Pripremajući tekst koji je nedavno objavljen na portalu ideje.hr, uočio sam objavu AZOP-a od 11.7.2024. o pokretanju nadzora nad HZZO-om povodom sumnjivog phishing maila o kojem se tog dana pričalo (napominjem da sam ovu objavu AZOP-a primijetio tek prije nekoliko dana, a ne s danom objave na njihovim stranicama):
Sumnjivi mail koji je predmet nadzora, stigao je i do mojeg mailbox-a kao i do mailbox-a nekih mojih klijenata, pa sam već idućeg dana (12.7.2024.) napravio analizu maila.
Ako inkriminiranu poruku niste još vidjeli, prikazujem je u nastavku:
Sama poruka ima nekoliko očitih površno sastavljenih
elemenata, prije svega čudan naziv pošiljatelja, bez obzira što, naizgled,
dolazi s domene hzzo.hr. Zapravo, sama poruka ne bi ni trebala izazivati
poseban interes jer bi i umjereno osviješćen korisnik trebao prepoznati krivotvorinu,
no pokazalo sa da je mail poruka uspješno dospjela do brojnih primatelja, tako
da smo već isti dan na radiju slušali upozorenje HZZO-a primateljima da ne
otvaraju taj mail, a i neki programi elektroničke pošte su prikazali upozorenje
o sumnjivom pošiljatelju.
Glavni razlog za provedbu analize je dobra praksa da se u
slučaju propuštanja maila sa sumnjivim ili nedvojbeno malicioznim sadržajem do
računala korisnika, dakle u situaciji kada takav mail nije zaustavljen na filteru
mail servera, provede analiza maila te pokuša utvrditi tko je sve od korisnika
dobio taj mail i je li možda netko otvorio sumnjivi privitak (odnosno neoprezno
postupio na neki drugi način, ovisno od scenarije phishing maila, npr. je li na
računalu pohranjena maliciozna datoteka). Dodatni doprinos takve analize je i pribavljanje
dodatnih informacija koje će pomoći unaprijediti sigurnosne mjere ili pak
dobiti dodatne informacije o potencijalnim napadačima.
Ukratko ću navesti osnovne zaključke analize, bez detaljnog opisivanja
postupka.
Pokazalo se da je mail poruka pristigla sa mail servera Medicinskog fakulteta u Beogradu, odnosno ishodište maila
je bilo jednom računalu (vidi se njegova privatna IP adresa) koje je poruku
proslijedilo mail serveru. Naravno, to nipošto ne znači da je fakultet ili netko
sa fakulteta namjerno poslao ovaj mail, a ovaj zaključak je dobio još veće
uporište nakon što sam napravio i sljedeće korake u analizi. U svakom slučaju,
ili je računalo nekog korisnika – nastavnog osoblja ili možda studenta bilo
zaraženo i poslužilo za slanje poruke ili je možda sam mail server bio
kompromitiran. Zaključak se ne može donijeti bez forenzičke analize samog
servera i računala pošiljatelja, no to je naravno izvan obuhvata ove analize.
Ja sam jedino još mogao prikupiti javno dostupne dodatne podatke o samom mail
serveru i pokazalo se da ima jako puno ranjivosti koje se mogu eksploatirati
ali i da već ima povijest sličnih kompromitacija, pa ovaj server ostaje glavni osumnjičeni.
Sama mail poruka koja je došla do primatelja ima izrazito
nespretno sastavljeno ime pošiljatelja („Hrvatskog zavoda za zdravstveno
osiguranje <podataka.zastita <pri> hzzo [.] hr“). Znamo, naravno, da
adresa pošiljatelja u tijelu poruke nije nužno relevantna informacija, ali njegova
nespretna konstrukcija u ovom slučaju bi trebala biti dodatni indikator prevare.
No, ja sam nastavio analizu i fokusirao se na privitak poruke.
Privitak je sadržavao komprimiranu datoteku potvrda.tar
(dakle u komprimiranom tar formatu). Datoteku sam raspakirao u izoliranoj i kontroliranoj
okolini i pokazalo se da u sebi sadrži izvršnu datoteku potvrda.cmd. Napadač
je, pretpostavljam, ciljao na korisnike koji imaju instaliran program WinRAR i
to njegovu raniju verziju iz 2023. uz koju je registrirana ranjivost CVE-2023-38831.
Ovo je bila veoma opaka ranjivost koja je omogućila da se, nakon što korisnik
klikne na poruku, benigno izgledajućoj datoteci iz arhive doda sufiks exe,
nakon čega se datoteka izvodi. Ponavljam, ovo je moja pretpostavka zato što
nisam testirao izvedbu na ranjivoj verziji WinRAR, ali svi indikatori ukazuju
na ovu tehniku.
Nakon izvođenja, datoteka otvara komunikaciju prema Command&Control
serveru koji se nalazi na Amazon Cloudu. Analiza je izdvojila IP adresu i ime
servera kojem izvedeni program pristupa – www[.]sukhiclothing[.]com. Sama
domena je kreirana na GoDaddy pružatelju registracijskih usluga i to putem proxy
registranta tako da podaci o stvarnom vlasniku nisu vidljivi bez sudskog naloga
ili posebnog „prijateljskog“ uvjeravanja za koje konzultant koji nije i consigliere nema
osobite argumente.
Analiza raspakiranog programa na Virustotal i analiza mrežnog
prometa koji se izvodio iz malicioznog programa prema kontrolnom serveru je
pokazala da se radi o malwareu iz porodice FORMBOOK čija je osnovna namjena
krađa podataka, no ovdje sam zastao s daljnjom analizom koja bi detaljnije
opisala način rada ovog malicioznog programa. Zaključaka već sada imamo
dovoljno.
Što se tiče samog malware, vidjeli smo iskorištavanje
ranjivosti u paketu WinRAR. Ova je ranjivost zakrpana u kolovozu 2023. a
postoje podaci da je aktivno iskorištavana kao zero-day ranjivost od travnja do
kolovoza 2023. Uvjeren sam da i danas ima veliki broj nezakrpanih WinRAR
instalacija.
Vjerujem da nije puno ljudi nasjelo na ovu izvedbu s HZZO
predmetom, no uz pažljivije kreiranje phishing poruke, ova ranjivost ima veoma
zgodan mehanizam za automatsko izvođenje (automatsko kreiranje i izvođenje exe
datototeke).
Kada se sagleda cijela slika, još više smo uvjereni da je
Medicinski fakultet u Beogradu imao ulogu korisne žrtve. Vrlo moguće da je
netko iz Initial Access Broker djelatnosti prodao account za pristup
ovom serveru najboljem ponuđaču ili najboljim ponuđačima.
Vraćam se sad na AZOP, s početa teksta, a ovo je i jedan od zaključaka teksta s portala ideje.hr. Umjesto prvoloptaške reakcije i upiranja prsta u
krivu stranu, a i pojačanja panike koja je tada još vladala, bilo bi dobro da
smo dobili analizu s ovakvim ili još dubljim detaljima. Možda AZOP i nije
najpozvaniji ili najspremniji za ovakvu analizu, ali očekujem da netko ipak
postoji. Minimalno što se moglo postići bila bi uputa prema kojoj bi tvrtke s
manjom tolerancijom na rizike stavile kompromitirani mail server na crnu listu,
a dobro bi došla i obavijest o opasnosti nezakrpanog programa WinRAR.
Za kraj, još djelić Only Murders in the Building / True
Crime podcast zanosa. Imati ustanovu profila spomenutog fakulteta kao legitimnog
pošiljatelja malicioznog maila, napadaču daje velike prilike za kreiranje dobrog
preteksta tj. izgovora za scenarije socijalnog inženjeringa. Npr. upravo s ove
adrese može doći dobro skrojeni i uvjerljiv mail s malicioznim sadržajem na
neki drugi fakultet ili možda u bolnicu, čak i u Hrvatskoj. Recimo, dva tjedna
ranije…