[Увага!] Правила безпечної роботи з email

the only easy day was yesterday (с) U.S. Navy SEAL

Або як не підхопити черговий різновид вірусу, котрий шифрує файли.

Останнім часом знов активізувалися віруси, що шифрують файли і вимагають гроші за їх розшифровку, себто різновид ransomware/cryptoware. І якщо на початку року це були .SCR або .EXE в обгортці архівного чи MS Word файлу, то тепер це java script. Використання JS дозволяє зловмисникам значно зменшити розмір принади (dropper), так приміром, один із семплів “важить” усього 4Кб:

ransom2

Modus operandi (метод дії) далеко не новий, але у поєднанні із базовими елементами соціальної інженерії його вистачає для того, щоб спровокувати жертву запустити скрипт. Як тільки скрипт запущено далі спрацьовує звична схема: в фоні завантажується основна частина, яка займається пошуком та шифруванням файлів. Після того, як процес завершено жертві дають інструкції як сплатити викуп через TOR мережу.

Важливі моменти:

  • віруси розповсюджуються через цільові розсилки (фішинг);
  • назви приєднань спеціально підібрані (Акт Сверки, документы..);
  • сервери, з яких довантажується основний payload – РФ;
  • в обгортці js команди пропущені через примітивний base64 (для обфускації);

base64

  • не потребує привілеїв Адміністратора.

Варто зазначити, що отримані семпли, навіть через 24/48 годин після першого випадку зараження мають досить низький рейт на VirusTotal. Зловмисникам достатньо буде замінити base64 на більш досконалий алгоритм і це автоматично змінює контрольну суму, що для більшості простих АВ означатиме пропуск свіжої версії. (Тут треба розуміти, що перед нами дууже спрощений механізм, мені наприклад стає моторошно, коли я подумаю, що трапиться, якщо автори доберуться приміром до Veil-Evasion і навчаться ним користуватися.)

Ті семпли, що потрапили мені до рук розпаковують своє основне тіло (payload) у каталог %temp%, а значить мої поради стосовно користувацьких AccessProtection Rules варто актуалізувати – для захисту від js-ransomware потрібно створити правило, яке б  блокувало створення та запуск .exe файлів у каталозі %temp%. Таким чином ми позбавляємося ризику того, що новий вид або версія js ще не потрапили у бази чи хмару антивірусного захисту.

Фактично, така собі “еволюція” онлайн здирництва – результат успішної монетизації попередніх атак. В умовах, коли більшість користувачів тупо відкривають і запускають усе, що їм надходить на пошту, у ІБ фахівців фактично є лише три сценарії:

  • блокувати запускні приєднання при отриманні пошти, до того, як лист потрапить на очі користувачу;
  • блокувати створення та запуск скриптів чи .exe файлів з каталогів TEMP;
  • використовувати засоби статичного та динамічного аналізу коду.

Кожен із вищезгаданих методів має як свої переваги так і недоліки. В кінцевому результаті, усе залежатиме від вартості та унікальності інформації, яку замовник може втратити. Без сумніву, компанії, що покладаються лише на простий АВ скан по сигнатурам – приречені. Подбайте про захист щоби не стати черговою жертвою. Варто розуміти, що атак менше не стане, навпаки – будуть з’являтися усе нові й нові різновиди. А враховуючи монетизацію і продаж готових конструкторів таких “шифрувальщиків-вимагачів” – для їх запуску зловмиснику не потрібно розбиратися в коді js. Враховуйте цей фактор.

# # #

Менше з тим, через брак часу розгорнутий аналіз цих зразків наведу трохи пізніше – як тільки отримаю результати з “пісочниці” McAfee ATD.

Натомість хотілося би ще раз нагадати читачам правила здорового глузду:

І. поради для пересічних користувачів:

  1. Не відкривайте приєднання від невідомих адресатів, або людей, яким ви не довіряєте. Взагалі. Я цілком серйозно.;
  2. Якщо ви отримали файл із підозрілою назвою від людини, з якою спілкуєтеся по роботі – не соромтеся перепитати її (“Що ти мені надіслав?“);
  3. Якщо вам по роботі усе ж таки потрібно працювати з підозрілими приєднаннями – в жодному разі не переглядайте вміст приєднання безпосередньо у поштовому клієнті/вікні Web-пошти (ОС спробує розпакувати вміст приєднання у тимчасовий каталог і запустити його, не варто цього робити одразу) *Це правило також стосується відображення PDF у вікні бравзера;
  4. Натомість, завантажте приєднання в окремий каталог, але не поспішайте запускати/відкривати(!);
  5. Проскануйте приєднання (швидше за все це буде архівний файл) антивірусом. Пам’ятайте – якщо ваш антивірус нічого підозрілого не знайшов – це ще не привід радіти;
  6. Після сканування АВ, не залежно від його результатів, уважно дійзнайтеся реальне розширення файлу – якщо розширення подвійне типу: документ.js.pdf або документ.exe.doc, тоді це вірус. *На цьому кроці вам допоможе зміна параметрів відображення файлів у стандартному Explorer або альтернативний файловий менеджер типу FAR;
  7. Якщо ви впевнені у тому, що файл не містить конфіденційної інформації (персональні дані, фінансові розрахунки) – завантажте його для перевірки на портал virustotal.com. Якщо хоча би 1-2 антивіруси виявлять загрозу – це вже привід не відкривати цей файл;
  8. Якщо хоча би по одному з вищенаведених пунктів виникає підозра – зверніться до вашого Адміністратора і попросіть його перевірити файл.

ІІ. поради для ІБ-ентузіастів:

  1. Бажано мати під рукою тестову ВМ із Windows яку можна використовувати у якості полігону. Усе що треба – VirualBox (або ваш улюблений гіпервізор) та ліцензійний образ ОС. Сенс у тому, щоби усі підозрілі файли запускати всередині ВМ і відстежувати поведінку запущеного файлу інструментами Марка Руссиновича: Process Explorer + Process Monitor.
  2. Користуйтеся засобами перевірки документів MS Office, PDF перелік за посиланням.

ІІІ. Поради для ІТ/ІБ фахівців:

  1. перш за все – проведіть бесіду з вашими працівниками, поясніть їм ризики і наслідки інфікування ransomware, продемонструйте на тестовій ВМ результат роботи вірусу. Тут усе просто – якщо люди не будуть усвідомлювати небезпеки втрати важливої інформації – жодні технічні а тим більше адміністративні заходи не будуть ефективними;
  2. перевірте статус резервного копіювання критичних серверів та робочих станцій користувачів. чия інформація обробляється та зберігається у єдиному екземплярі;
  3. засобами поштового серверу або шлюзу електронної пошти (приміром McAfee Email Gateway) блокуйте приєднання що містять такі типи файлів: .exe, .com, .bat., .js, .scr;
  4. на рівні робочих станцій/серверів подбайте про наявність АВ-захисту, при чому не покладайтеся лише на сигнатурний аналіз – якщо ваш АВ має функціонал блокування потенційно небезпечних дій (наприклад у McAfee VSE / ENS10 це т.з. AccessProtection Rules) активуйте їх, щоби антивірус міг блокувати запуск такі речі як запуск .exe та скриптів із каталогів TEMP;
  5. якщо ви переймаєтеся захистом від цільових атак із використанням соціального каналу + 0day вразливостей, раджу звернути увагу на McAfee ATD, принципи роботи якої я розглядав на прикладі вівісекції CTB-Locker.

Наразі у мене все.

Будьте пильними та уважними при роботі з електронною поштою.

Чекайте на детальний аналіз і результати аналізів з ATD.

VR

Tags: , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: