IOC_vbs_asorti_111017

Доброго дня, панове.

Вчора було зафіксовано спроби доставки Locky Ransomware та Trickbot.

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через необфусковані VBS скрипти у оболонці 7z.

Трохи аналітики:

  • схожа розсилка вже проходила 28 версеня
  • скрипти містять 6 посилань на два різних payload (два Locky та trickbot)
  • адреси на  завантаження payload не обфусковані, проте додана перевірка коду країни
  • в залежності від приналежності public IP використовується одна з двох гілок URL
  • слід остерігатися появи схожих скриптів із обфускацією та завантаженням payload по HTTPS
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що dropper та payload Trickbot детектуються по GTI.

Схема атаки:

email > Attach (7z) > VBS > Country by IP? > choose URL > GET > %temp%\random.exe

Маркери IOC:

File Name F9785396895.vbs
SHA-256 30f064b3c28ba251ab30f77337724a0d449d12943720697bb06ce5999f2b6520

перевірка зовнішньої адреси:

dataUrls = Array(“http://freegeoip.net/json/“,”http://www.geoplugin.net/json.gp“,”https://ipinfo.io/json“)

дві гілки завантажень

ZimZamZum = Array("globoart.es/jhbfvg7?","fetchstats.net/p66/jhbfvg7","teracom.co.id/jhbfvg7?") 
Else
ZimZamZum = Array("missinglynxsystems.com/8y6ghhfg?","fetchstats.net/p66/8y6ghhfg","eurecas.org/8y6ghhfg?")
End If

по типам payload:

jhbfvg7 – trickbot

Filename nrbob.exe

SHA256  5553f1e00e182ca5a4aa58c7f0fecb0b7a81b697f04d8194121e818358cf2196Copy SHA256 to clipboard

8y6ghhfg – Locky

Filename BKAoQKtgfOM.exe

SHA256  c35f705df9e475305c0984b05991d444450809c35dd1d96106bb8e7128b9082fCopy SHA256 to clipboard

По зразкам Locky – поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

По trickbot – після запуску дублює своє тіло у

C:\Users\operator\AppData\Roaming\winapp\random.exe

Закріплюється через задачу системного планувальника

\services update c:\users\operator\appdata\roaming\winapp\random.exe

запускає новий екземпляр svchsot та інжектує себе у нього

C:\Windows\system32\svchost.exe > svchost.exe -k netsvcs

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

перевірка зовнішньої адреси

104.31.11.172 80 HTTP 460 freegeoip.net GET /json/ HTTP/1.1 
178.237.36.10 80 HTTP 466 www.geoplugin.net GET /json.gp HTTP/1.1
172.217.20.174 443 TCP 54 49377 → 443 [ACK] Seq=204 Ack=2837 Win=64240 Len=0 (HTTPS)

завантаження Trickbot

86.109.170.198 80 HTTP 290 globoart.es GET /jhbfvg7? HTTP/1.1 (+) Trickbot
91.225.48.94 80 HTTP 296 fetchstats.net GET /p66/jhbfvg7 HTTP/1.1 (+) Trickbot
202.169.44.149 80 HTTP 292 teracom.co.id GET /jhbfvg7? HTTP/1.1  (-) 404 Not Found

трафік після активації Trickbot

49.51.134.78 80 HTTP 100 unhanorarse.info POST /tr554.php HTTP/1.1  (application/x-www-form-urlencoded)

завантаження Locky

66.36.173.181 80 HTTP 302 missinglynxsystems.com GET /8y6ghhfg? HTTP/1.1 (-) 403 
91.241.236.102 80 HTTP 297 fetchstats.net GET /p66/8y6ghhfg HTTP/1.1 (+) Locky
185.58.7.11 80 HTTP 291 eurecas.org GET /8y6ghhfg? HTTP/1.1 (+) Locky

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Advertisements

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: