IOC_NetWire_RAT_250418

Доброго дня, панове.

Детальний звіт по сьогоднішній розсилці.

Цього разу через документи із макросами розповсюджували #NetWire RAT.

Цей тип шкідливого коду застосовується для віддаленого керування інфікованими системами.

Рівень загрози, для організацій котрі не блокують макроси, – високий, а для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Документ із макросом розмістили на Amazon AWS (знову, для обходу URL фільтрації)
  • Активація макросу відбувається при кліку на формі (Ок або “Х”)
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Завантаження та запуск основної частини відбувається процесом winword
  • Основна частина зберігається у %Public% (фактично обходять %Temp%)
  • Не потребує прав Адміністратора

Інфікування відбувається так:


І так, проблеми будуть у тих, хто:

  • Не заблокували макроси (90% держ. установ та фінансових департаментів)
  • Не заборонили трафік для winword.exe (більше 50% організацій)
  • На блокують завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)


Схема атаки:

email > URL > GET .doc > maco > GET 84.200.19.153/pen.exe > users\public\.exe

Маркери IOC:

файл приманка

SHA-256    16947cceab56ad5c98a588a23c656b8fc967702d027f8f9a0164bfc2738fc2b6
File name   Transactions_invalid001.doc
File size      425.5 KB

основна частина

SHA-256        079e3875726e57824b5357583a9ba746c5775a60c6355f5cced8024652817699
File name   pen.exe
File size      412 KB

Мережеві IOC:

Документ завантажується із Amazon AWS: (Увага! Посилання досі активне!)

h11ps://secured-banking00129.s3.amazonaws{.} com/Transactions_invalid001.doc

Основна частина завантажується із:

84.200.19.153    GET /pen.exe HTTP/1.1         Mozilla/4.0

Трафік скомпрометованої системи після запуску основної частини:

185.117.74.8      49622 → 4590 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1    TCP   66    

Активність по процесам:

Коли жертва відкриває завантажений документ-приманку запускається макрос.

Процес Winword відкриває з’єднання із 84.200.19.153 і намагається завантажити некодований payload.

Завантажений файл записується та запускається з каталогу %Public%

"C:\Program Files\Microsoft Office\Office12\WINWORD.EXE" /n /dde
"C:\Users\operator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\...\pen[1].exe"
"C:\Users\Public\.exe"

Після запуску основна частина закріплюється через HKU:

[HKEY_USERS\S-xxx\Software\Microsoft\Windows\CurrentVersion\Run]
@="C:\\Users\\Public\\.exe"
"printer"="C:\\Users\\Public\\.exe"

(Default)    c:\users\public\.exe     4/24/2018 4:12 PM     
printer      c:\users\public\.exe     4/24/2018 4:12 PM 

Після запуску зразок відправляє SYN пакети на порт 4590 хоста 185.117.74.8:

185.117.74.8      49622 → 4590 [SYN]

Контрзаходи:

  • Перевірити журнали обладнання на наявність спроб комунікації із s3.amazonaws{.} com
  • Заборонити запуск макросів, якщо не використовуєте по роботі
  • Заборонити мережевий трафік для додатків MS Office – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Заборонити запуск дочірніх процесів для додатків MS Office (крім служби друку) користувацьке правило Access Protection (McAfee ENS)
  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона створення та зчитування/запуску *.EXE файлів з каталогів профілю C:\Users\**\
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталозі C:\Windows\Temp\**
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , , , , ,

2 responses to “IOC_NetWire_RAT_250418”

  1. Igor says :

    1. “Не блокують завантаження додатків з робочих систем.” А як їх блокувати?
    2. “Не заблокували макроси (90% держ. установ та фінансових департаментів)”. Заблокувати макроси неможна тому що багато людей з ними працюють, а як провести їх обмеження?

    Like

    • Vlad says :

      Igor, дякую за коментар.
      По порядку:
      #1 На рівні Web Proxy.
      Більшість payload ідуть не кодовані.
      Елементарно по наявності в заголовку “This program cannot be run in DOS mode”
      З кодованими важче, але тут залежить від типу Proxy – сучасні вміють розуміти тип файлу.
      #2 Я розумію, що частині персоналу макроси потрібні. Але я дуже сумніваюся, що макроси повинні бути увімкнені на АРМ оператора АСУ ТП, чи на ПК, на якому охоронець спостерігає за відеопотоком.
      Потрібні але не всім. І там, де вони потрібні мають бути не просто сигнатурні АВ, а додаткові засоби, які б недопускали запуску та закріплення шкідливого коду.
      У розділі “Контрзаходи” крім заборони макросів описано 4 кроки, застосування будь якого з них значно зменшить ризик бути інфікованим. Перечитайте, будь ласка, уважніше.

      Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: