IOC_ursnif_210318

Фішинг, начеб-то від ДФС (давненько їх не було).

Нетиповий зразок ШПЗ.


Доброго дня, панове.

Вчора зранку проходила розсилка троянського шкідливого коду типу #ursnif.

Рівень загрози – середній.

Для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Кілька місяців #ursnif активно розповсюджувався в країнах Європи, тепер дійшла черга і до нас
  • Цей вид ШПЗ застосовується для крадіжки облікових записів ДБО та стеження
  • Обфусковані скрипти у архіві, фішинг із локалізованим претекстом (ДФС)
  • Скрипт містить посилання на один хост = два домени, дві IP адреси
  • Payload кодований(!), довантаження bin в залежності від архітектури ОС
  • Завантаження основної частини засобами WSCript
  • Не потребує прав Адміністратора
  • Payload детектиться ENS по GTI
  • В черговий раз звертаємо увагу на механізм WSH – якщо не застосовуєте, то обмежуйте
  • Очікуємо на подальше застосування цього зразка в розвідувальних операціях

Схема атаки:

email > Attach (ZIP) > JS > WSCRIPT > 'chernilis{.} win/filename94.bin?ff1' 
>  %temp%\62ea.exe

Маркери IOC:

приєднання (архів):

8/57
SHA-256    b0e1acb16e344159b61c0da94e229aaae06e3476fef107af4f8cf4f4a36780ef
File name   documents (10).zip
File size      3.19 KB

скрипт приманка:

2/6
SHA-256    f957d96093ee88f3f6c3512530d1faba12cf4a53b1f4f9a646a65cf056785b77
File name   documents (10).js
File size      13.75 KB

основна частина:

15/55
SHA-256    0ee27d99fe0c44fe0c064e4806287ede3569fb1ebd797ae93f83888a23efcf76
File name   62ea.exe
File size      300 KB

Мережеві IOC:

завантаження payload – станом на 10ту ранку 22/03 досі активна!

119.28.108.16    chernilis{.} win   GET /filename94.bin?ff1 Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)
35.189.126.95    chernilis{.} win   GET /filename94.bin?ff1 Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)


Можливий перебір(!)
url: h11p:\chernilis{.} win/filename94.bin?ff1
url: h11p:\chernilis{.} win/filename94.bin?ff2
url: h11p:\chernilis{.} win/filename94.bin?ff3
url: h11p:\chernilis{.} win/filename94.bin?ff4
url: h11p:\chernilis{.} win/filename94.bin?ff5

Довантаження додаткових модулів: (х32 та х64 варіанти)

119.28.108.16 providedatheyfromyouthe{.} club GET /new/x32.bin HTTP/1.1

Трафік системи після компрометації:

86.59.21.38 HTTP 125 86.59.21.38 GET /tor/status-vote/current/consensus HTTP/1.0 
86.59.21.38 HTTP 125 86.59.21.38 [TCP Retransmission] GET /tor/status-vote/current/consensus HTTP/1.0 
162.247.72.201 HTTP 139 GET /tor/server/fp/ABUk3UA9cp8I9+XXeBPvEnVs+o0= Continuation or non-HTTP traffic 
86.59.21.38 HTTP 125 86.59.21.38 GET /tor/status-vote/current/consensus HTTP/1.0

Одразу після інжекту:

explorer.exe 1476 TCP apm-011 1058 tor.noreply{.} org http ESTABLISHED

Після перезавантаження інфікованої системи:

explorer.exe 3704 TCP 10.10.10.25 1062 35.189.126.95 80 ESTABLISHED 
explorer.exe 3704 TCP 10.10.10.25 1065 86.59.21.38 80 ESTABLISHED

Активність по процесам:

Запуск скрипта-приманки ініціює завантаження основної частини засобами WScript

Основна частина записується і стартує із %Temp%, потім інжектує себе у svchost або explorer.

Після чого копіює своє тіло у AppData\Microsoft\%random_folder%\%random_file%.exe

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\documents (10).js"

"C:\Windows\System32\cmd.exe" /c C:\Users\operator\AppData\Local\Temp\62ea.exe

C:\Users\operator\AppData\Local\Temp\62ea.exe

Injection: 62ea.exe(736) -> svchost.exe(1856)

(!) C:\Users\operator\AppData\Roaming\Microsoft\Bdeudlgs\corrawex.exe

(запуск на іншому стенді: C:\Documents and Settings\oper\Application Data\Microsoft\Adsmrace\cdossapi.exe )

Закріплення через HCU

key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\dnshdrt
data: C:\Users\operator\AppData\Roaming\Microsoft\Bdeudlgs\corrawex.exe

Перевірка Public IP через DNS запити (спроба обійти моніторинг HTTP та Web фільтрацію):

cmd /C "nslookup myip.opendns.com resolver1.opendns.com > C:\DOCUME~1\oper\LOCALS~1\Temp\7888.bi1"
nslookup myip.opendns.com resolver1.opendns.com 
cmd /C "echo -------- >> C:\DOCUME~1\oper\LOCALS~1\Temp\7888.bi1"


Контрзаходи:

  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Блокування доступу до мережі Інтернет для процесів WSCript та CSCript (варіант 1й)
  • Повна дактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю C:\Users\**\ !
  • Посилений контроль та блокування передачі запускних і скриптових файлів по каналам Web та Email
  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні

VR
Advertisements

Tags: , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: