-stat.bit;
  10. namecha.in/name/d/mail-ru-stat-cdn , mail-ru-stat-cdn.bit;
  11. namecha.in/name/d/mail-ru-stat-counter , mail-ru-stat-counter.bit;
  12. namecha.in/name/d/mail-ru-stat-counter-cdn , mail-de-stat-counter-cdn.bit

Daher habe ich mit Abfragen an namecha.in alle Informationen zu den aufgelisteten Domänen in der * .bit-Zone gesammelt, die Informationen in einer CSV-Datei mit den Feldern Datetime, IP, URL, Domäne gespeichert und in Lampyre importiert und eine Vorlage für das Diagramm erstellt.

Urls deuten auf eine Beteiligung an bekannten Unternehmen hin, doch dann tauchen Fragen auf:

  • Ihre strukturelle Identität - Ich glaube, wenn andere Menschen sie erfunden hätten, wäre ihre Struktur anders.
  • Die IP-Adressen, zu denen diese Einträge aufgelöst werden, haben keinen Bezug zu diesen beiden Unternehmen, sondern gehören zu ausländischen Hosts. Beide Unternehmen verfügen über eigene Rechenzentren außerhalb der Russischen Föderation und es ist unwahrscheinlich, dass sie damit begonnen hätten, Dienste anzubieten. Aber selbst wenn, hätten sie höchstwahrscheinlich umgekehrte DNS-Einträge zu diesen Adressen hinzugefügt.
  • Es scheint, dass diese URLs erfunden wurden, um sich unter den bekannten russischen Diensten zu tarnen.

Bild

In der Form eines Graphen sieht es so aus (Scheitelpunkte mit URL - entfernt aus dem Graphen) Aus

Bild

dem Graphen ist ersichtlich, dass die Infrastruktur aus den * .bit-Domänen ab April 2018 erstellt wurde und bis heute verwendet wird. Die "Zufälligkeit" von Domains und IP-Adressen scheint mir ausgeschlossen zu sein.

Ausgehend von der Tatsache, dass der RTM-Trojaner die namecha.in adressiert hat, hat die Untersuchung zu einer Art stabiler Infrastruktur geführt - Netzwerken von IP-Adressen, die definitiv Teil der Kampagne zur Verbreitung bösartiger Software sein können.

Insgesamt erkannte IP-Adressen: aus der Hybridanalyse - 19, aus dem Schema mit namecha.in und * .bit-Domänen - 31.

Insgesamt 44 eindeutige IP-Adressen:

102.165.37.97, 104.28.16.33, 104.28.17.33, 109.69.8.34, 109.94.110.11, 109.94.110.12, 149.202.30.7, 151.80.147.153, 169.239.129.25, 173.242.124.143, 185.141.61.246, 185.141.22, 185.141. 62.82, 185.177.59.35, 185.190.82.182, 185.203.117.161, 185.203.119.69, 185.205.210.184, 185.206.146.194, 185.82.219.79, 188.165.200.156, 193.37.212.134, 193.37.212.147, 193.37.212.183, 193.37.212.185, 195.123.217.232, 195.123.217.242, 195.123.225.58, 195.123.226.143, 195.123.245.184, 204.85.32.91, 212.73.150.183, 216.58.213.131, 216.58.213.132, 5.135.183.146, 5.149.255.199, 5.149.255.217, 54.38. 49.245, 88.221.214.41, 91.92.136.133, 91.92.136.232, 94.156.144.112, 94.156.189.28, 94.156.35.107

Nun zurück zu dem Artikel des Analytikers von Group-IB zu den Eingangsdaten unserer Studie:
„Als Nächstes versucht„ RTM “, eine Verbindung mit dem„ C & C “-Server herzustellen (die folgenden Adressen wurden gefunden: 188.165.200.156, 185.190.82.182, 5.135.183.146, 151.80.147.153, 109.69.8.34). Um die IP-Adresse des C & C-Servers zu erhalten, heißt die Site namecha.in.
Alle diese 5 IP-Adressen wurden von uns als Ergebnis der ersten Anforderung der Hybrid-Analyse mit dem Argument namecha.in erkannt, und es wäre möglich, nur mit ihnen zu arbeiten, aber ich versuchte weiter, andere IP-Adressen zu finden. Damit stehen 44 IP-Adressen für Analysen und Recherchen zum Thema Verschaltungen zur Verfügung.

Es besteht bereits Einigkeit darüber, dass die bekannten 5 IP-Adressen für einige Zeichen irgendwie verbunden sein sollten. Möglicherweise hat das Netzwerk (in der Grafik) eine offensichtliche Verbindung mit den anderen 39 Adressen, oder sie bilden alle eine interessante Struktur.

Wieder russische Hacker?


Offensichtlich waren die Ziele der Angriffe russische Unternehmen, und die Akten wurden auf Russisch abgerufen, und der Versand erfolgte über verschiedene E-Mail-Adressen, die von staatlichen Institutionen gefälscht wurden. Gibt es weitere Anzeichen für eine russische Spur? Was können Sie unter den oben angegebenen IP-Adressen noch finden?

Sehen wir uns die IP-Adressen der Länder an und erhalten Sie folgendes Ergebnis: USA, Bulgarien, Frankreich, Österreich, Kanada, Tschechien, Niederlande, Polen, Südafrika, Spanien.

Bild

Bild

Überprüfen Sie, ob sich unter den 44 gefundenen IP-Adressen Tor-Knoten befinden. Eine solche Überprüfung findet nicht statt.

Bild

Beachten Sie, dass IP 151.80.147.153 - seit 2015 ein regulärer TOR-Netzwerkknoten, Spitzname: DarkOVH, E-Mail: julles.reneau@post.com - diese IP folgt dem Analystenbericht der Gruppe IB und den Berichten zur Hybridanalyse.

Prüfen Sie, ob Torrents von diesen IP-Adressen heruntergeladen wurden.

Bild

Bild

Aber jetzt wird es für mich einen kleinen Trick geben - da der Artikel in zwei Ansätzen verfasst wurde, gehe ich schon davon aus, dass 188.165.200.156 von jemandem verwendet werden kann, der Russisch spricht, aber jetzt ist es aus dem Screenshot und der Tabelle nicht offensichtlich. Früher enthielt das Ergebnis der Suche nach Torrents beim ersten Ansatz, einen Artikel zu schreiben, neben anderen Informationen:

30.11.2018 14:36:00	30.11.2018 14:36:00	188.165.200.156	      	Пастырь (сезон 1) Preacher (2016).WEB-DL.720p.LostFilm                     	1976	cd46d4168ee44f31fbefce4303e24cbbda2d2cafe8283fa30363bc6148455d1ac1130edad0c9237934c05bf6c2d857c7

Das heißt, verstehen die Benutzer hinter dieser IP-Adresse die russische Sprache? Und ja, 188.165.200.156 ist auch eine von 5 interessanten Adressen.

Um die Annahme im Rahmen der aktuellen visuellen Untersuchung zu bestätigen, dass für IP 188.165.200.156 jemand "sitzt", der dem "russischen Genossen" sehr ähnlich ist, möchten wir folgende Zeile hervorheben:

17.12.2018 18:18:00	17.12.2018 18:18:00	188.165.200.156	Books	2017-14	986	186a81cee9d9900f42f700bc53a9da08f5ba6cd2ab56b885e3157f063f203871e01c95d2877325710a1859a66c71a379

Senden Sie für die Torrent-ID die Anforderung Heruntergeladene Torrents-Informationen nach ID und erhalten die Antwort, wer und mit welcher IP-Adresse der Torrent mit der angegebenen ID heruntergeladen wurde. Das Ergebnis ist wie folgt:

Bild

Laut Tabelle sind alle russischsprachigen Genossen das Herunterladen und Verteilen eines solchen Torrents. Darüber hinaus verbirgt Lampyre nicht die Tatsache, dass er das Ergebnis des Dienstes iknowwhatyoudownload.com verwendet , und grundsätzlich kann jeder den Inhalt des Torrents anzeigen , indem er dem Link folgt - viele Buchdateien in Russisch.

Das letzte Schema und eine merkwürdige Ressource


Durch die Kombination der Abfragen aus den in Lampyre dargestellten und den Visualisierungsmethoden (Legen des Diagramms, Entfernen nicht benötigter Scheitelpunkte, Gruppieren der Scheitelpunkte, Ändern der visuellen Eigenschaften der Scheitelpunkte und Kanten des Diagramms) wurde ein solches Schema erstellt .

Bild

Während des Prozesses traten verschiedene Schwierigkeiten auf, und gemäß einigen Eingabedaten wies die Hybrid-Analyse einen Informationsmangel auf. Auf Anfrage von Lampyre gab der Dienst von Virustotal eine Datenscheibe zurück, während er über die Schnittstelle unter www.virustotal.com/#/home/upload eine andere suchte Datensatz, durch die Suche von der Schnittstelle aus über die Adresse www.virustotal.com/gui/home/upload - die vollständigsten Daten. Mehrere Links im letzten Diagramm - von Lampyre im manuellen Modus zum Erstellen von Kanten erstellt.

Meiner Meinung nach zeigt das Diagramm die Beziehung zwischen IP-Adressen, Namen und Hashwerten von schädlichen Dateien ziemlich deutlich. Der Bereich in der Spalte von IP-Adressen wird zugewiesen: 151.80.147.153, 188.165.200.156, 5.135.183.146, 54.38.49.245, 149.202.30.7,
IP-Adressen, die von Analysten von GIB-151.80.147.153, 188.165.200.156, 5.135.183.146, 185.190 festgelegt wurden. 82.182, 109.69.8.34

Wie aus dem Diagramm ersichtlich, sind die im GIB-Bericht angegebenen IP-Adressen - 185.190.82.182, 109.69.8.34 mit hash verbunden: b0cde90e300e6d86394de375cd62bb462962016521d94ee987922e61c5e7777a, der mit der Datenbank verbunden ist Zeiten im August 2017 aufgezeichnet.

Das nächste mit bösartigen Aktivitäten verbundene Ereignis beginnt im Juni 2018 und steigt bis Ende 2018 an.

Bild

Auf eine gute Art und Weise könnte eine weitere Untersuchung fortgesetzt werden, indem die Zugangskontrollprotokolle, die Registrierung, die Zahlung usw. an die IP-Adressen des OVH-Anbieters zur Verfügung stehen. Aber leider gibt es keine solchen Daten, und eine Untersuchung wäre vollständig, aber ...

Im Verlauf der Untersuchung durch Scannen des Inhalts von Webseiten Ressourcen nicht aus meinem Kopf kam die Französisch Ressource arthurgarnier.fr

Bild

ist erwähnenswert, dass er nicht mehr aus dem Kopf ging, weil es ihn schüttelte ( verteilt) russische Torrents.

Die Ressource gehört angeblich dem französischen Ingenieur "Arthur Garnier", selbst sein Lebenslauf ist auf der Ressource angegeben - arthurgarnier.fr/CV_A_Garnier.pdf . Von dem können Sie lernen: github.com/ArthurGarnier , www.linkedin.com/in/arthur-garnier-13326880. Laut der Zusammenfassung wurde es Ende 2017 erstellt und schreibt selten an github.com. Aus dem Profil von www.linkedin.com geht hervor , dass Arthur seit Oktober 2017 als Ingenieur bei Groupe SII tätig ist. Und es scheint nichts zu sein, aber es ist dasselbe ... Auf der Seite ist unter anderem die Adresse von Arthurs Twitter-Account unter twitter.com/Dark_Arthur angegeben.

Bild

Wenn Sie auf den Account wechseln.

Bild

Wer steht hinter diesem Profil, warum ist der russischsprachige Twitter-Account auf Arthur's Website aufgeführt und nicht angeblich das eigentliche, später gefundene Konto: twitter.com/UpsiloN1X - bleibt eine Frage.

Zusammenfassend kann gesagt werden, dass das anfangs genannte Ziel natürlich nicht erreicht wird, aber die Ergebnisse einer solchen Studie sowie der Erkenntnisprozess selbst erwiesen sich als sehr aufregend.

Es gibt Fragen zum Konto bei Twitter, der Liste der IP-Adressen, warum so viele Informationen zur "russischen Spur". Ich denke, es wäre möglich, eine unabhängige Untersuchung fortzusetzen, indem er sich an den wahren Arthur wendet, wenn er immer noch seinen Server verwaltet (wenn der Server überhaupt seinen Server hat).

Jetzt auch beliebt: