IOC_java_bkdr_220517

 

Візьміть до уваги!

Вчора (22го травня) була зафіксована розсилка вірусного коду у вигляді java додатку.
Це різновид Adwind – багатокомпонентний backdoor на java.
Я такий раніше вже аналізував – ось запис https://radetskiy.wordpress.com/2016/06/09/jar_backdoor/

Небезпека полягає в наступному:

Цей зразок шкідливого коду не створює і не завантажує нові .exe файли.
Він працює через довірені процеси Java інтерпритатора.
Від так при поверхневому аналізі системи його завантаження матиме дійсний цифровій підпис процесу Java RE.

Маркери (IOC):
– – – – – – – – – – – – –

#1 email Received: from VPS2DAY-3P5MJ0J.vps2day.com (unknown [37.10.71.236])
– орендувався на період розсилки, зараз недоступний

#2 dropper документ MS Word
File Name Compliance_file_0002.doc
MD5 Hash Identifier 7B1012F6F04D3202F272DD6CF107C998
SHA-1 Hash Identifier 42B012F62A589F3D28103DDA7B9E9C9BF453735D
SHA-256 Hash Identifier 9F083BAD91B524FABF90B1D96B11DC20A66A1DEBE172827220B658B358FC5476
File Size 603503 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

після активації видобуває із себе .jar модуль і закріплюється в системі через автозавантаження:

c:\program files\java\jre7\bin\javaw.exe
“c:\program files\java\jre7\bin\javaw.exe” -jar “c:\users\admini~1\appdata\local\temp\sund265.jar

Registry Modified Key NewValue Type
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\bHsjjcvqZYM
“C:\Users\Administrator\AppData\Roaming\Oracle\bin\javaw.exe
-jar “C:\Users\Administrator\bESDTWqKmAn\AslueHMJTIP.PVJdkt” REG_EXPAND_SZ

#3 payload Jar файл, який виконується JRE

File Name SunD265.jar
MD5 Hash Identifier 48B3A3E436D98B660B6455CA01FCFAAF
SHA-1 Hash Identifier 271D72F4E0E7759A44C488417A110F05D494C60C
SHA-256 Hash Identifier F83201512E3433DABDC6E70AF6E2BD52B9F90A68C1AD022E6E5D89312DC7CD66
File Size 605894 bytes
File Type application/x-java-archive; charset=binary

запуск компонентів:

“c:\program files\java\jre7\bin\java.exe”
-jar c:\users\admini~1\appdata\local\temp\_0.60815154253218772229614256043455032.class
“cmd.exe” /c cscript.exe c:\users\admini~1\appdata\local\temp\retrive1490150423318292422.vbs
“cmd.exe” /c cscript.exe c:\users\admini~1\appdata\local\temp\retrive7919106372540064215.vbs
“cmd.exe” /c cscript.exe c:\users\admini~1\appdata\local\temp\retrive8237390097791835769.vbs
“cmd.exe” /c cscript.exe c:\users\admini~1\appdata\local\temp\retrive8949023460065588193.vbs
“xcopy” “c:\program files\java\jre7” “c:\users\administrator\appdata\roaming\oracle\” /e

відкриває з’єднання із серверами:
137.74.103.16:9090″
80.231.241.66:80″

#4 dll
File Name Windows7111878064044653248.dll
MD5 Hash Identifier 0B7B52302C8C5DF59D960DD97E3ABDAF
SHA-1 Hash Identifier D85524F464DCDED54EDFCFE6A5056F6C4008BBCB
SHA-256 Hash Identifier A6BE5BE2D16A24430C795FAA7AB7CC7826ED24D6D4BC74AD33DA5C2ED0C793D0
File Size 46592 bytes

Obtained the identifier of the thread or process that created the specified window
Obtained the priority value for a thread
Set the priority value for a thread

#5 vbs Retrive6039876219097447900.vbs, Retrive867820139510199033.vbs, Retrive867820139510199033.vbs

File Name Retrive6039876219097447900.vbs
MD5 Hash Identifier 3BDFD33017806B85949B6FAA7D4B98E4
SHA-1 Hash Identifier F92844FEE69EF98DB6E68931ADFAA9A0A0F8CE66
SHA-256 Hash Identifier 9DA575DD2D5B7C1E9BAB8B51A16CDE457B3371C6DCDB0537356CF1497FA868F6
File Size 276 bytes
File Type ASCII text

File Name Retrive4324072840813515187.vbs
MD5 Hash Identifier A32C109297ED1CA155598CD295C26611
SHA-1 Hash Identifier DC4A1FDBAAD15DDD6FE22D3907C6B03727B71510
SHA-256 Hash Identifier 45BFE34AA3EF932F75101246EB53D032F5E7CF6D1F5B4E495334955A255F32E7
File Size 281 bytes
File Type ASCII text

File Name Retrive867820139510199033.vbs
MD5 Hash Identifier A32C109297ED1CA155598CD295C26611
SHA-1 Hash Identifier DC4A1FDBAAD15DDD6FE22D3907C6B03727B71510
SHA-256 Hash Identifier 45BFE34AA3EF932F75101246EB53D032F5E7CF6D1F5B4E495334955A255F32E7
File Size 281 bytes
File Type ASCII text

Загалом:
– – – – – – –

1) Активація і закріплення в системі без створення нових .exe
2) Ініціює з’єднання із 2С
3) збирає інформацію про систему – наявність 0409 локалі (US), ім’я машини, антиВМ, дата і часовий пояс системи, збір інфи про АВ та брандмауєр,
4) Очікує команди із 2С

Рекомендації:
– – – – – – –
1) Фільтрація каналів доставки (web та email) на предмет макросів, скриптів та ін.
2) Заборона створення та запуску нових .jar та .vbs файлів
3) Застосування пісочниці
4) Співбесіди на тему фішингу, соц інженерії
5) Системи без JRE не вразливі до цього типу ШПЗ

Будьте уважні та обережні.

VR

Advertisements

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: