IOC_GlobeImposter_211217
Доброго вечора, панове.
Вчора по обіді була зафіксована масова розсилка Globeimposter Ransomware.
Схожий зразок розсилали 30/11/17, проте тоді застосовували необфусковані VBS скрипти:
Цього разу метод доставки- обфускований JS. Шлях запису та ім’я файлу чітко задано в скрипті.
Payload не кодований.
Рівень загрози (для організацій котрі не вжили заходів щодо скриптів) – середній.
Для тих, хто прислухався до наших попередніх рекомендацій – низький.
Схема атаки:
email > Attach: 7z(.JS) > WSCRIPT > GET /psndhFTwd??MYBlBYTYWjc=MYBlBYTYWjc > %temp%\MYBlBYTYWjc2.exe
Маркери IOC:
приманка у вигляді JS файлу яку жертва має сприйняти за зображення відсканованого документу:
File name IMG_20171221_345358418.js SHA-256 d5977c433a0d03416d79e78cf765add480ebbc120a80b5d2d96254ca3c37b2e1 File size 14.54 KB
після запуску JS він обробляється процесом WSCript, який і виконує завантаження основного тіла:
“C:\Windows\System32\WScript.exe” “C:\Users\operator\Desktop\IMG_20171221_345358418.js”
File name psndhFTwd >> %temp%\MYBlBYTYWjc2.exe SHA-256 410efb1938ab06cf29acbcd24a3eca81c5d6d0c84778997adad1b5f0ecfb455c File size 198.5 KB
після завантаження основне тіло записується в %temp% і запускається через виклик від імені процесу cmd
cmd.exe /c START “” C:\tmp/MYBlBYTYWjc2.exeC:\tmp/MYBlBYTYWjc2.exe
C:\tmp/MYBlBYTYWjc2.exe
основне тіло після завантаження копіює себе у AppData і додає в перелік автозавантаження:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
BrowserUpdateCheck c:\users\operator\appdata\roaming\myblbytywjc2.exe
Шифрує одразу без підвищення прав користувача.
Зашифровані файли отримують розширення ..doc
# # # # # #
Додатково надаю спрацювання по правилам захисту доступу (блокування було деактивоване навмисне щоб отримати повні звіти)
VSE_AP_LogOnly
APM11\operator C:\WINDOWS\EXPLORER.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read APM11\operator C:\WINDOWS\EXPLORER.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE C:\TMP\TEMPORARY INTERNET FILES\COUNTERS.DAT Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder Action blocked : Write APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Delete APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE Common Maximum Protection:Prevent HTTP communication 185.111.232.52:80 APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\USERS\OPERATOR\APPDATA\ROAMING\MYBLBYTYWJC2.EXE User-defined Rules:_EXE_pro_BLK Action blocked : Create APM11\operator C:\TMP\MYBLBYTYWJC2.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\BROWSERUPDATECHECK Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create Blocked by Access Protection rule APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\VSE\* Common Standard Protection:Prevent modification of McAfee files and settings Action blocked : Write APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\USERS\OPERATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\* Common Standard Protection:Protect Mozilla & FireFox files and settings Action blocked : Write APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\TMP\TEMPORARY INTERNET FILES\CONTENT.IE5\CONTAINER.DAT Anti-virus Maximum Protection:Protect cached files from password and email address stealers Action blocked : Write
Мережеві IOC:
завантаження основного тіла:
185.111.232.52:80 www.seffafkartvizitim[.]com GET /psndhFTwd??MYBlBYTYWjc=MYBlBYTYWjc
Додаткові маркери за даними malware-traffic-analysis.net/
Сервери які розповсюджують основну частину:
h11p://www.g-v-s[.]ru/psndhFTwd?
h11p://www.homody[.]com/psndhFTwd?
h11p://www.mcwhorterdesign[.]com/psndhFTwd?
h11p://www.seffafkartvizitim[.]com/psndhFTwd?
h11p://www.topanswertips[.]info/psndhFTwd?
h11p://www.tuminsaat[.]com/psndhFTwd?
h11p://www.rdpassistance[.]com/PuaneYDG?
h11p://www.rutor[.]space/PuaneYDG?
h11p://www.sclionionescu[.]ro/PuaneYDG?
h11p://www.servicetrade24[.]ru/PuaneYDG?
h11p://www.soslavanderia[.]com.co/PuaneYDG?
h11p://www.vseteplo[.]by/PuaneYDG?
Теми листів:
Subject: Emailing: IMG_20171221_970542999, IMG_20171221_105610661, IMG_20171221_330199554_HDR Subject: Emailing: IMG_20171221_680272343, IMG_20171221_209718394, IMG_20171221_691812068_HDR Subject: Emailing: IMG_20171221_855525309, IMG_20171221_558874225, IMG_20171221_633843547_HDR Subject: Emailing: IMG_20171221_093043189, IMG_20171221_414525016, IMG_20171221_777953000_HDR Subject: Emailing: IMG_20171221_582764807, IMG_20171221_829866923, IMG_20171221_194629228_HDR Subject: Emailing: IMG_20171221_501005613, IMG_20171221_798070330, IMG_20171221_271932520_HDR Subject: Emailing: IMG_20171221_870284477, IMG_20171221_993512867, IMG_20171221_458229113_HDR Subject: Emailing: IMG_20171222_924030478, IMG_20171222_104259967, IMG_20171222_350843050_HDR Subject: Emailing: IMG_20171221_167023012, IMG_20171221_911069898, IMG_20171221_259887793_HDR Subject: Emailing: IMG_20171222_358078220, IMG_20171222_235116613, IMG_20171222_702416975_HDR
Контрольні суми приєднань:
ca75b8a86fed3a725a2eaae1a37ff1277ec267818d53a963d4ae1c4e7573859a - IMG_20171221_312327133.js 3e0a6f75b7a6bd527d26de7c23d76fada787e02a496fb2fb99207217385fb15a - IMG_20171221_498152824.js a9929327b937efcb1a0d39bd6bddaaa450629c3d74cde81c7167feb4f33c794d - IMG_20171221_499864685.js e349e7c6d04157dac849967da08033b685730f07f382f90a693943296fccd5bb - IMG_20171221_508871502.js 2570fea4e10fb51e559d0d2dc9714837e25870b5e5413e1931a5c8cf39ba6b1c - IMG_20171221_555275412.js c01a8ef796ad0d79c2e0d08a5da677242da0b4d24743124c134e6f7f4992bb7c - IMG_20171221_698827418.js 5314187cb13387df3759afa81fe0c4d97c4e35e2717e0000db3181ab1bde61a5 - IMG_20171221_725213643.js 063b9d113fc153dfa153efee1d496b72230c89ca2623cca69ab6c7ecefde0559 - IMG_20171221_797605201.js 4b3c49b00a5c40af3cad9ec02bc96baf61edd0f645fb2cb177f20bfb6f3f71a2 - IMG_20171221_836062519.js 57e6d4f037eecc0af58adc58fe7c4b43efd96f05c321b9025d53810131bdd5fd - IMG_20171221_968347573.js
Приклади правил Access Protection (McAfee VSE, McAfee ENS):
Заборона створення скриптових файлів
Name: _script_BLK Action: Block, Report Process to include: * Processes to exclude: - Subrule: _script_files Files + Read + Create Targets Include: **\Users\*\**\*.JS **\Users\*\**\*.JSE **\Users\*\**\*.VBS **\Users\*\**\*.WSF
Заборона створення запускних файлів
Name: _exe_prof_BLK Process to include: * Processes to exclude: - File or folder name to block: **\Users\*\**\*.EXE File actions to prevent: + Create + Read + Execute Контрзаходи:
- Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
- Блокування завантаження запусних файлів (payload не шифрований)
- Деактивація механізму Windows Script Host (варіант 2й)
- Блокування доступу до мережі Інтернет для процесу WSCript (варіант 1й)
- Заборона створення та зчитування/запуску *.EXE та скриптів з каталогів профілю користувача %appdata%, а не лише у %temp% !
- Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
- Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
- Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії
Будьте уважні та обережні!
VR