Archive | 04/02/2016

Первичный анализ очередного фишинга

Краткий разбор свежего семпла подручными средствами (а-ля сам себе sandbox)

И так, приступим к вивисекции.

Пример письма опубликую как только получу разрешение. Если вдруг кто-то забыл, как выглядит типичный современный фишинг – смотрите пример из предыдущей заметки.

В этот раз героем нашего шоу стал … документ MS Word. Внимательные читатели уже догадались – да, файл содержит макрос. Атакующие настолько обленились, что даже картинку-предупреждение не ставят (мол “цей документ було створено у більш новішій версії … активуйте макроси“). Оно и правильно – зачем напрягаться, если 90% потенциальных жертв и так кликнут и запустят.

Но давайте посмотрим – а что же происходит с теми пользователями, которые по неосторожности/незнанию или халатности активируют макрос?

win7

Я ожидал увидеть стандартный подход – извлечение тела дроппера из макроса в %temp% либо %AppData%, но не сложилось. Я сперва огорчился, а потом воспрянул духом – может это и есть тот самый опасный 0-day и этот макрос заставляет WINWORD.EXE делать всю грязную работу?(ууууу)

Но не тут-то было. Видно работали на скорую руку, потому ограничились тупой загрузкой дроппера с одного из файловых серверов, который хоститься во Франции:

GET hxxp://213.186.33.18/~lelodged/43543r34r/843tf.exe

win7-4

Сам IP файлового сервера находиться в зоне риска по GTI:

Screenshot-213.186.33.18 - IP - McAfee Labs Threat Center - Iceweasel (Private Browsing)

Т.е. если бы был IPS либо NGFW, то на этом шаге все бы и закончилось..

После загрузки и запуска оного получаем уже коннект на C&C, который хостится в Санкт-Петербурге:

843tf.exe >> 62.76.191.108

win7-6win7-8win7-9

А вот IP C&C еще не засвеченный потому по GTI пусто:

Screenshot-62.76.191.108 - IP - McAfee Labs Threat Center - Iceweasel (Private Browsing)

EXE-шник, к слову, уже детектится на конечной точке по GTI

Artemis!BBA6C087E282

На сегодня пока все.

IP адреса и документ с EXEшником переданы куда надо.

Следите за обновлениями.

# # # #

Мораль: обучайте своих пользователей распознавать фишинг. Объясняйте почему не стоит сразу открывать подозрительное вложение. И почему не нужно активировать макросы, даже если очень-очень просят или наоборот не просят.

vlcsnap-2016-01-29-00h17m11s026

VR