IOC_Locky_220917

Візьміть також до уваги мережеві маркери по сьогоднішній розсилці
dropperr – VBS файли
payload – EXE (Locky Ransomware) – уже розбирав раніше

Мережеві IOC:

!посилання досі активні!
(отримано з VBS скрипта який був переданий на аналіз)
98.124.251.69 HTTP 362 anderlaw.com GET /jhdsgvc74? HTTP/1.1 
95.67.75.154 HTTP 360 ideathlike.net GET /p66/jhdsgvc74 HTTP/1.1
85.17.24.201 HTTP 356 arktupala.com GET /jhdsgvc74? HTTP/1.1
Додаткові адреси пов’язані із даною кампанією:
h11p://animal-naturals.net/jhdsgvc74
h11p://antwerpiastamps.be/jhdsgvc74
h11p://amesatarragona.com/jhdsgvc74
h11p://amatuermatch.org/jhdsgvc74
h11p://allesandradesigns.com/jhdsgvc74

Схема атаки:

email > attach (7z) > VBS >  WScript > URL > GET > %temp%\%random%.exe

Маркери IOC:

File Name Invoice_file_70855.vbs
SHA-256 Hash Identifier 5C8ED74A3E1AAC74E48F84B2DE6B3DF3068DAAA3FEFB3F5D4D65A052E9D95007
File Size 10934 bytes
File Type ASCII text

срипт містить три адреси які перебирає з метою завантаження основної частини

298.124.251.69 HTTP 362 anderlaw.com GET /jhdsgvc74? HTTP/1.1 
95.67.75.154  HTTP 360 ideathlike.net GET /p66/jhdsgvc74 HTTP/1.1
85.17.24.201 HTTP 356 arktupala.com GET /jhdsgvc74? HTTP/1.1

у випадку доступності одного із трьох джерел – іде завантаження основної частини у %temp%\random.exe

File Name yWNeyvWNFWo.exe
MD5 Hash Identifier 693EF59145AA6B9E329F91538855EF64
SHA-1 Hash Identifier E3067D7C7227AF026C0ABFBDF7B417C4E294F380
SHA-256 Hash Identifier 3A810CBAD7296F83122C4A16B935A723D8019419069A55C939D93C246ABED2AC
File Size 670208 bytes

На тестовій системі шифрування не відбулося, засобів закріплення виявлено не було, зразок видалив себе.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву з скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: