Archive | 22/09/2017

IOC_Locky_220917

Візьміть також до уваги мережеві маркери по сьогоднішній розсилці
dropperr – VBS файли
payload – EXE (Locky Ransomware) – уже розбирав раніше

Мережеві IOC:

!посилання досі активні!
(отримано з VBS скрипта який був переданий на аналіз)
98.124.251.69 HTTP 362 anderlaw.com GET /jhdsgvc74? HTTP/1.1 
95.67.75.154 HTTP 360 ideathlike.net GET /p66/jhdsgvc74 HTTP/1.1
85.17.24.201 HTTP 356 arktupala.com GET /jhdsgvc74? HTTP/1.1
Додаткові адреси пов’язані із даною кампанією:
h11p://animal-naturals.net/jhdsgvc74
h11p://antwerpiastamps.be/jhdsgvc74
h11p://amesatarragona.com/jhdsgvc74
h11p://amatuermatch.org/jhdsgvc74
h11p://allesandradesigns.com/jhdsgvc74

Схема атаки:

email > attach (7z) > VBS >  WScript > URL > GET > %temp%\%random%.exe

Маркери IOC:

File Name Invoice_file_70855.vbs
SHA-256 Hash Identifier 5C8ED74A3E1AAC74E48F84B2DE6B3DF3068DAAA3FEFB3F5D4D65A052E9D95007
File Size 10934 bytes
File Type ASCII text

срипт містить три адреси які перебирає з метою завантаження основної частини

298.124.251.69 HTTP 362 anderlaw.com GET /jhdsgvc74? HTTP/1.1 
95.67.75.154  HTTP 360 ideathlike.net GET /p66/jhdsgvc74 HTTP/1.1
85.17.24.201 HTTP 356 arktupala.com GET /jhdsgvc74? HTTP/1.1

у випадку доступності одного із трьох джерел – іде завантаження основної частини у %temp%\random.exe

File Name yWNeyvWNFWo.exe
MD5 Hash Identifier 693EF59145AA6B9E329F91538855EF64
SHA-1 Hash Identifier E3067D7C7227AF026C0ABFBDF7B417C4E294F380
SHA-256 Hash Identifier 3A810CBAD7296F83122C4A16B935A723D8019419069A55C939D93C246ABED2AC
File Size 670208 bytes

На тестовій системі шифрування не відбулося, засобів закріплення виявлено не було, зразок видалив себе.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву з скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_troldesh_ransom_220917

Доброго вечора, панове.

Сьогодні було зафіксовано спробу доставки різновиду Troldesh Ransomware.

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Трохи аналітики:

  • Зловмисники комбінують зразок який я уже розбирав із методом доставки через OLE
  • Файл-приманка не містить макросів, натомість там обфускований JS у вигляді OLE об’єкту
  • По при примітивний підхід сама приманка (dropper) мала низький рейтинг на VT (6/59)
  • Обидві частини dropper та payload розповсюджуються із двох різних скомпрометованих сайтів зони AU
  • Зразок закріплюється в системі і шифрування починає із затримкою 10-15 хв
  • Основна частина (payload) замаскована під png файл
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload детектуються по GTI.

Схема атаки:

email > URL > DOCX > OLE > JS > WScript > URL > GET > %APPDATA%\Microsoft\Windows\Templates\random.exe

Маркери IOC:

Сам документ приманка розповсюджується із скомпрометованого серверу (досі активний!):

142.4.12.133  h11p://http://www.bajaparts.com.au/kvit_recepr_92217.docx

File Name kvit_recepr_92217.docx
SHA-256 Hash Identifier 35CE8815C0D78DDD58C651FC520D65343CF919388944683F693BA994AD7C57D9
File Size 47017 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

При відкритті користувачу пропонують активувати два OLE об’єкти (два JS скрипти)

Якщо користувач запускає подвійним кліком один із них, він записується та оброблюється WSCript із %temp%

File Name Квитанция.js
SHA-256 Hash Identifier A6201F69711961EF02FBC1A584A65FCF7FFA431E57F4F9F8653F005F3F2961CF
File Size 50304 bytes

Його активація призводить до завантаження основної частини із скомпрометованого серверу (досі активний!):

27.121.64.61 h11p://www.papermillmedia.com.au GET /wp-includes/customize/copy_example_.png HTTP/1.1

у випадку успішного завантаження основне тіло записується процесом WSCript у каталог “%APPDATA%\Microsoft\Windows\Templates\939299.exe”

File Name copy_example.png            >>  939299.exe
SHA-256 Hash Identifier 1DCF33CE009B879CE5D5197904151DC32112476F84E50F808BF55E8C9EA2130D
File Size 1028608 bytes

Після запуску дублює своє тіло у C:\ProgramData\Windows\csrss.exe

Закріплюється через HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Run\

Через 10-15 хв після активації розпочинає процес шифрування файлів, зашифровані файли отримують розширення .crypted000007

Цитата із вимог про викуп:

“Baши фaйлы были зашифрoваны.

Чтобы pасшифрoваmь uх, Вaм нeoбxодимо omправumь кoд:

85F93484188BBACD2983|839|6|8

нa элеkmрoнный адpec VladimirScherbinin1991@gmail.com”

Мережева активність скомпрометованої системи:

939299.exe 2192 TCP 127.0.0.1 49283 ESTABLISHED
939299.exe 2192 TCP 127.0.0.1 49282 ESTABLISHED
939299.exe 2192 TCP 194.109.206.212 443 ESTABLISHED
939299.exe 2192 TCP 131.188.40.189 443 ESTABLISHED
939299.exe 2192 TCP 94.31.53.203 443 ESTABLISHED
939299.exe 2192 TCP 89.233.27.241 443 ESTABLISHED
939299.exe 2192 TCP 89.223.27.241 443 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження документу з OLE можна було перервати через блокування OLE на шлюзах WEB та EMAIL
  2. Активацію OLE можна було заблокувати через параметри реєстру
  3. Запис JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  4. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  5. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  6. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 6 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

завантаження файлу-приманки (dropper)

142.4.12.133  h11p://www.bajaparts.com.au/kvit_recepr_92217.docx

завантаження основної частини (payload)

27.121.64.61  h11p://www.papermillmedia.com.au GET /wp-includes/customize/copy_example_.png HTTP/1.1'

трафік після запуску payload

194.109.206.212 443 ESTABLISHED
131.188.40.189 443 ESTABLISHED
94.31.53.203 443 ESTABLISHED
89.233.27.241 443 ESTABLISHED
89.223.27.241 443 ESTABLISHED

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блок запуску OLE об’єктів через параметри пакету MS Office (HKCU\Software\Microsoft\Office\<Office Version>\<Office application>\Security\PackagerPrompt)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR