IOC_vbs_asorti_280917

Доброго дня, панове.

Вчора ввечері було зафіксовано спроби доставки Locky Ransomware та Trickbot.

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через VBS скрипти у оболонці 7z.

Трохи аналітики:

  • напередодні (27го) проходила схожа розсилка але з одним payload
  • обидва зразки скриптів містять 6 посилань на три різних payload (два Locky та trickbot)
  • адреси на  завантаження payload не обфусковані, проте додана перевірка коду країни
  • в залежності від приналежності public IP використовується одна з двох гілок URL
  • слід остерігатися появи схожих скриптів із обфускацією та завантаженням payload по HTTPS
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload детектуються по GTI.

Схема атаки:

email > Attach (7z) > VBS > Country by IP > choose URL > GET > %temp%\random.exe

Маркери IOC:

File Name Scan0547.vbs
SHA-256 Hash Identifier 0BBB9E991DD845D60B25CD66DE7AEB4FD9AFD3548B3CD3ABC637F8D34057FDB3
File Size 12310 bytes
File Type ASCII text

перевірка зовнішньої адреси:

Array("https://ipinfo.io/json","http://www.geoplugin.net/json.gp","http://freegeoip.net/json/")

дві гілки завантажень

mual = Array("-ambrogiauto.com/9hciunery8g?","+sherylbro.net/p66/LUYTbjnrf","+(tb)patrickreeves.com/9hciunery8g?") 
mual = Array("+modaintensa.com/LUYTbjnrf?","+poemsan.info/p66/d8743fgh","+mediatrendsistem.com/LUYTbjnrf?")

File Name Scan0197.vbs
SHA-256 Hash Identifier BD4636951EC2258594666B46A76C29410BE8A9EA71AB7A764C2DC43B1ABA3157
File Size 12183 bytes
File Type ASCII text

перевірка зовнішньої адреси:

Array("https://ipinfo.io/json","http://www.geoplugin.net/json.gp","http://freegeoip.net/json/")

дві гілки завантажень

mual = Array("feng-lian.com.tw/9hciunery8g?","sherylbro.net/p66/LUYTbjnrf","-jaysonmorrison.com/9hciunery8g?") 
mual = Array("-plumanns.com/LUYTbjnrf?","poemsan.info/p66/d8743fgh","atlantarecyclingcenters.com/LUYTbjnrf?")

по типам payload:

/LUYTbjnrf – Locky варіант 1й

/d8743fgh – Locky варіант 2й

/9hciunery8g – trickbot

File Name LUYTbjnrf_LOCKY_RANSOM_1
SHA-256 Hash Identifier 4A4491A5DAA0B8C0D4E694601CBB860E0E069356B83E2F6EA215BE758F533F1E
File Size 589824 bytes
File Name d8743fgh_LOCKY_RANSOM_2
SHA-256 Hash Identifier 3E55A7A405E4C4E4AD6D19296AC512D6C32441D5A65419CD116FAA672B11963C
File Size 604672 bytes
File Name 9hciunery8g_TRICKBOT
SHA-256 Hash Identifier 01E771DC6CF9572EAC3D87120D7A7D1FF95FDC1499B668C7FDE2919E0F685256
File Size 423424 bytes

По зразкам Locky – поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

По trickbot – після запуску дублює своє тіло у

C:\Users\operator\AppData\Roaming\winapp\9idjunfry8h_USICKBPU.exe

Закріплюється через задачу системного планувальника

\services update c:\users\operator\appdata\roaming\winapp\9idjunfry8h_usickbpu.exe 27.09.2017 23:52

запускає новий екземпляр svchsot та інжектує себе у нього

C:\Windows\system32\svchost.exe > svchost.exe -k netsvcs

від його імені проводить мережеві комунікації:

78.47.139.102:80       HTTP myexternalip.com GET /raw HTTP/1.1

– визначення Public IP

185.158.115.72:443       TCP 185.158.115.72 [TCP Retransmission] 49346 → 443 [SYN]
194.87.92.30:443       TCP 194.87.92.30 [TCP Retransmission] 49351 → 443 [SYN]

– комунікації із серверами контролю

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

завантаження основної частини (payload)

Scan0547

192.99.35.71:80 HTTP 365 modaintensa.com GET /LUYTbjnrf? HTTP/1.1  
89.96.90.17:80 HTTP 360 ambrogiauto.com GET /9hciunery8g? HTTP/1.1 вже не доступний
37.229.33.147:80 HTTP 359 sherylbro.net GET /p66/LUYTbjnrf HTTP/1.1
208.79.200.8:80 HTTP 362 patrickreeves.com GET /9hciunery8g? HTTP/1.1
46.118.33.19:80 HTTP 357 poemsan.info GET /p66/d8743fgh HTTP/1.1
178.212.207.6:80 HTTP 363 mediatrendsistem.com GET /LUYTbjnrf? HTTP/1.1

Scan0197

203.74.202.50:80 HTTP 361 feng-lian.com.tw GET /9hciunery8g? HTTP/1.1
37.229.33.147:80 HTTP 359 sherylbro.net GET /p66/LUYTbjnrf HTTP/1.1
208.79.200.165:80 HTTP 363 jaysonmorrison.com GET /9hciunery8g? HTTP/1.1
65.44.220.61:80 HTTP 360 wrcchq.org GET /Bank/Scans385.zip HTTP/1.1 вже не доступний
217.160.224.147:80 HTTP 355 plumanns.com GET /LUYTbjnrf? HTTP/1.1
92.112.29.147:80 HTTP 357 poemsan.info GET /p66/d8743fgh HTTP/1.1
98.124.251.75:80 HTTP 370 atlantarecyclingcenters.com GET /LUYTbjnrf? HTTP/1.1

трафік після активації trickbot

78.47.139.102:80       HTTP myexternalip.com GET /raw HTTP/1.1

– визначення Public IP

185.158.115.72:443       TCP 185.158.115.72 [TCP Retransmission] 49346 → 443 [SYN]
194.87.92.30:443       TCP 194.87.92.30 [TCP Retransmission] 49351 → 443 [SYN]

– комунікації із серверами контролю

#

додаток1 – маркери по розсилці Locky (27/09/17)

(скрипти без перевірки країни, містять 3 URL)

209.140.18.67 80 HTTP bosphorustekneleri.com GET /d8743fgh? HTTP/1.1 
77.120.149.27 80 HTTP poemsan.info GET /p66/d8743fgh HTTP/1.1
138.201.161.139 80 HTTP dic-astra.com GET /d8743fgh? HTTP/1.1

додаток2 – маркери по розсилці Locky (26/09/17)

(скрипти без перевірки країни, містять 3 URL)

80.172.241.44 h11p://bsfotodesign.com 80.172.241.44 GET /dg6rerg? h11p/1.1 
72.249.104.96 h11p://brascopperchile.cl 72.249.104.96 GET /dg6rerg? h11p/1.1
46.175.103.224 h11p://playbrief.info 46.175.103.224 GET /p66/dg6rerg h11p/1.1
84.38.226.161 h11p://bouwpartnerzaagenschaaf.nl 84.38.226.161 GET /dg6rerg? h11p/1.1
149.210.143.182 h11p://gbvm.nl 149.210.143.182 GET /jkhguygv73? h11p/1.1
46.175.103.224 h11p://playbrief.info 46.175.103.224 GET /p66/jkhguygv73 h11p/1.1
216.55.186.90 h11p://fiancevisacover.com 216.55.186.90 GET /jkhguygv73? h11p/1.1

додаток3 – маркери по розсилці banker (26/09/17)

(обфускований js, один URL, завантаження payload по HTTPS)

h11ps://ZELGORODPP.RU/FOTO/PAGEANT.EXE
h11p://THEBALANCE.BID  - 185.82.202.116 (2C)

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: