IOC_18Cerber-19Smokeloader

Доброго дня, панове.

Візьміть до уваги дані по двом розсилкам.

18го числа проходила розсилка VBS скриптів, які ініціювали завантаження та запуск Cerber Ransomware

19го числа (сьогодні зранку) проходила розсилка JS скриптів, які ініціювали завантаження та запуск Smokeloader

Рівень загрози по cerber – середній, по smokeloader – високий.

Для організацій, що прислухалися до моїх попередніх рекомендацій щодо обмежень операцій із скриптовими файлами – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload обох розсилок детектуються DAT & GTI.

Трохи аналітики:

  • Частина джерел досі активні (детальніше дивіться в блоці маркерів)
  • По сьогоднішній розсилці є скомпрометовані веб-ресурси українських організацій (ТОВ «РАДІОЛОГІЧНИЙ ЦЕНТР «СТАКС», Компания «VKmodule»)
  • Кампанія по cerber (18те) проходила через нелокалізовані листи
  • Кампанія по smokeloader проходила з локалізованими листами із зображеннями документів (паспорту)
  • Крім двох VBS, кожен із скриптів містить як мінімум два посилання (не одне)
  • Для обходу фільтрів застосовують обгортку у вигляді 7zip (не всі рішення підтримують сканування архівів цього формату)
  • У другому випадку застосували запуск із Робочого столу щоб обійти можливі політики щодо %temp%
  • Payload в обох випадках передається у відкритому вигляді (не кодований)

Схема атаки:

18/09 – VBS _ Cerber

email > attach (7z) > VBS >  WScript > URL > GET > %temp%\%random%.exe

19/09 – JS _ Smokeloader

email > attach (7z) > JS > WScript > URL > GET > %Userprofile%\Desktop\%random%.exe

 

Маркери IOC:

 

18/09 – VBS – Cerber

File Name 20488960477.vbs 
SHA-256 Hash Identifier E67C1156F7049F0C9C480109CEA8F5FC27527E3E10D874B2A94D228A13B56C30
File Size 9720 bytes
File Type ASCII text

намагається завантажити payload із

98.124.251.167 80 HTTP troyriser.com GET /87thiuh3gfDGS? HTTP/1.1
46.185.113.174 80 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1
File Name 9752714232.vbs
SHA-256 Hash Identifier E95808AA32993A842A9C8245FA23D760B72B651688510048112D97B3682AB2F1
File Size 9881 bytes
File Type ASCII text

намагається завантажити payload із

98.124.251.167 80 HTTP troyriser.com GET /87thiuh3gfDGS? HTTP/1.1
46.185.113.174 80 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1
File Name 32359538621.vbs

SHA-256 Hash Identifier E89F385EC88198DC7ABB9B6C57F64EC473469F0CD4D2B174A9996894561075E1

File Size 9740 bytes

File Type ASCII text

намагається завантажити payload із

149.56.223.252 80 HTTP saitis.eu GET /87thiuh3gfDGS? HTTP/1.1
46.185.113.174 80 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1

File Name 2705466177.vbs
SHA-256 Hash Identifier 04F34C472657E1E5434DC119A54858490A7392BAD3F53699488E5C5F36F9D030
File Size 10020 bytes
File Type ASCII text

намагається завантажити payload із

85.95.237.29 80 HTTP yildizmakina74.com GET /87thiuh3gfDGS? HTTP/1.1
46.185.113.174 80 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1

File Name I_202505~1.vbs
SHA-256 Hash Identifier 5E364BA40816233DD82ABC039292F6B91696B04EDD8570F0CC04AF9322454E8C
File Size 11288 bytes
File Type ASCII text

намагається завантажити payload із

207.58.143.135 80 HTTP gabriellesrestaurant.com GET /GHFbfsalku65? HTTP/1.1
 

File Name I_442393~1.vbs
SHA-256 Hash Identifier 4061030F24622876509F3324CD0D2EEAF2F52FA86E880C905195ED4449F93109
File Size 11373 bytes
File Type ASCII text

намагається завантажити payload із

185.18.198.158 80 HTTP camerawind.com GET /GHFbfsalku65? HTTP/1.1

у випадку успішного завантаження в %temp% записується файл

File Name AciFyqRD.exe
SHA-256 Hash Identifier 3EBB3C50EA81E6897F130CD5582981CA6EE0A5432EBFE85FA522DC25FC462AAF
File Size 649216 bytes

– на тестових системах зразок шифрування не розпочав і після запуску дав команду на видалення себе через cmd

– – – –

19/09 – JS – Smokeloader




File Name труд_договор.js
SHA-256 Hash Identifier DDADB1A64C2A642DC481AFD65203240F225D67BE90ECFB15048F045B6C24FC84
File Size 21770 bytes
File Type ASCII text

активація скрипта приманки призводить до завантаження основного тіла із (додаткові адреси див. в блоці мережевих маркерів)

194.28.87.175 HTTP staks.com.ua GET /image/svhost.exe HTTP/1.1


File Name SVHOST.EXE
SHA-256 Hash Identifier 97B587AEF1FB6E51EFE1428CD6936430962C31590A7C01A8B9CF45B04C923734
File Size 268288 bytes

Яке записується та стартує із каталогу %Userprofile%\Desktop\random.exe

– дуже агресивний, після запуску припиняє роботу утиліт моніторингу

– інжектує себе у процес explorer.exe

– додає у автозавантаження через HCU\Run

– ініціює з’єднання із сервером контролю 47.89.252.198 HTTP poperediylimitkv.com POST /web/ HTTP/1.1

– блокує запуск утиліт моніторингу під обліковим записом жертви

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву з скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

18/09 – VBS – Cerber

завантаження основної частини (payload)

98.124.251.167 HTTP troyriser.com GET /87thiuh3gfDGS? HTTP/1.1 (видалено)
46.185.113.174 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1 (файл досі присутній)
149.56.223.252 HTTP saitis.eu GET /87thiuh3gfDGS? HTTP/1.1 (видалено)
85.95.237.29 HTTP yildizmakina74.com GET /87thiuh3gfDGS? HTTP/1.1 (видалено)

одиночні скрипти

207.58.143.135 HTTP gabriellesrestaurant.com GET /GHFbfsalku65? HTTP/1.1 (видалено)
185.18.198.158 HTTP camerawind.com GET /GHFbfsalku65? HTTP/1.1 (видалено)

19/09 – JS – Smokeloader

завантаження основної частини (payload)

194.28.87.175 HTTP staks.com.ua GET /image/svhost.exe HTTP/1.1 (файл досі присутній)
212.26.135.68 HTTP vkmodule.com.ua GET /ppt/svhost.exe HTTP/1.1 (файл досі присутній)
47.89.252.198 HTTP poperediylimitkv.com GET /hiloddfvnc/svc.exe HTTP/1.1 (файл досі присутній)

комунікація із контрольним центром (С2)

47.89.252.198 HTTP poperediylimitkv.com POST /web/ HTTP/1.1  (активний обмін даними зі скомпрометованої системи)

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: