» » Дамп ShadowBrokers: разбираемся в содержимом директории «swift»

 

Дамп ShadowBrokers: разбираемся в содержимом директории «swift»

Автор: admin от 22-04-2017, 07:15, посмотрело: 343

Всем привет!

В пятницу 14 апреля рано утром в публичном доступе появился новый дамп инструментов и документов Агенства Национальной Безопасности США, украденных APT-группировкой TheShadowBrokers. В данной статье мы попытаемся разобраться, что же содержится в папке swift дампа.

Дамп ShadowBrokers: разбираемся в содержимом директории «swift»

Осторожно, под катом много картинок и текста.

Интересно, что на этот раз группировка выложила дамп на сервисе Steemit, сопроводив дамп текстом о том, как они разочарованы в президенте США Дональде Трампе, и озаглавив его «Lost in translation»: https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation
Также интересным кажется и тот факт, что сам дамп выложен на сервисе Яндекс.Диск.
Владельцем файла является пользователь с ником yurishitova.

Дамп ShadowBrokers: разбираемся в содержимом директории «swift»


Данный архив был расшифрован и выложен на GitHub: https://github.com/misterch0c/shadowbroker

Что содержится в дампе?


Дамп состоит из трех директорий: oddjob, swift, windows.
Ниже привожу листинг директорий.



В директории windows содержится большое количество файлов, предлагаю читателю самостоятельно ознакомиться с ней, пройдя по ссылке выше на github. Уточню лишь, что данная директория содержит в себе фреймворки для эксплуатации, эксплойты и импланты, использованные АНБ для проникновения. При наличии интереса к данной тематике будет опубликовано продолжение статьи с разбором папки windows и её содержимого.

swift


В процессе изучения содержимого директории сложилось впечатление, что это общая проектная папка, куда сотрудники складывали свои наработки и проектную документацию (судя по коду в скриптах из директории windows, предполагается, что эта папка автоматически маунтится к машине специалиста). По последним датам из различных файлов можно предположить, что содержимое было украдено в сентябре 2013 года, когда проект был еще в статусе полноценно кипящей работы. Исходя из текстовых и офисных файлов, можно сделать вывод, что атаке подверглась организация EastNets, связанная с разработкой финансового ПО и SWIFT.


Следующие файлы представляют из себя конфигурации сетевого оборудования, а именно:






Директория в числе прочих содержит файлы Microsoft Office, часть из них запаролена, брутфорс по известным словарям не дал результата:
Файлы: ENSB DXB Passwords V2.4.xlsx, JEEPFLEA_MARKET Passwords V2.4.xlsx

Есть и презентация, созданная, судя по всему, для отчета о текущем статусе проекта. Презентация, судя по метаданным, создана 01.07.2013, последние изменения внесены 12.08.2013. Можно предложить, что примерно в эту дату и состоялся отчет.
Файл: JFM_Status.pptx

Дамп ShadowBrokers: разбираемся в содержимом директории «swift»

Третья страница презентации говорит нам о неком JEEPFLEA_POWDER, упоминаний о котором больше нет в архивах. Можно предположить, что данный проект называется JEEPFLEA и делится на этапы, из которых упомянуты только MARKET и POWDER. Далее в статье я буду использовать такое условное разделение.

Дамп ShadowBrokers: разбираемся в содержимом директории «swift»

Остановимся на этом поподробнее.

Первый слайд


Данный слайд многое говорит о проекте в целом. этап JEEPFLEA_MARKET.
Цель этапа: отделения компании EastNets в Дубай, Бельгии и Египте.
Получено на данном этапе: 9 SAAs — могут иметься в виду внешние системы компании. Admins — могут иметься в виду админские доступы к внутренним системам.
Не известно, что означает Quad в презентации.
На слайде сообщается, что были получены доступы к пользовательской сети (employee network), а также планируется установка инструмента ZESTYLEAK на VPN-фаерволы компании. Исходя из открытых источников, ZESTYLEAK — имплант, входящий в состав FEEDTROUGH, разработанный АНБ для установки на сетевое оборудование марки Juniper. Упоминание о данном ПО есть в каталоге ANT (документы, опубликованные Эдвардом Сноуденом):

Дамп ShadowBrokers: разбираемся в содержимом директории «swift»

Третий слайд


На третьем слайде презентации говорится о планах этапа JEEPFLEA_POWDER, на момент редактирования презентации особенных успехов у АНБ нет.
Цель этапа: филиалы компании BCG в Венесуэле и Панаме. Business Computer Group — реселлер компании EastNets в Венесуэле и Панаме.


Планы этапа: идет работа по компрометации машин администраторов с использованием имплантов SECONDDATE и IRONVIPER.
SECONDDATE — имплант для осуществления man-in-the-middle атаки с использованием веб-протоколов.
Доступно описание из документов, опубликованных Сноуденом.
По всей видимости, имплант может представлять из себя некое подобие фреймворка BeEF.

Продолжим изучать содержимое директории swift.

Во многих таблицах встречаются следующие интересные столбцы:

  • Implant/Implanted.В данных столбцах записывается аббревиатура установленного на скомпрометированном хосте импланта, например FLAV — FlewAvenue.

  • PSP. Антивирусное решение на хосте. PSP — Personal Security Products.

  • Trigger. Содержат строку, которую необходимо послать оператору на скомпрометированный хост для вызова бэкдора. Данная строка задаётся при компиляции полезной нагрузки фреймворком DanderSpritz. Это позволяет скрывать присутствие импланта на целевой системе и получить к нему доступ по запросу.

  • Vulnerable. В данный столбец записывается аббревиатура эксплойта, использованного для компрометации. Например ESAU — EsteemAudit.


Дамп ShadowBrokers: разбираемся в содержимом директории «swift»

В директории также присутствует множество таблиц с результатами запросов к домен-контроллерам корпоративной сети EastNets, в которых есть информация об имени хостов, установленной ОС и сервис пакам, фамилии и имена сотрудников и пр. служебная информация.

Дамп ShadowBrokers: разбираемся в содержимом директории «swift»

В директории имеются файлы, похожие на проектные заметки, а именно:


  • Файлы с результатами трансфера DNS-зоны изнутри скомпрометированной сети. Судя по датам в названии файлов, трансфер зоны производился 11.10.2013 и 17.10.2013. Файлы: DNS Zone Trans 2013_10_11.txt, DNS Zone Trans 2013_10_17.txt

  • Заметки сотрудников, задействованных в проникновении. В них имеются логи имплантов, полученные со скомпрометированных хостов, заметки о конфигурации имплантов, описаны шаги проникновения в некоторые хосты.

  • Файлы DSL1opnotes.txt, DSL2opnotes.txt представляют из себя логи фреймворка DanderSpritz, по ним мы можем видеть некоторые операции по проникновению. В них мы можем увидеть идентификатор пользователя, задействованного в работах по проникновению:

    PROJECT=JEEPFLEA_MARKET
    OPUSER=33159
    OPSCHEDULE=13083019453124
    SCRUBVER=6.007000008

    А вот так выглядит лог фреймворка DanderSpritz:


  • VSD файлы. В основном это карты сети отделений EastNets в различных странах.


Документы Office


Некоторые файлы явно были созданы в самом EastNets и содержат соответствующие корпоративные пометки, в то время как другая часть файлов была создана непосредственно в АНБ, о чём говорят пометки с названием JEEPFLEA_MARKET. В нескольких из таких файлов найдены метаданные, где раскрываются авторы документов, а также время создания и изменения документов. Исходя из этих данных, первый документ был создан 01.09.2011:

Дамп ShadowBrokers: разбираемся в содержимом директории «swift»

Тег NSA-FTS327 может говорить о принадлежности сотрудника Pecoraro Michael к подразделению Requirements & Targeting, которое в свою очередь входит в Tailored Access Operations (FTS32 — TAO).

Последние изменения в файл JEEPFLEA_MARKET_BE.xls (информация по отделению EastNets в Бельгии) внес некий Heidbreder Nathan S SSG NSA-F22.
Тег NSA-F22 может говорить о принадлежности сотрудника к подразделению F22: European Cryptologic Center (ECC), Германия.
В социальной сети LinkedIn зарегестрирован акканут, совпадающий по признакам на рассматриваемого сотрудника: nathan heidbreder, специальность значится как «Cryptologic Network Warfare Specialist at US Army».


Дамп ShadowBrokers: разбираемся в содержимом директории «swift»

Поиск по твиттеру тоже дал результат: найден вероятный твиттер-аккаунт этого человека, зарегистрированный в 2014 году. Твиттер пуст и явно используется лишь для того, чтобы читать поток твитов из подписок. По подпискам этого твиттера можно предположить что данный твиттер-аккаунт и есть аккаунт этого человека.

Скриншот страницы twitter.com/NHeidbreder:
Дамп ShadowBrokers: разбираемся в содержимом директории «swift»

Подписки пользователя в Twitter:

Дамп ShadowBrokers: разбираемся в содержимом директории «swift»

Скриншот страницы nathan heidbreder в Linkedin:

Дамп ShadowBrokers: разбираемся в содержимом директории «swift»

В процессе написания данной статьи аккаунты в Linkedin и Twitter были удалены, однако скриншоты сохранились.
Запрос в гугл по ключевым словам «nathan heidbreder us army» ведет на ресурс corpsman.com, где в списке фигурирует Heidbreder Nathan Scott.

Интересная деталь: твиттер Austin Hurlock был единственным подписчиком аккаунта @NHeidbreder в твиттере и аккаунтом, с которого была подтвержена компетенция «security» аккаунта nathan heidbreder в Linkedin.
На момент написания статьи аккаунт Austin Hurlock был доступен в Linkedin. В момент создания файлов по проекту JEEPFLEA, этот человек работал на должности Computer Network Defense Analyst в Marine Corps:

Дамп ShadowBrokers: разбираемся в содержимом директории «swift»


SQL


Помимо прочего в директории содержатся файлы с командами Oracle SQL для извлечения интересущей АНБ информации, приведу несколько примеров (Файл initial_oracle_exploit.sql):

select '"name","account_status","password","spare4"' from dual;
select '"'||name||'","'||account_status||'","'||u.password||'","'||spare4||'"' from user$ u, dba_users
where spare4 is not null
and username = name;

select '"SWIFT_Dates_In_Database"' from dual;
select substr(table_name,6,20) SWIFT_Dates_In_Database
from all_tables
where owner = 'SAAOWNER'
and table_name like 'MESG%'
and table_name not like '%YYYYMMDD%'
order by 1 desc


Заключение


Уверен, что более глубокий анализ файлов данной директории смогут провести специалисты по форензике и OSINT, которым я не являюсь. На данный момент нет возможности уверенно утверждать что все вышеперечисленные события и предполагаемые исполнители действительно существовали. Однозначных доказательств аутентичности выложенных файлов не существует. Кроме того, тяжело сделать вывод о том, имеют ли какое-либо отношение данные люди к озвученным операциям спецслужб США.

Предлагаю хабраюзерам поучаствовать в дисскусии в комментариях.

Андрей Рогожкин

Источник: Хабрахабр

Категория: Программирование, Информационная безопасность

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Введите два слова, показанных на изображении: *