IOC_Locky_041017

Доброго дня, панове.

На протязі останніх днів було зафіксовано масові спроби доставки Locky Ransomware (розглядав тут і тут ).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через обфусковані JS та необфусковані VBS скрипти у оболонці 7z та Zip.

Схема атаки:

email > Attach (7z/Zip) > JS / VBS > 2-3 URL > GET > %temp%\random.exe

Маркери IOC:

f17e6d1e-3827-47da-b191-55e94e24c406

5.2.88.79 80 HTTP 300 embutidosanezcar.com GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT HTTP/1.1 (-)
194.116.187.130 80 HTTP 387 basedow-bilder.de GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT HTTP/1.1 (+)

завантаження >

Filename UuhgwJfbwT3.exe
Size 576KiB (589824 bytes)
SHA256 b38ba4b2328342e46bdb396710161535870a1421819eae171f99a114a3d958a0

I_197975

98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (-)
185.119.213.186 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (-)

помилка в скрипті, завантаження не проходить, а реальна діюча адреса така:

184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (+)

завантаження >

Filename 873gfhi3f3r.exe
Size 576KiB (589824 bytes)
SHA256 5a563e7b4523310c4cacd24956ef84f0af27a3cb6457d662da1db29d48918add

I_980998

98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (-)
77.122.77.216 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (-)

помилка в скрипті, завантаження не проходить, а реальна діюча адреса така:

184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (+)

завантаження >

Filename 873gfhi3f3r.exe
Size 576KiB (589824 bytes)
SHA256 5a563e7b4523310c4cacd24956ef84f0af27a3cb6457d662da1db29d48918add

New Doc 2017-10-02 – Page 3 -8402

86.109.170.198 80 HTTP 296 globoart.es GET /ldjivy$?S(@M?%0F?uPcATUcPa=uPcATUcPa HTTP/1.1 (-)
46.175.146.50 80 HTTP 294 sherylbro.net GET /p66/ldjivy78?uPcATUcPa=uPcATUcPa HTTP/1.1 (-)

New Doc 2017-10-02 – Page 3 -8692

66.71.182.143 80 HTTP 297 maurocesari.it GET /ldjh??L?%01]?M?%0F?wLoxrGw=wLoxrGw HTTP/1.1 (-)
109.86.76.228 80 HTTP 290 sherylbro.net GET /p66/ldjivy78?wLoxrGw=wLoxrGw HTTP/1.1 (+)

завантаження >

Filename wLoxrGw4.exe
Size 595KiB (608768 bytes)
SHA256 70d06bd4e6a91b60bc8515e327fa1f9fb7ac82125e3c8a06359b5bb3f96e48f3

свіжий, необфускований VBS, перевірки коду країни нема

Invoice505122638848637420994974

Plyask = Array("tecnigrafite.com/8etyfh3ni?","derainlay.info/p66/8etyfh3ni","securmailbox.it/8etyfh3ni?")
89.96.90.14 80 HTTP 366 tecnigrafite.com GET /8etyfh3ni? HTTP/1.1
77.123.218.185 80 HTTP 367 derainlay.info GET /p66/8etyfh3ni HTTP/1.1
89.96.90.14 80 HTTP 365 securmailbox.it GET /8etyfh3ni? HTTP/1.1

усі три поки активні

завантаження >

Filename zzXOPtNyW.exe
Size 606KiB (620544 bytes)
SHA256 5ccb49b3a3bb1cf0cbeaebf50ed30344e4b87f19ca2d6dad578d5210de904d65

По зразкам поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні!

js
194.116.187.130 80 HTTP 387 basedow-bilder.de GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT
184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??mywoMVI=mywoMVI
184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz
109.86.76.228 80 HTTP 290 sherylbro.net GET /p66/ldjivy78?wLoxrGw=wLoxrGw
vbs
89.96.90.14 80 HTTP 366 tecnigrafite.com GET /8etyfh3ni? HTTP/1.1
77.123.218.185 80 HTTP 367 derainlay.info GET /p66/8etyfh3ni HTTP/1.1
89.96.90.14 80 HTTP 365 securmailbox.it GET /8etyfh3ni? HTTP/1.1

вже не активні

5.2.88.79 80 HTTP 300 embutidosanezcar.com GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT
98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??mywoMVI=mywoMVI
98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz
77.122.77.216 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??NRyvRxz=NRyvRxz
86.109.170.198 80 HTTP 296 globoart.es GET /ldjivy$?S(@M?%0F?uPcATUcPa=uPcATUcPa
46.175.146.50 80 HTTP 294 sherylbro.net GET /p66/ldjivy78?uPcATUcPa=uPcATUcPa
66.71.182.143 80 HTTP 297 maurocesari.it GET /ldjh??L?%01]?M?%0F?wLoxrGw=wLoxrGw

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Advertisements

Tags: , , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: