Archive | September 2018

IOC on pastebin

Усім привіт.

Для економії часу тепер списки маркерів спершу буду публікувати сюди

https://pastebin.com/u/VRad

Тут, в блозі, як вистачатиме часу, буду описувати ті зразки, які привернули мою увагу.

Стежте також за сторінкою OptiData у фб https://www.facebook.com/Optidata.com.ua

VR

Advertisements

IOC_troldesh_ransom_120918

(!) оновлено 13/09 – додані маркери (адреси, IP)

Доброго вечора, панове.

Сьогодні о другій половині дня проходила масова розсилка #Troldesh Ransomware.

Рівень загрози – високий!, для організацій, що прислухалися до наших попередніх рекомендацій – низький.

УВАГА! Зловмисники застосовують нову схему доставки.

Трохи аналітики:

  • Замість скриптів чи документів із приєднання цього разу розповсюджують через посилання на FTP
  • Після активації посилання жертва отримує SCR у оболонці ZIP
  • FTP джерела різні, контрольні суми архівів та SCR відрізняються (як мінімум 2 набори)
  • payload не кодований (!This program cannot be run in DOS mode.)
  • Зразок закріплюється в системі і шифрування починає із затримкою 10-15 хв
  • Затримка дозволяє обходити онлайн sandbox у яких час перевірки лімітований
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload детектуються по GTI.

Схема атаки:

email > URL > FTP > ZIP > SCR > %temp% > Program Data\Windows\csrss.exe

Маркери IOC:

Приклади листів із посиланням на FTP джерела:

Теми листів:(оновлено 13/09)

Платіжна інформація 9/12/2018
інформація 6065341
інформація 2194379
інформація 2836783
інформація 1438232
ЗВIТ ПЛЮС

Адреси серверів з яких велась розсилка: (оновлено 13/09)

66.60.130.30
194.79.65.168
72.52.210.40
212.54.57.98
212.54.57.99
212.54.57.96

Скриньки з яких велася розсилка: (оновлено 13/09)

a.igor@arcor.de
silke.berg@arcor.de
murdock3@arcor.de
janinacaspers@arcor.de
kaierle@arcor.de
nadaf@arcor.de
clemo.w@arcor.de
elli.winter@arcor.de
neke81@arcor.de
denis.pielka@arcor.de
kasten.m@arcor.de
onkel-mike@arcor.de
oli-gerhard@arcor.de
ge-47se@arcor.de
ronnsen_g@arcor.de
stkroeger@arcor.de
fabian.schossau@arcor.de
franz216@arcor.de
okamerlog@arcor.de
chrissifuessel@arcor.de
sternentreiber@arcor.de
kd-53@arcor.de
thwagner@arcor.de
thomas.croy@arcor.de
j.zynda@arcor.de
stevesteel@arcor.de
arslanu@arcor.de
thwagner@arcor.de
cojahn@arcor.de
eadavid@arcor.de
philippklemm@arcor.de
roland.steurer@arcor.de
badneo@arcor.de
c.burbach@arcor.de
lars.sylvia@arcor.de
michappe2@arcor.de
johannes.steinbrecher@arcor.de
amiri111@arcor.de
vincentschwiedeps@arcor.de
oezdinc@arcor.de
varan@arcor.de
tobisperling@arcor.de
silke.berg@arcor.de
fabianahrens@arcor.de
andy-lieb@arcor.de
markxy2@arcor.de
tibe99@arcor.de
rosenstolz-100@arcor.de
rolf.kissel@arcor.de
raimondkiess@arcor.de
danielkempgen@arcor.de
vo-zi@arcor.de
dubidubidam@arcor.de
peterbartzsen@arcor.de
cjonientz@arcor.de
thomasvogt1@arcor.de
botbot@arcor.de
carstenconstabel@arcor.de
t.rick@arcor.de
c_ortiz@arcor.de
spamfelix@arcor.de
f.paul.pp@arcor.de
lars.sylvia@arcor.de
batyr4@arcor.de
cytomic@arcor.de
sebastian.strobl@arcor.de
robert.kagan@arcor.de
mario.muehlbach@arcor.de
a.igor@arcor.de
exog@arcor.de
derglagla@arcor.de
brharun@arcor.de
samed.yilmaz@arcor.de
bernhardschild1@arcor.de

ruim13@iol.pt
j.belem@iol.pt
jmaia79@iol.pt
angelo.c@iol.pt
neoteo@iol.pt
ampimenta@iol.pt
manuelmonteiro1974@iol.pt
siriusgrey@iol.pt
joaonn13@iol.pt
onapp@iol.pt
hugo_china@iol.pt
gtdesk@iol.pt
claudia_ferreir@iol.pt
filipe.t@iol.pt
fpimentel@iol.pt
nina_faria@iol.pt
ricksilva@iol.pt
jm3ze@iol.pt
tfcoelho@iol.pt
anakar1@iol.pt
ritaportela@iol.pt
ndsous@iol.pt
olga_rodrigues@iol.pt

j.morgan06@blueyonder.co.uk
lf012r2929@blueyonder.co.uk

tiff1pets@reliable-mail.com
bre90oplign@reliable-mail.com
bre90oplign@reliable-mail.com

qpecota@surewest.net
chairman@phoenixhc.co.uk

stolen@ghettojam.net
ian.p.hamilton@virgin.net
robiwahn@vodafone.de
engelchen1959@alice.de
p-morell@stofanet.dk
sara@woodsidestables.com

Адреси FTP: (оновлено 13/09)

f11p:\makoblue:london92@www.makoblue{.} com.au/public_html/2018/administrator/components/com_joomdoc/libraries/joomdoc/html/123-info001.zip
f11p:\freedomp:E8o1s8qpW5@freedompublishing{.} com.au/.trash/HTML/eoplata007.zip
f11p:\wontasti:85221064@ftp.wontastic{.} com/.htpasswds/public_html/0297_docs_tre_88.zip
f11p:\wontasti:85221064@ftp.wontastic{.} com/.trash/kitchen/wp-content/plugins/jetpack/modules/minileven/images/docs_spwo_374.zip
f11p:\j0elb:d3al4@users.tpg.com{.} au/selattyncottages/images/docs_spwo_374.zip
f11p:\mergit.com{.} au:a1d4nm143y@s46950.gridserver{.} com/domains/mergit.com{.} au/html/mergit/v00.01.13/tmp/Prvd_docs.zip
f11p:\wontasti:85221064@ftp.wontastic{.} com/.trash/kitchen/wp-content/plugins/meeting-scheduler-by-vcita/images/docs_spwo_374.zip
f11p:\sbbccom/#?-bWZ(Z_v3;@ftp.sbbc.com{.} au/.cagefs/var/cache/php-opcache/d949132ff7e5a1b34f35758ccce8ff12/home/sbbccom/public_html/mngd001.zip
f11p:\zvillanovaplaye:ATWaS1948@villanovaplayers{.} com/httpdocs/images/Prvd_docs.zip
f11p:\f189031:s3yn9bsk@cpfacilitation.com{.} au/webspace/httpdocs/wordpress/wp-content/plugins/contact-form-7/images/Prvd_docs.zip
f11p:\topuksto:zrhqh3j1ka4q19la@europa.servers.rbl-mer.misp.co{.} uk/mail/ukbargaincentral.com/steve.bartlett/.Sent/tmp/docs_spwo_374.zip
f11p:\dabaco:RqPid6!!!H0Iz5f@ftp.dabaco.com{.} au/public_html/administrator/components/com_admin/helpers/html/0297_docs_tre_88.zip
f11p:\topuksto:zrhqh3j1ka4q19la@ftp.ukbargaincentral{.} com/mail/ukbargaincentral.com/steve.bartlett/.Junk/tmp/Prvd_docs.zip
f11p:\topuksto:zrhqh3j1ka4q19la@europa.servers.rbl-mer.misp.co{.} uk/mail/.Drafts/tmp/docs_spwo_374.zip
f11p:\thestore:Soot777!@thestoreroomnsw.com{.} au/public_html/administrator/templates/khepri/html/123-info001.zip
f11p:\f189031:s3yn9bsk@cpfacilitation.com{.} au/webspace/httpdocs/wordpress/wp-content/plugins/contact-form-7/images/docs_spwo_374.zip
f11p:\etrain:*!?qfP#^QgU%@e-train.com{.} au/public_html/eoplata007.zip
f11p:\bimbella:q2h1q8a8n5@ftp.bimbellabeef.com{.} au/public_html/mngd001.zip

Архіви:

SHA-256 aa819503e6fa943c7802a6fd1d14b918fd33cf9ad97fba7140cdd7742e5192bb
File name Prvd_docs.zip
File size 853.95 KB

 

SHA-256 8b9b32c0965a707f26aaa9d8c316bba46d850ef768ebd1d9f2449325a311e15c
File name mngd001.zip
File size 853.77 KB

 

SCR файли:

SHA-256 270cbd6b5c344b952eb23b3383b30c4b97dc3f5b3e7702c61bb08c19e7f0320a
File name docs_spwo_374.scr
File size 911 KB

 

SHA-256 e7f43c2e20deb45a295eb7f3774c238e29a4a89e3d2487d9f852ada216052148
File name 0297_docs_tre_88.scr
File size 911 KB

Після запуску SCR дублює своє тіло у C:\ProgramData\Windows\csrss.exe

Закріплюється через HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem

Через 10-15 хв після активації розпочинає процес шифрування файлів, зашифровані файли отримують розширення .crypted000007

Цитата із вимог про викуп:

“Вaшu файлы былu зашuфрoвaны.
Чmобы pасшифpовamь иx, Вам неoбхoдuмо omправuть kод:
85F93484188BBACD2983|833|6|8
нa элeкmрoнный адрeс VladimirScherbinin1991@gmail.com .”

Мережева активність скомпрометованої системи:

194.109.206.212	www.khfpgbxlw5p6pzvklzug{.} com		Client Hello
86.59.21.38	www.j4pl75jorexd4e{.} com		Client Hello
192.3.169.210	www.33llfq{.} com		        Client Hello

0297_docs_tre_88.scr	194.109.206.212	443	ESTABLISHED										
0297_docs_tre_88.scr	192.3.169.210	443	ESTABLISHED										
0297_docs_tre_88.scr	86.18.115.93	9001	ESTABLISHED

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Обмеження FTP з’єднань для пересічних користувачів за білим списком джерел
  • Заборона довільного завантаження додатків для пересічних користувачів на рівні Web Proxy
  • Заборона створення та зчитування/запуску *.SCR та *.EXE з каталогів профілю користувача %appdata%
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Постраждалим(!):

ID Ransomware

No More Ransom

Інструкція по розшифровці (на свій ризик!)

Будьте уважні та обережні.

VR

50 відтінків фішингу, або Руки геть із клавіатури!

Усім привіт.

Опублікували мою статтю про фішинг та як із ним боротися.

Контент орієнтований на пересічного користувача та буде корисний усім хто починає ранок із розгрібання теки “Вхідні листи”.

Бажаю приємного читання)

https://petrimazepa.com/50_vidtinkiv_fishingu_abo_ruki_get_vid_klaviaturi

VR

IOC_Комета_070918

Усім доброго вечора.

Як ви можливо знаєте, нещодавно стало відомо про те, що одне із популярних на заході розширень Google Chrome було скомпрометовано. Розширення стосувалося ресурсу, який не є популярним серед української спільноти.

Замість теми про безпеку даних оригінального Google Chrome ми хотіли би попередити вас про шкідливе ПЗ на базі Google Chrome.

Мова йде про так званий браузер “Комета” h11p:\ kometa-browser{.} ru/
За основу взятий код Chrome і додані функції збору інформації та генерування криптовалют.
Крім того цей браузер може перенаправляти користувачів на потенційно небезпечні ресурси.

Результати аналізу коду:
1- Модуль браузера
2 – Модуль оновлення

Це досить специфічна загроза. Можливо ваші користувачі навіть не чули про неї.
Але ми наполегливо рекомендуємо перевірити перелік встановленого ПЗ та журнали Proxy сервера на предмет з’єднань специфічних для цього додатку.

Важливо!
“Комета” підписана дійсним сертифікатом та не потребує підвищення привілеїв для встановлення (подібно до Chrome пише себе у каталог користувача).

Зразок, який ми отримали на аналіз є старою версією та характеризується наступними маркерами:

SHA-256 e1497ce0ff723aa5dac1c34565678fc5f8ddb4f109a77ffec286a2354cef0ab8
File name kometa.exe (chrome_exe)
File size 1.03 MB

First Seen In The Wild 2009-10-26 15:58:50
First Submission 2015-06-09 16:10:15
Last Submission 2018-05-18 10:18:40

SHA-256 053e28a3d3ba6a77e6c3f1b3cd648ace05e5d95cfaa7fd45f21c7768ad370c24
File name kometaup.exe
File size 1.04 MB

First Seen In The Wild 2014-11-11 15:09:41
First Submission 2015-06-03 14:08:33
Last Submission 2016-06-11 08:28:18

Активність браузера: (User Agent = Mozilla/5.0 (Chrome/43.0.2357.65)

Мережеві з'єднання
------------------
185.50.24.116 kometa-online{.} ru GET / HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36
88.212.201.193 counter.yadro{.} ru GET /logo?26.1 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36
88.212.201.193 counter.yadro{.} ru GET /logo?26.1 HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36
46.4.70.113 bnstero.com GET /widget/bc.js HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36
144.76.52.40 cookie.cooster{.} ru GET /user?domain=http%3A%2F%2Fkometa-online{.} ru HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36
172.217.20.206 redirector.gvt1.com GET /edgedl/chromewebstore/L2Nocm9tZV9leHRlbnNpb24vYmxvYnMvNGYxQUFVU3NyMGY1T2dNS2lzS1FLVmJsZw/0.3.0.5_lccekmodgklaepjeofjdjpbminllajkg.crx HTTP/1.1 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36
Процес:IP
----------
kometa.exe 4008 172.217.20.206 443 ESTABLISHED 
kometa.exe 4008 172.217.20.202 443 ESTABLISHED 
kometa.exe 4008 185.50.24.116 80 ESTABLISHED 
kometa.exe 4008 185.50.24.116 80 ESTABLISHED 
kometa.exe 4008 185.50.24.116 80 ESTABLISHED 
kometa.exe 4008 172.217.20.206 80 ESTABLISHED 
kometa.exe 4008 213.180.193.106 443 ESTABLISHED 
kometa.exe 4008 144.76.52.40 80 ESTABLISHED 
kometa.exe 4008 172.217.20.202 443 ESTABLISHED 
kometa.exe 4008 172.217.20.206 80 ESTABLISHED 
kometa.exe 4008 185.158.208.209 80 ESTABLISHED 
kometa.exe 4008 185.158.208.209 80 ESTABLISHED 
kometa.exe 4008 185.158.208.209 80 ESTABLISHED 
kometa.exe 4008 172.217.20.195 443 ESTABLISHED 
kometa.exe 4008 172.217.20.195 443 SYN_SENT 
kometa.exe 4008 216.58.214.206 443 ESTABLISHED 
kometa.exe 4008 185.158.210.14 80 ESTABLISHED 
kometa.exe 4008 185.158.210.14 80 ESTABLISHED 
kometa.exe 4008 185.158.210.14 80 ESTABLISHED

# # #

Активність модуля оновлення: (без User Agent)

Автозапуск
----------------
kometaup Kometa browser updater Kometa LCC c:\users\operator\appdata\local\kometa\kometaup.exe 02.06.2015 18:43
Мережеві з'єднання
------------------
62.210.61.24 kometa-update{.} ru HEAD /kometaup/index.json HTTP/1.1 
62.210.61.24 kometa-update{.} ru GET /kometaup/index.json HTTP/1.1 
194.58.112.173 kometa-bin{.} ru HEAD /kometaup/i.exe HTTP/1.1 
188.166.151.208 s.kometa-stat{.} ru HEAD /?prod=up&version=1.0.0.423&action=online&guid=E393FC5FB91F4517A4EBEB2A795776F3&mid=A6F551A97DB2BB3B7B4F216DBB1DF0C2&os=6.1&bit=64&sig=6e2e46520a5e0273b4ff066e667a2a0c HTTP/1.1 
5.9.253.103 kometa-stat{.} ru HEAD /pixel.gif?prod=up&action=online HTTP/1.1

# # #

Нові версії матимуть інший User Agent проте джерела з яких він оновлюються залишаться незмінними.
Перевірте чи ніхто із ваших користувачів не встановив собі таке “щастя”.
Будьте уважні та обережні.

VR