IOC_LokiBot_110518

Доброго вечора, панове.

Сьогодні було зафіксовано чергову розсилку #LokiBot.

Даний тип ШПЗ застосовується для збору інформації та крадіжки облікових даних.

Цього разу, як і 130318, використовували RTF файл із вразливістю 11882.

Рівень загрози – середній.

Для тих, хто врахував наші попередні рекомендації – низький.

Трохи аналітики:

  • Доставка через RTF документи із вразливістю 11882
  • Завантаження основної частини – через процес EQNEDT32.EXE
  • Payload не кодований (This program must be run under Win32)
  • Запуск шкідливого коду не потребує прав Адміністратора
  • RTF файл детектиться модулями ENS, а payload поки що ні

Схема атаки:

email > Attach .doc (RTF) > WINWORD > EQNEDT32.EXE > GET from URL > AppData\Roaming\anydesk.exe

Маркери IOC:

RTF файл:

SHA-256        490dffae713877fb70613e60ea91e72333d19855fb249d2d6666bab4152005be
File name   MV GLORY (V.1460) - EPDA.doc
File size      55.82 KB
>>  h11p://servicelearning.thu{.} edu.tw/quakes.exe

Основна частина:

SHA-256        23b44fa0b535e1dcdcf30e75f622b11b7aa3cae274cf74716d4643de3abe5227
File name   quakes.exe
File size      686.5 KB
>> h11p://nextlevlcourier{.} com/locky/quakes/anel/five/fre.php

Мережеві IOC:

Завантаження основної частини:

140.128.99.228   servicelearning.thu{.} edu.tw        GET /quakes.exe Mozilla/4.0 

З’єднання із C2

91.235.116.153   nextlevlcourier{.} com                 POST /locky/quakes/anel/five/fre.php     Mozilla/4.08 (Charon; Inferno)

Тут ключовий момент – User Agent, який використовує зразок:

POST /locky/quakes/anel/five/fre.php HTTP/1.0

User-Agent: Mozilla/4.08 (Charon; Inferno)

Активність по процесам:

 "C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
C:\Windows\splwow64.exe 8192

"C:\Program Files (x86)\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE" -Embedding
"C:\Users\operator\AppData\Roaming\anydesk.exe"
"C:\Users\operator\AppData\Roaming\anydesk.exe"
"C:\Users\operator\AppData\Roaming\39B01F\FA74A3.exe"

Закріплення проводить, але з помилкою (якщо payload запускається від імені EQNEDT32.EXE)

anydesk.exe                       File not found: C:\Users\operator\AppData\Roaming/Microsoft/Skype.exe.exe

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Розгортання виправлення вразливості 11882
  • Перевірити можна за допомогою PoC 11882 (embedi)
  • Блокування доступу до мережі Інтернет для процесу EQNEDT32.EXE (варіант 1й)
  • Заборона запуску EQNEDT32.EXE (користувацьке правило Access Protection)
  • Контроль переліку додатків що мають право автозапуску (вбудоване правило Access Protection)
  • Відмов від використання документів типу RTF як застарілого та вразливого формату
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Посилена фільтрація запускних файлів по каналам Web та Email
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: