Archive | 06/10/2017

IOC_Locky_05-061017

Доброго дня, панове.

В черговий раз фіксуємо спроби доставки Locky Ransomware (вже розглядав , та ).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через необфусковані VBS скрипти у оболонці 7z.

Подробиці:

На аналіз були надані два зразки скриптів, які відносяться до однієї кампанії.

Їх активація призводить до завантаження одного й того ж зразка.

Скрипти містять по 3 посилання, перевірки коду країни не виявлено.

GET запити не відрізаються. Частина посилань досі активна!

Користувачі захисту McAfee, зверніть увагу на дві речі:

  • payload детектується по GTI
  • репутація посилань низька – блок на MWG, NSP та WebControl

Схема атаки:

email > Attach (7z) > VBS > 3 URL > HTTP GET > %temp%\random.exe

Маркери IOC:

File Name Invoice_INV000267.vbs
SHA-256 Hash Identifier 158851690993F35C542E43FEF8747487AF7DFDC2C7051F98AF8469EE287AC8A0
File Size 11829 bytes
File Type ASCII text

Plyask = Array("bnphealthcare.com/9hgfdfyr6?","mrscrowe.net/p66/9hgfdfyr6","balzantruck.com/9hgfdfyr6?")

 

202.169.44.152      bnphealthcare.com       GET /9hgfdfyr6? HTTP/1.1 HTTP (+)   досі активний
217.175.10.144      mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
69.156.240.29        balzantruck.com         GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний

завантаження >

File Name WwLlYA.exe
SHA-256 Hash Identifier 33B62B95281BB0ECBAD2523BB99E4853FD516044B8F2B42EF4A1E29903E7BD0F
File Size 593920 bytes

другий скрипт

File Name Invoice_INV000104.vbs
SHA-256 Hash Identifier 919260CC38BF4F7B7BA93F716BA1D12DB4CDEF597F0A94C9036B8F8A16D99BCB
File Size 11743 bytes
File Type ASCII text

Plyask = Array("balzantruck.com/9hgfdfyr6?","mrscrowe.net/p66/9hgfdfyr6","georginabringas.com/9hgfdfyr6?")

 

69.156.240.29      balzantruck.com          GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний
178.136.206.128   mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
40.76.209.29        georginabringas.com   GET /9hgfdfyr6? HTTP/1.1 HTTP (+) досі активний

завантаження >

File Name iYwHXKr.exe
SHA-256 Hash Identifier 33B62B95281BB0ECBAD2523BB99E4853FD516044B8F2B42EF4A1E29903E7BD0F
File Size 593920 bytes

По зразкам поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні

202.169.44.152      bnphealthcare.com       GET /9hgfdfyr6? HTTP/1.1 HTTP (+)   досі активний
217.175.10.144      mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
178.136.206.128    mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
40.76.209.29         georginabringas.com   GET /9hgfdfyr6? HTTP/1.1 HTTP (+) досі активний

не активні

69.156.240.29        balzantruck.com         GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR