Archive | 11/10/2017

IOC_smokeldr_111017

Доброго вечора, панове.

Сьогодні зранку було зафіксовано спроби доставки троянського коду типу Smokeloader (розглядав раніше – тут та тут).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через обфусковані JS скрипти у оболонці 7z.

Користувачі захисту кінцевих точок McAfee – зверніть увагу, payload уже детектуєтся по GTI.

Серед скомпрометованих сайтів, що розповсюджують шкідливий код – ООО “Радар Комплект” (h11p://radar.org.ua)

Схема атаки:

email > Attach (7z) > JS > 1 URL > GET > %temp%\random.exe

Маркери IOC:

архів:

File name Док. УЛФ-Финанс.7z
SHA-256 d100a27a4c0dc9c3eaf3c1d5099ec06dd48038818d1ebc325944ee61301024a6
архів:
скрипт приманка:
File name Накладная 001.js
SHA-256 185c98cf2a5dfa5969affadfea14341ecce6f86dbfd549e7e8c5f59fd9e98335

Запуск скрипта-приманки ініціює завантаження основної частини засобами WSCript.exe

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у %AppData%\Roamin\Microsoft\random\random.exe

Додає себе у автозавантаження через HCU\Run

Запускає новий екземпляр explorer.exe і оперую від його імені.

Трафік скомпрометованої системи:

47.88.63.235 80 HTTP bbank.bit POST

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні

193.138.152.4 80 HTTP 384 h11p://www.poptavka-remeslnici.cz GET /profile/gallery/putty.exe HTTP/1.1 
46.36.223.11 80 HTTP 357 h11p://neocom21.com.ua GET /putty.exe HTTP/1.1
139.162.170.147 80 HTTP 358 h11p://www.radar.org.ua GET /putty.exe HTTP/1.1
47.88.63.235 80 HTTP 370 h11p://reanimationhelthcs.ru GET /foping/putty.exe HTTP/1.1


дані по листам:
IP:      82.207.79.108, 89.151.191.14
email: admyurist [@] cv.ukrtel.net, red_krarm [@] cbx.ru

трафік системи після зараження:

47.88.63.235 80 HTTP bbank.bit POST

Контрзаходи:

– – – – – – – – – – –

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR