Archive | March 2016

Фишинг + ransomware = Show Must Go On

Очередной “сюрприз” может поджидать ваших сотрудников в почтовом ящике. Давайте посмотрим, как это работает, и что можно сделать, чтобы защититься от потери информации, времени и $.

И так, мы с вами уже препарировали разные виды приманок – от прямолинейного .exe до остроумного .js.

Новый герой нашего времени … RTF с начинкой. А вот и не угадали, макроса тут нет (это было в прошлый раз). Сегодня к нам на вивисекцию поступил документ, который при активации выполняет произвольный код благодаря уязвимости CVE-2015-1641.

Все начинается с фишинга:

email

Как видите, письмо содержит описательную часть (претекст), которая мотивирует наивную жертву посмотреть вложение. Если человек “повелся” и открыл файл, то спустя некоторое время он получит такое:

b1252f

Маркеры компрометации:

Источник:           cpanel.needassistant.com [94.23.190.185]

Тип:                      фишинг + ransomware

Обертка:              письмо с вложением .DOC (реально там RTF + CVE2015-1641)

Активация:          запись .exe в каталог %temp%, коммуникация с C2 через TOR, шифрование файлов

Сетевая активность:

IP:109.120.180.245, Port:443       vps-1065056.srv.pa.infobox.ru

IP:154.35.32.5, Port:443                   faravahar.rabbani.jp

IP:171.25.193.9, Port:80                   ehlo.4711.se

IP:176.9.133.154, Port:110               pascal-schwarz.ch

IP:85.25.138.93, Port:4029              echo357.server4you.de

IP:86.59.21.38, Port:443                  tor.noreply.org [38.21.59.86.in-addr.arpa]

IP:95.211.169.35, Port:443             this-is-a-tor-exit-node.tld

IP:104.81.246.8, Port:80                  akamai

Контрольные суммы:

Документ

File Name

schet1074.02.03.16.doc

MD5 Hash Identifier

02F84519450A403A3FEB5DC523919984

SHA-1 Hash Identifier

C4843C4A549AC1C0C890E4E95D5AA65D542F3D0F

SHA-256 Hash Identifier

CCEC0BFFCC491E776A4E04F55BF860946DF026F6982C9B21D303E4C0BACACCAA

Dropper

File Name

vmsk.exe

MD5 Hash Identifier

BE7C3AAD02F6B230E1E47C6955666C84

SHA-1 Hash Identifier

F41644C208A88076F98DA16AAEB824C66EC3D080

SHA-256 Hash Identifier

8CF6969107DC90A85777764713AAB899CC305F9A4F65A4E40C7EAB656FC9ADAF

Анализ

И так, картинка, которую видит в итоге жертва нам уже знакома, не так ли?

Уже прошло больше года, с тех пор, как мы столкнулись с CTB Locker`ом и его приемниками.

Если резервных копий не было, а информация была ценной – как правило, компании вынуждены платить выкуп.

А теперь, пожалуйста, представьте на минуту, что вместо банального “шифровальшика” сотрудник получает на машину имплант, и не какой-то там open-source, а платный вроде Galileo (вспомним HackingTeam). По сути, сервера рассылок, начинка и С2 – это всего лишь переменные. Канал доставки до сих пор функционирует исправно и в большинстве случаев, сотрудники по неосторожности будут открывать такие вложения..

Но, мы отвлеклись от темы. Если взглянуть внимательнее, то мы увидим то, чего наивная жертва, как правило не замечает – на самом деле, при запуске вложения по уже известному нам пути (%temp%) распаковывается основной dropper:

rtf_3 rtf_2

Вот его активность:

ATD_RTF_exe

ATD_RTF_exe_IP

По логам McAfee ATD видно, что помимо коммуникации с сервером управления основной дроппер создает дополнительный процесс, который в свою очередь проверяет систему, перед тем, как дать “отмашку” на шифрование:

ATD_FTF_2nd_exeATD_FTF_2nd_exe2

Фактически мы получаем привычную схему вымогателя только с иной оберткой.

Советы (да, я буду повторяться):

  1. Осведомленность сотрудников о том, что такое “фишинг” и “соц. инженерия”;
  2. Введения принципа “не касается твоей работы – не открывай”;
  3. Запрет создания и запуска исполняемых файлов и скриптов из директории %temp%;
  4. Проверка вложений перед открытием по VirusTotal либо ВМ;
  5. Использование модуля HIPS либо ENS10.1 (потому что в нем антивирус усилен функциями HIPS`a);
  6. Проведения периодических пентестов (тренингов);
  7. Внедрение решений динамического и  статического анализа документов (McAfee ATD, FireEye, PaloAlto Wildfire)

Будьте предельно внимательны и осторожны при работе с вложениями от незнакомых отправителей.

Он знал, что миллиарды и миллиарды ничего не знают и ничего не хотят знать, а если и узнают, то поужасаются десять минут и снова вернутся на круги своя.

 

vlcsnap-2016-02-14-15h21m46s629

VR