IOC_Adwind_121017

Доброго вечора, панове.

Вчора в першій половині дня було зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Він уже потрапляв в поле мого зору тричі: у червні 16го, у травні 17го та на початку вересня 17го.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

Рейтинг приманки на VT – досі! docx 3/60, jar – 4/60.

Цього разу для обходу фільтрів застосували обгортку у вигляді OLE об’єкту у .docx файлі.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що компоненти Adwind детектуються DAT & GTI.

Трохи аналітики:

Я завжди виділяв даний клас загроз з поміж усіх зразків, які мені доводилося розбирати.

Причина полягає в тому, що 90% того мотлоху який щоденно тоннами розсилається у мережі не залежно від типу та форми обгортки (dropper) зводиться до примітивного – “завантажити / розпакувати / запустити .exe” (payload)

Відповідно, ті, хто звертають увагу не лише на IOC, а й на мої рекомендації, вже знають, що більшість складних/хитрих схем інфікування можна поламати через правила Acces Protection або деактивацію відповідних механізмів ОС, що дозволяє зупинити активність зразків на початковій стадії, не допускаючи значних ушкоджень системи жертви. (тут мова про сигнатури взагалі не йде бо в момент розсилки їх просто не буде)

Коли ми говоримо про Adwind потрібно вживати додаткових заходів захисту адже зразки цього типу в процесі інфікування не створюють нових запусних файлів, вони використовують встановлену JRE з дійсним цифровим підписом на яку через параметр подаються команди із файлу. Після закріплення уся активність на яку може звернути увагу технічний спеціаліст це присутність процесу javaw.exe (який досить легко сплутати з оновленнями Java) у автозавантаженні та періодична мережева активність від імені цього ж процесу – погодьтеся, що це не  буде виглядати підозрілим для системи, на якій активно використовуються Java додатки.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

 

Схема атаки:

email > .docх > OLE > %temp%\Java Update.jar, *.class & *.vbs > %Userprofile%\feAvqJOQQQh\vopqWIOLoxI.ZrKgLV

Маркери IOC:

File name Purchase Order & Product Specification.doc
SHA-256 2391153b1d1cce5645545e2e7f08361e4dbe44332f6d1730da2c2a9fa6086faa 
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document
File size 605.71 KB

File name Java Update.jar
SHA-256 b1cec81040e0d2408bfa1fc949899a6b99cc44e9aafe80fdf1d2bebd4e3f5a1d 
File Type application/x-java-archive; charset=binary
File size 542.64 KB

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\tmp\Java Update.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.5743056579312063127883038705222330.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive570114789299081000.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%,

це те, що має насторожити уважного адміна/ІБшника (про скрипти в %temp% я вже мовчу)

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v FwdqdYRuBhF /t REG_EXPAND_SZ /d 
"\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\feAvqJOQQQh\vopqWIOLoxI.ZrKgLV\"" /f

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\feAvqJOQQQh\*.*"

– приховує свої файли через атрибути файлової системи

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\feAvqJOQQQh\vopqWIOLoxI.ZrKgLV

– передача керування на файл з інструкціями з каталогу користувача

"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.147022225971277562635083797810489821.class 
%temp%\vaTFpntHCB8289512746733850272.reg
"cmd.exe" /c regedit.exe /s C:\tmp\vaTFpntHCB8289512746733850272.reg

– запуск скриптів ініціює часткову зачистку слідів, відкриття мережевих з’єднань і блокування системних та засобів захисту через Image File Execution Options, “debugger”

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

– збір інформації про встановленні драйвери PnP пристроїв – може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої)

на відміну від зразка за 16й рік, який цікавився не драйверами а параметрами брандмауєра

"taskkill" /IM UserAccountControlSettings.exe /T /F 
"taskkill" /IM Taskmgr.exe /T /F
"taskkill" /IM procexp.exe /T /F
"taskkill" /IM wireshark.exe /T /F

– спроба зупинити роботу довжелезного переліку засобів безпеки та утиліт моніторингу

reg  query "HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676" 
reg  query "HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676"
reg  query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676"
reg  query "HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676"
reg  query "HKEY_CURRENT_USER\Software\HeidiSQL\Servers"
reg  query "HKEY_CURRENT_USER\Software\DownloadManager\Passwords"
reg  query "HKEY_CURRENT_USER\Software\Paltalk"
reg  query "HKEY_CURRENT_USER\Software\Beyluxe Messenger"
reg  query "HKEY_CURRENT_USER\Software\IMVU\username"
reg  query "HKEY_CURRENT_USER\Software\IMVU\password"

– перевірка цікавих ключів реєстру

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю:

victim_host:49309 > 5.133.15.1:1434 TCP

###

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Мережеві IOC:

victim_host:49309 > 5.133.15.1:1434 TCP

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

Tags: , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: