IOC_LokiBot_130318

Доброго дня, панове.

Сьогодні вночі було зафіксовано розсилку #lokibot.

На відміну від попередньої спроби, цього разу в якості обгортки використовували RTF файл із вразливістю редактора формул (11882).

Рівень загрози – середній. Для тих, хто врахував наші попередні рекомендації – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зверніть увагу – RTF файл детектиться по DAT, а Loki bot по GTI.

Трохи аналітики:

  • Доставка через RTF документи із вразливістю 11882
  • Завантаження основної частини – через процес EQNEDT32.EXE
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Спроб закріплення не проводив
  • Даний тип ШПЗ застосовується для збору інформації та крадіжки облікових даних

Схема атаки:

email > Attach (RTF) > WINWORD > EQNEDT32.EXE > GET from URL > %temp%v.exe

Маркери IOC:

RTF файл:

SHA-256        0e607c232a83566ee55297791b61b6cc37224e3c594b225a42d709353ed783da
File name   new P.O.rtf
File size      66.31 KB

>>  h11p:\\185.62.188.27/bin/v.exe

Основна частина:

SHA-256        7de95be06b9e3d07c0ecab8123caab12075158b3493cfe88fc340930e33fbf89
File name   v.exe
File size      646.5 KB

Мережеві IOC:

Завантаження основної частини через експлойт 11882

hosted-by.blazingfast{.} io    80     HTTP 356   185.62.188.27            GET /bin/v.exe HTTP/1.1

З’єднання із C2

Excellog{.} org   80     HTTP 210   185.148.146.121         POST /Chisom/five/fre.php HTTP/1.0
(минулого разу: 
www.kelsandsons{.} info 80 HTTP 814 82.118.242.100   POST /kelvin/Panel/five/fre.php HTTP/1.0 )

Тут ключовий момент – User Agent, який використовує зразок:

POST /Chisom/five/fre.php HTTP/1.0
User-Agent: Mozilla/4.08 (Charon; Inferno)
Host: excellog{.} org
Accept: */*
Content-Type: application/octet-stream
Content-Encoding: binary
Content-Key: 7B23D2A
Content-Length: 156
Connection: close

Контрзаходи:

  • Розгортання виправлень вразливості CVE-2017-11882
  • Перевірити можна за допомогою PoC на запуск calc
  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу EQNEDT32.EXE (варіант 1й)
  • Заборона передачі інструкцій winword > EQNEDT32.EXE (користувацьке правило Access Protection)
  • Відмов від використання документів типу RTF як застарілого та вразливого формату
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Посилена фільтрація запускних файлів по каналам Web та Email
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: