Archive | December 2017

IOC_GlobeImposter_211217

Доброго вечора, панове.

Вчора по обіді була зафіксована масова розсилка Globeimposter Ransomware.
Схожий зразок розсилали 30/11/17, проте тоді застосовували необфусковані VBS скрипти:


Цього разу метод доставки- обфускований JS. Шлях запису та ім’я файлу чітко задано в скрипті.
Payload не кодований.

Рівень загрози (для організацій котрі не вжили заходів щодо скриптів) – середній.

Для тих, хто прислухався до наших попередніх рекомендаційнизький.

Схема атаки:

email > Attach: 7z(.JS)  > WSCRIPT > GET /psndhFTwd??MYBlBYTYWjc=MYBlBYTYWjc > %temp%\MYBlBYTYWjc2.exe

Маркери IOC:

приманка у вигляді JS файлу яку жертва має сприйняти за зображення відсканованого документу:

File name IMG_20171221_345358418.js
SHA-256 d5977c433a0d03416d79e78cf765add480ebbc120a80b5d2d96254ca3c37b2e1
File size 14.54 KB

після запуску JS він обробляється процесом WSCript, який і виконує завантаження основного тіла:

“C:\Windows\System32\WScript.exe” “C:\Users\operator\Desktop\IMG_20171221_345358418.js”

File name psndhFTwd >> %temp%\MYBlBYTYWjc2.exe 
SHA-256 410efb1938ab06cf29acbcd24a3eca81c5d6d0c84778997adad1b5f0ecfb455c
File size 198.5 KB

після завантаження основне тіло записується в %temp% і запускається через виклик від імені процесу cmd

cmd.exe /c START “”  C:\tmp/MYBlBYTYWjc2.exeC:\tmp/MYBlBYTYWjc2.exe

C:\tmp/MYBlBYTYWjc2.exe

основне тіло після завантаження копіює себе у AppData і додає в перелік автозавантаження:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

BrowserUpdateCheck c:\users\operator\appdata\roaming\myblbytywjc2.exe

Шифрує одразу без підвищення прав користувача.

Зашифровані файли отримують розширення ..doc

# # # # # #

Додатково надаю спрацювання по правилам захисту доступу (блокування було деактивоване навмисне щоб отримати повні звіти)

VSE_AP_LogOnly

APM11\operator C:\WINDOWS\EXPLORER.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\EXPLORER.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE C:\TMP\TEMPORARY INTERNET FILES\COUNTERS.DAT Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder Action blocked : Write
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Delete
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE Common Maximum Protection:Prevent HTTP communication 185.111.232.52:80
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\USERS\OPERATOR\APPDATA\ROAMING\MYBLBYTYWJC2.EXE User-defined Rules:_EXE_pro_BLK Action blocked : Create
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\BROWSERUPDATECHECK Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Blocked by Access Protection rule 
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\VSE\* Common Standard Protection:Prevent modification of McAfee files and settings Action blocked : Write
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\USERS\OPERATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\* Common Standard Protection:Protect Mozilla & FireFox files and settings Action blocked : Write
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\TMP\TEMPORARY INTERNET FILES\CONTENT.IE5\CONTAINER.DAT Anti-virus Maximum Protection:Protect cached files from password and email address stealers Action blocked : Write

Мережеві IOC:

завантаження основного тіла:

185.111.232.52:80 www.seffafkartvizitim[.]com GET /psndhFTwd??MYBlBYTYWjc=MYBlBYTYWjc

Додаткові маркери за даними malware-traffic-analysis.net/

Сервери які розповсюджують основну частину:

h11p://www.g-v-s[.]ru/psndhFTwd?
h11p://www.homody[.]com/psndhFTwd?
h11p://www.mcwhorterdesign[.]com/psndhFTwd?
h11p://www.seffafkartvizitim[.]com/psndhFTwd?
h11p://www.topanswertips[.]info/psndhFTwd?
h11p://www.tuminsaat[.]com/psndhFTwd?
h11p://www.rdpassistance[.]com/PuaneYDG?
h11p://www.rutor[.]space/PuaneYDG?
h11p://www.sclionionescu[.]ro/PuaneYDG?
h11p://www.servicetrade24[.]ru/PuaneYDG?
h11p://www.soslavanderia[.]com.co/PuaneYDG?
h11p://www.vseteplo[.]by/PuaneYDG?

Теми листів:

 Subject: Emailing: IMG_20171221_970542999, IMG_20171221_105610661, IMG_20171221_330199554_HDR
 Subject: Emailing: IMG_20171221_680272343, IMG_20171221_209718394, IMG_20171221_691812068_HDR
 Subject: Emailing: IMG_20171221_855525309, IMG_20171221_558874225, IMG_20171221_633843547_HDR
 Subject: Emailing: IMG_20171221_093043189, IMG_20171221_414525016, IMG_20171221_777953000_HDR
 Subject: Emailing: IMG_20171221_582764807, IMG_20171221_829866923, IMG_20171221_194629228_HDR
 Subject: Emailing: IMG_20171221_501005613, IMG_20171221_798070330, IMG_20171221_271932520_HDR
 Subject: Emailing: IMG_20171221_870284477, IMG_20171221_993512867, IMG_20171221_458229113_HDR
 Subject: Emailing: IMG_20171222_924030478, IMG_20171222_104259967, IMG_20171222_350843050_HDR
 Subject: Emailing: IMG_20171221_167023012, IMG_20171221_911069898, IMG_20171221_259887793_HDR
 Subject: Emailing: IMG_20171222_358078220, IMG_20171222_235116613, IMG_20171222_702416975_HDR

Контрольні суми приєднань:

 ca75b8a86fed3a725a2eaae1a37ff1277ec267818d53a963d4ae1c4e7573859a - IMG_20171221_312327133.js
 3e0a6f75b7a6bd527d26de7c23d76fada787e02a496fb2fb99207217385fb15a - IMG_20171221_498152824.js
 a9929327b937efcb1a0d39bd6bddaaa450629c3d74cde81c7167feb4f33c794d - IMG_20171221_499864685.js
 e349e7c6d04157dac849967da08033b685730f07f382f90a693943296fccd5bb - IMG_20171221_508871502.js
 2570fea4e10fb51e559d0d2dc9714837e25870b5e5413e1931a5c8cf39ba6b1c - IMG_20171221_555275412.js
 c01a8ef796ad0d79c2e0d08a5da677242da0b4d24743124c134e6f7f4992bb7c - IMG_20171221_698827418.js
 5314187cb13387df3759afa81fe0c4d97c4e35e2717e0000db3181ab1bde61a5 - IMG_20171221_725213643.js
 063b9d113fc153dfa153efee1d496b72230c89ca2623cca69ab6c7ecefde0559 - IMG_20171221_797605201.js
 4b3c49b00a5c40af3cad9ec02bc96baf61edd0f645fb2cb177f20bfb6f3f71a2 - IMG_20171221_836062519.js
 57e6d4f037eecc0af58adc58fe7c4b43efd96f05c321b9025d53810131bdd5fd - IMG_20171221_968347573.js

Приклади правил Access Protection (McAfee VSE, McAfee ENS):

Заборона створення скриптових файлів

Name: _script_BLK
Action: Block, Report
Process to include: * 
Processes to exclude: -
Subrule: _script_files
Files
+ Read  
+ Create
Targets Include: 
**\Users\*\**\*.JS
**\Users\*\**\*.JSE
**\Users\*\**\*.VBS
**\Users\*\**\*.WSF

Заборона створення запускних файлів

Name: _exe_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.EXE
File actions to prevent:
+ Create
+ Read
+ Execute

Контрзаходи:
  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування завантаження запусних файлів (payload не шифрований)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Блокування доступу до мережі Інтернет для процесу WSCript (варіант 1й)
  • Заборона створення та зчитування/запуску *.EXE та скриптів з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

IOC_trickbot_131217

Доброго ранку, панове.

Вчора одразу з декількох джерел було зафіксовано розсилку #trickbot (модульний троянський шкідливий код, спеціалізується на крадіжці даних ДБО)

На відміну від попередніх розсилок тут і тут, цього разу замість скриптів використовували документи MS Word із макросами.

Рівень загрози (для організацій що не заблокували макроси) – середній.

Для тих, хто прислухався до моїх рекомендацій із попередніх розсилок – низький.

Трохи аналітики:

  • GET запит ідентифікує кампанію
  • ім’я payload чітко вказане в коді макросу
  • payload не кодований/шифрований
  • зловмисники змінили фокус із скриптів на макроси – надалі будуть комбінувати різні способи доставки

Схема атаки:

email > Attach: A217****-*9.doc  > WINWORD > GET zGdfwyGH83 > %temp%\rondoal8.exe

Маркери IOC:

фішингові листи мали наступний вигляд:

на аналіз було надано два файли-приманки, схема інфікування та основна частина – однакові, відрізняються лише адреси завантаження

File name A2173854-79.doc
SHA-256 2b80c8eb48b142d415483f9d8bb8bdd400024f035777df78cf46d5b272fb68c4
File size 159 KB

File name A2170607-29.doc
SHA-256 9edf7c18cfb2bbd818e5177b9a0aedba01e02389ceca99bd4338e46c55407bc1
File size 159 KB

після відкриття файлу та активації макросів відбувається завантаження основної частини через процес WINWORD та її запуск через CMD

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
cmd.exe /c START "" C:\tmp\rondoal8.exe

 

File name zGdfwyGH83 >> rondoal8.exe 
SHA-256 a7e40660025a2f92bf5b27a429c2a65038932203d7d6c33168f01c47b34868fa
File size 443.75 KB

основна частина після запуску дублює себе у профіль користувача:

C:\tmp\rondoal8.exe
C:\Users\operator\AppData\Roaming\services\rpoepam8.exe

додає себе задачею у планувальник системи:

\services update c:\users\operator\appdata\roaming\services\rpoepam8.exe 11.12.2016 23:50

після чого інжектує себе у системний svchost та ініціює мережеві комунікації через нього – трафік скомпрометованої системи

A2170607-29.doc

svchost.exe 4928 TCP 10.0.2.15 49201 76.16.105.16 449 SYN_SENT
svchost.exe 4928 TCP 10.0.2.15 49200 184.73.220.206 80 ESTABLISHED

A2173854-79.doc

svchost.exe 3496 TCP 10.0.2.15 49201 195.133.147.140 443 ESTABLISHED 
svchost.exe 3496 TCP 10.0.2.15 49202 178.18.231.97 80 ESTABLISHED
svchost.exe 3496 TCP 10.0.2.15 49203 193.124.117.189 447 ESTABLISHED
svchost.exe 3496 TCP 10.0.2.15 49204 80.87.199.190 443 ESTABLISHED

у випадку із приманкою A2173854-79.doc відбулося також довантаження додаткового модулю

File name tmpE2B2.tmp
SHA-256 8644312f0870c579f2bb54e6f71ea6969ef2fea943ed87543663f78948302818
File size 750.64 KB

після чого запуск та видалення:

svchost.exe
"C:\tmp\tmpE2B2.tmp"
cmd /c C:\tmp\1.bat
ping  localhost -n 2

# # # # # #

Додатково надаю спрацювання по правилам захисту доступу (блокування було деактивоване навмисне щоб отримати повні звіти)

APM11\operator ran WINWORD.EXE, which accessed C:\WINDOWS\SYSWOW64\CMD.EXE, violating the rule "_office_BLK_cmd_power". Allowed_by_VR
APM11\operator ran CMD.EXE, which accessed C:\USERS\OPERATOR\DESKTOP\\ , violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran CMD.EXE, which accessed C:\TMP\RONDOAL8.EXE, violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran RONDOAL8.EXE, which accessed C:\USERS\OPERATOR\DESKTOP\\ , violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran RONDOAL8.EXE, which accessed C:\TMP\NSCAEB.TMP\SYSTEM.DLL, violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran EXPLORER.EXE, which accessed C:\TMP\RONDOAL8.EXE, violating the rule "Running files from common user folders by common programs". Allowed_by_VR
APM11\operator ran RONDOAL8.EXE, which accessed C:\TMP\RONDOAL8.EXE, violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran RONDOAL8.EXE, which accessed C:\USERS\OPERATOR\APPDATA\ROAMING\SERVICES\RPOEPAM8.EXE, violating the rule "VR_antiransom". Allowed_by_VR
APM11\operator ran RONDOAL8.EXE, which accessed C:\USERS\OPERATOR\APPDATA\ROAMING\SERVICES\RPOEPAM8.EXE, violating the rule "VR_antiransom". Allowed_by_VR
APM11\operator ran RONDOAL8.EXE, which accessed C:\USERS\OPERATOR\APPDATA\ROAMING\SERVICES\RPOEPAM8.EXE, violating the rule "VR_antiransom". Allowed_by_VR
APM11\operator ran RPOEPAM8.EXE, which accessed C:\TMP\NSA51E7.TMP\SYSTEM.DLL, violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran TMPE2B2.TMP, which accessed C:\TMP\1.BAT, violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran TASKENG.EXE, which accessed C:\USERS\OPERATOR\APPDATA\ROAMING\SERVICES\RPOEPAM8.EXE, violating the rule "VR_antiransom". Allowed_by_VR

Мережеві IOC:

завантаження основного тіла:

A2170607-29.doc

198.54.126.51 HTTP 282 GET /zGdfwyGH83 HTTP/1.1

A2173854-79.doc

83.175.70.7 HTTP 287 GET /zGdfwyGH83 HTTP/1.1

відправка даних про Public IP:

A2170607-29.doc

184.73.220.206 HTTP 244 GET / HTTP/1.1

A2173854-79.doc

158.69.26.138 HTTP 248 GET /text HTTP/1.1

довантаження модулів:

A2173854-79.doc

195.123.218.13 HTTP 253 GET /file.exe HTTP/1.1

Що можна було зробити аби уникнути інфікування ?

  1. Деактивація макросів через групові політики або параметри MS Office
  2. Блокування вихідного трафіку для процесу Winword.exe
  3. Заборона запуску дочірніх процесів (зокрема cmd та powershell) для додатків MS Office
  4. Заборона створення EXE в каталозі профілю користувача (приклади правил наведені нижче)
  5. Заборона завантаження скриптових та запусних файлів (payload не шифрований)

Приклади правил Access Protection (McAfee VSE, McAfee ENS):

Заборона запуску дочірніх процесів (приклад правила дивіться нижче)

Name: _office_BLK_cmd_power
Action: Block, Report
Process to include: WINWORD.EXE, EXCEL.EXE, OUTLOOK.EXE, POWERPNT.EXE 
Processes to exclude: -
Subrule: _child_proc_BLK
Files
+ Read  
+ Execute
Targets Include: 
powershell.exe
cmd.exe

Заборона створення запускних файлів

Name: _exe_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.EXE
File actions to prevent:
+ Create
+ Read
+ Execute

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Заборона створення дочірніх процесів cmd та powershell для додатків MS Office (буде захищати від макросів, DDE та OLE варіацій)
  • Блокування доступу до мережі Інтернет для процесу WINWORD (по аналогії із варіант 1й)
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Деактивація макросів через GPO або налаштування MS Office
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR