IOC_doc_rtf11882_190718

Доброго ранку, панове.

Вчора о другій половині дня проходила фішингова розсилка, що містила приманку у вигляді DOCX файлу.

Активація приманки призводила до інфікування системи троянським кодом типу #Razy.

Не дивлячись на те, що усі три частини атаки одразу мали високий рейтинг на VT я хочу розібрати механізм доставки.

Проблеми будуть у тих, хто не оновлює MS Office та не контролює трафік його додатків.

Трохи аналітики

  • доставка у 2 кроки
  • завантаження другого документу – засобами MS word (WINWORD.EXE)
  • завантаження основної частини – засобами редактору формул (EQNEDT32.EXE)
  • не потребує прав Адміністратора
  • payload не кодований (!This program cannot be run in DOS mode.)
  • payload записується у \Program Data\
  • payload здійснює перевірку Public IP

Зразок фішингового листа:

Схема атаки

email attach (DOCX) > document.xml.rels > GET doc (RTF) > 11882 > GET exe > \Program Data\name.exe

крок #1 open docx – document.xml.rels
GET novomet{.} bg/doors/images2/p22.doc

крок #2 open doc (RTF) – 11882
GET novomet{.} bg/doors/images2/p22.exe

крок #3 run exe – check public ip
GET checkip.dyndns{.} org/

Маркери

документ1 – MS Word

SHA-256 a4cdebc96154deb3c3da013d6486c09ebb2a0a508475f5107c8c9a319d70fc15
File name p22.docx
File size 9.88 KB

документ2 – RTF із експлойтом під вразливість редактору формул 11882

SHA-256 f5c35a43c5379d705d3f1575a3859934261a87f27b669cc3ddbf6e601ba00abc
File name p22.doc
File size 15.64 KB

основна частина

SHA-256 d03a4011a87374dbbc7ccf1b8427a95e27f97edae1c1c928da1763343f002708
File name p22.exe > name.exe
File size 280 KB

Мережа

79.124.76.30 novomet{.} bg 80 HEAD /doors/images2/p22.doc Microsoft Office Existence Discovery

79.124.76.30 novomet{.} bg 80 GET /doors/images2/p22.doc Mozilla/4.0

79.124.76.30 novomet{.} bg 80 HEAD /doors/images2/p22.doc Microsoft Office Existence Discovery

79.124.76.30 novomet{.} bg 80 GET /doors/images2/p22.exe Mozilla/4.0

216.146.38.70 checkip.dyndns{.} org GET / HTTP/1.1 n./a

Активність по процесам

Відкриття першого документу спричиняє автоматичне завантаження другого, який є RTF файлом:

Після обробки RTF через експлуатацію 11882 запускається редактор формул, який здійснює завантаження основної частини:

Зверніть увагу, що сайт, який розповсюджує malware містить кілька наборів:

Загалом атака не складна, проте може наробити галасу у тих компаніях, де погано дбають про антивірусний захист та оновлення MS Office.

Контрзаходи

  • Посилення фільтрів пошти
  • Заборона завантаження .exe файлів для непривілейованих користувачів – див. тут
  • Відсікання запитів із нестандартними/пустими/застарілими User Agent на рівні Web Proxy – див. тут
  • Виправлення вразливості 11882 – див. тут
  • Контроль запуску EQNEDT32.EXE
  • Заборона мережевого трафіку для додатків MS Office – див. тут (варіант 1)
  • Контроль створення та запуску нових .exe у C:\Users\ та C:\Program Data\ – див. тут

Будьте уважні та обережні.

VR

Advertisements

Tags: , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: