Еволюція скриптів

До того, що скрипти-приманки можуть містити кілька зпасних посилань ми вже звикли.

Також звикли до перевірки Public IP та вибору з двох гілок завантажень.

Сьогодні ботнет Necurs розповсюджував новий варіант VBS скрипта, активація кого призводила до завантаження payload лише за певних умов:

File name: Invoice 89533683 10.18.2017.vbs
SHA-256: f166c84f7b732c380fd4a73540eec12d74290a04155edad7a1f4848811090867
File size 10.37 KB

Скрипт виконує збір параметрів про ОС та надсилає їх через POST запит

"POST", "http://haddownding.net/trtrtr.php",false [163.172.153.154]

В залежності від відповіді на цей запит скрипт або отримує адресу на завантаження payload або ж завершується.

Скрипт який потрапив мені сьогодні до рук буув орієнтований на системи з двох країн

так машини із США отримували
niv785yg _ Locky
Filename niv785yg
Size 623KiB (637952 bytes)
SHA256 64aae4b954766b84f8f8fdac62f7b53dcaa61b07031321a027740a4f9f0fe484
dbatee[.]gr/niv785yg
goliathstoneindustries[.]com/niv785yg
3overpar[.]com/niv785yg
pciholog[.]ru/niv785yg
disfrance[.]net/p66/niv785yg
а системи з Великобританії
iuty56g _ Trickbot
Filename iuty56g.exe
Size 393KiB (401920 bytes)
SHA256 9f6cce5b4c800f6ee2713efb58c098b2520257cac831288f576a1a4c01c1564b
envi-herzog[.]de/iuty56g
pac-provider[.]com/iuty56g
pesonamas.co[.]id/iuty56g
disfrance[.]net/p66/iuty56g

Природньо що на моїй тестовій системі скрипт завершився одразу.

Дані про джерела були взяті з блогу My Online Security

Варто бути готовим до того, що схожі скрипти перепишуть та переорієнтують на український сектор.

Тому краще заздалегіть вжити відповідних заходів, а саме:

Контрзаходи: (прості але дієві)

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесів WScript.exe, CScript.exe, Powershell.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й) – радикально проте раз і назважди
  • Заборона створення та зчитування/запуску *.JS*, *.VB*, *.WS*, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !

Для оптимального захисту:

  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: