Archive | 22/12/2017

IOC_GlobeImposter_211217

Доброго вечора, панове.

Вчора по обіді була зафіксована масова розсилка Globeimposter Ransomware.
Схожий зразок розсилали 30/11/17, проте тоді застосовували необфусковані VBS скрипти:


Цього разу метод доставки- обфускований JS. Шлях запису та ім’я файлу чітко задано в скрипті.
Payload не кодований.

Рівень загрози (для організацій котрі не вжили заходів щодо скриптів) – середній.

Для тих, хто прислухався до наших попередніх рекомендаційнизький.

Схема атаки:

email > Attach: 7z(.JS)  > WSCRIPT > GET /psndhFTwd??MYBlBYTYWjc=MYBlBYTYWjc > %temp%\MYBlBYTYWjc2.exe

Маркери IOC:

приманка у вигляді JS файлу яку жертва має сприйняти за зображення відсканованого документу:

File name IMG_20171221_345358418.js
SHA-256 d5977c433a0d03416d79e78cf765add480ebbc120a80b5d2d96254ca3c37b2e1
File size 14.54 KB

після запуску JS він обробляється процесом WSCript, який і виконує завантаження основного тіла:

“C:\Windows\System32\WScript.exe” “C:\Users\operator\Desktop\IMG_20171221_345358418.js”

File name psndhFTwd >> %temp%\MYBlBYTYWjc2.exe 
SHA-256 410efb1938ab06cf29acbcd24a3eca81c5d6d0c84778997adad1b5f0ecfb455c
File size 198.5 KB

після завантаження основне тіло записується в %temp% і запускається через виклик від імені процесу cmd

cmd.exe /c START “”  C:\tmp/MYBlBYTYWjc2.exeC:\tmp/MYBlBYTYWjc2.exe

C:\tmp/MYBlBYTYWjc2.exe

основне тіло після завантаження копіює себе у AppData і додає в перелік автозавантаження:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

BrowserUpdateCheck c:\users\operator\appdata\roaming\myblbytywjc2.exe

Шифрує одразу без підвищення прав користувача.

Зашифровані файли отримують розширення ..doc

# # # # # #

Додатково надаю спрацювання по правилам захисту доступу (блокування було деактивоване навмисне щоб отримати повні звіти)

VSE_AP_LogOnly

APM11\operator C:\WINDOWS\EXPLORER.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\EXPLORER.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE C:\TMP\TEMPORARY INTERNET FILES\COUNTERS.DAT Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder Action blocked : Write
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Delete
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE Common Maximum Protection:Prevent HTTP communication 185.111.232.52:80
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\USERS\OPERATOR\APPDATA\ROAMING\MYBLBYTYWJC2.EXE User-defined Rules:_EXE_pro_BLK Action blocked : Create
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\BROWSERUPDATECHECK Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Blocked by Access Protection rule 
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\VSE\* Common Standard Protection:Prevent modification of McAfee files and settings Action blocked : Write
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\USERS\OPERATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\* Common Standard Protection:Protect Mozilla & FireFox files and settings Action blocked : Write
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\TMP\TEMPORARY INTERNET FILES\CONTENT.IE5\CONTAINER.DAT Anti-virus Maximum Protection:Protect cached files from password and email address stealers Action blocked : Write

Мережеві IOC:

завантаження основного тіла:

185.111.232.52:80 www.seffafkartvizitim[.]com GET /psndhFTwd??MYBlBYTYWjc=MYBlBYTYWjc

Додаткові маркери за даними malware-traffic-analysis.net/

Сервери які розповсюджують основну частину:

h11p://www.g-v-s[.]ru/psndhFTwd?
h11p://www.homody[.]com/psndhFTwd?
h11p://www.mcwhorterdesign[.]com/psndhFTwd?
h11p://www.seffafkartvizitim[.]com/psndhFTwd?
h11p://www.topanswertips[.]info/psndhFTwd?
h11p://www.tuminsaat[.]com/psndhFTwd?
h11p://www.rdpassistance[.]com/PuaneYDG?
h11p://www.rutor[.]space/PuaneYDG?
h11p://www.sclionionescu[.]ro/PuaneYDG?
h11p://www.servicetrade24[.]ru/PuaneYDG?
h11p://www.soslavanderia[.]com.co/PuaneYDG?
h11p://www.vseteplo[.]by/PuaneYDG?

Теми листів:

 Subject: Emailing: IMG_20171221_970542999, IMG_20171221_105610661, IMG_20171221_330199554_HDR
 Subject: Emailing: IMG_20171221_680272343, IMG_20171221_209718394, IMG_20171221_691812068_HDR
 Subject: Emailing: IMG_20171221_855525309, IMG_20171221_558874225, IMG_20171221_633843547_HDR
 Subject: Emailing: IMG_20171221_093043189, IMG_20171221_414525016, IMG_20171221_777953000_HDR
 Subject: Emailing: IMG_20171221_582764807, IMG_20171221_829866923, IMG_20171221_194629228_HDR
 Subject: Emailing: IMG_20171221_501005613, IMG_20171221_798070330, IMG_20171221_271932520_HDR
 Subject: Emailing: IMG_20171221_870284477, IMG_20171221_993512867, IMG_20171221_458229113_HDR
 Subject: Emailing: IMG_20171222_924030478, IMG_20171222_104259967, IMG_20171222_350843050_HDR
 Subject: Emailing: IMG_20171221_167023012, IMG_20171221_911069898, IMG_20171221_259887793_HDR
 Subject: Emailing: IMG_20171222_358078220, IMG_20171222_235116613, IMG_20171222_702416975_HDR

Контрольні суми приєднань:

 ca75b8a86fed3a725a2eaae1a37ff1277ec267818d53a963d4ae1c4e7573859a - IMG_20171221_312327133.js
 3e0a6f75b7a6bd527d26de7c23d76fada787e02a496fb2fb99207217385fb15a - IMG_20171221_498152824.js
 a9929327b937efcb1a0d39bd6bddaaa450629c3d74cde81c7167feb4f33c794d - IMG_20171221_499864685.js
 e349e7c6d04157dac849967da08033b685730f07f382f90a693943296fccd5bb - IMG_20171221_508871502.js
 2570fea4e10fb51e559d0d2dc9714837e25870b5e5413e1931a5c8cf39ba6b1c - IMG_20171221_555275412.js
 c01a8ef796ad0d79c2e0d08a5da677242da0b4d24743124c134e6f7f4992bb7c - IMG_20171221_698827418.js
 5314187cb13387df3759afa81fe0c4d97c4e35e2717e0000db3181ab1bde61a5 - IMG_20171221_725213643.js
 063b9d113fc153dfa153efee1d496b72230c89ca2623cca69ab6c7ecefde0559 - IMG_20171221_797605201.js
 4b3c49b00a5c40af3cad9ec02bc96baf61edd0f645fb2cb177f20bfb6f3f71a2 - IMG_20171221_836062519.js
 57e6d4f037eecc0af58adc58fe7c4b43efd96f05c321b9025d53810131bdd5fd - IMG_20171221_968347573.js

Приклади правил Access Protection (McAfee VSE, McAfee ENS):

Заборона створення скриптових файлів

Name: _script_BLK
Action: Block, Report
Process to include: * 
Processes to exclude: -
Subrule: _script_files
Files
+ Read  
+ Create
Targets Include: 
**\Users\*\**\*.JS
**\Users\*\**\*.JSE
**\Users\*\**\*.VBS
**\Users\*\**\*.WSF

Заборона створення запускних файлів

Name: _exe_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.EXE
File actions to prevent:
+ Create
+ Read
+ Execute

Контрзаходи:
  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування завантаження запусних файлів (payload не шифрований)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Блокування доступу до мережі Інтернет для процесу WSCript (варіант 1й)
  • Заборона створення та зчитування/запуску *.EXE та скриптів з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR