IOC_Adwind_050917

Доброго дня, панове.

Вчора в першій половині дня було зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Він уже потрапляв в поле мого зору двічі: у червні 16го та у травні 17го.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що компоненти Adwind детектуються DAT & GTI:

Трохи аналітики:

Я завжди виділяв даний клас загроз з поміж усіх зразків, які мені доводилося розбирати.

Причина полягає в тому, що 90% того мотлоху який щоденно тоннами розсилається у мережі не залежно від типу та форми обгортки (dropper) зводиться до примітивного – “завантажити / розпакувати / запустити .exe” (payload)

Відповідно, ті, хто звертають увагу не лише на IOC, а й на мої рекомендації, вже знають, що більшість складних/хитрих схем інфікування можна поламати через правила Acces Protection або деактивацію відповідних механізмів ОС, що дозволяє зупинити активність зразків на початковій стадії, не допускаючи значних ушкоджень системи жертви. (тут мова про сигнатури взагалі не йде бо в момент розсилки їх просто не буде)

Коли ми говоримо про Adwind потрібно вживати додаткових заходів захисту адже зразки цього типу в процесі інфікування не створюють нових запусних файлів, вони використовують встановлену JRE з дійсним цифровим підписом на яку через параметр подаються команди із файлу. Після закріплення уся активність на яку може звернути увагу технічний спеціаліст це присутність процесу javaw.exe (який досить легко сплутати з оновленнями Java) у автозавантаженні та періодична мережева активність від імені цього ж процесу – погодьтеся, що це не  буде виглядати підозрілим для системи, на якій активно використовуються Java додатки.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

Схему атаки, маркери та перелік контрзаходів дивіться нижче.

Як і завжди основний принцип залишається незмінним – “Простіше упередити інфікування на ранній стадії аніж потім розбиратися із наслідками перебування шкідливого коду

Схема атаки:

email > attach (ZIP) > JAR > %temp%\*.class & *.vbs > %Userprofile%\Windows.reg\Update.scan

Маркери, IOC:

File Name PO-7235.jar
SHA-256 Hash Identifier 70ECF5D3EC5C876901BE635484E0137A31167143C9758DB52C54294810B27C14
File Size 558587 bytes
File Type application/x-java-archive; charset=binary

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Users\operator\Desktop\PO-7235.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.94455666565898946497103256142168062.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive6049223750802148355.vbs
cscript.exe  C:\tmp\Retrive6049223750802148355.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive7219502531594942910.vbs
cscript.exe  C:\tmp\Retrive7219502531594942910.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%, це те, що має насторожити уважного адміна/ІБшника (про скрипти в %temp% я вже мовчу)

"cmd.exe" /C cscript.exe C:\tmp\Retrive5392694676028337177.vbs
cscript.exe  C:\tmp\Retrive5392694676028337177.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive7999422219165629138.vbs
cscript.exe  C:\tmp\Retrive7999422219165629138.vbs
"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– – повторне копіювання, можливо для перестороги

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v javaw.exe /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\Windows.reg\Update.scan\"" /f

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\Windows.reg\*.*"
"attrib" +h "C:\Users\operator\Windows.reg"

– приховує свої файли через атрибути файлової системи

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\Windows.reg\Update.scan

– передача керування на файл з інструкціями з каталогу користувача

"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.89960564281661135816979970325922234.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive1106571663555988847.vbs
cscript.exe  C:\tmp\Retrive1106571663555988847.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive4075909662068347616.vbs
cscript.exe  C:\tmp\Retrive4075909662068347616.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive810479841220532242.vbs
cscript.exe  C:\tmp\Retrive810479841220532242.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive1722342620952052502.vbs
cscript.exe  C:\tmp\Retrive1722342620952052502.vbs

– запуск скриптів ініціює часткову зачистку слідів, відкриття мережевих з’єднань

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

– збір інформації про встановленні драйвери PnP пристроїв – може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої) на відміну від зразка за 16й рік, який цікавився не драйверами а параметрами брандмауєра

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю:

176.10.124.239 TCP 49189 → 8073 [PSH, ACK]

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Зразки правил ENS AP:

ENS \ Threat Protection \ Access Protection > Add

Description: anti_Adwind_VR

Action: +Block +Report

Executables: All (*.exe)

Subrules:

rule1 
BLK_appdata_exe block 
+Create +Execute 
**\Users\*\**\*.exe

rule2 
BLK_appdata_script_ 
+Write +Create +Execute +Read
**\Users\*\**\*.vbs
**\Users\*\**\*.js*
**\Users\*\**\*.wsf
**\Users\*\**\*.jar

Результат дії правил:

Як бачите, навіть при частковій забороні лише .vbs файлів зразок не додає себе в автозавантаження і зєднання із сервером контролю не проходить (так, файли залишаються і процеси активні, проте інформації про систему він вже не передає і перезавантаження не переживе – якщо тільки жертва не активує його сама повторно)

Мережеві IOC:

176.10.124.239 TCP 49189 → 8073 [PSH, ACK]

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: