Archive | November 2018

IOC_troldesh_121118

12/11/18 проходила розсилка шкідливого коду типу #troldesh (#shade) ransom
Метод доставки – js у оболонці zip.
Ступінь загрози – середній.

Аналітика:

  • Payload пакований
  • Використовує мережу Tor
  • Шифрує із затримкою 10-11 хв

Мережеві маркери:
– – – – – – – – – – – – – – – – – –

wscript.exe 2968 TCP s5.mizbandp.com http ESTABLISHED

rad3C919.tmp 2644 TCP localhost 49324 ESTABLISHED
rad3C919.tmp 2644 TCP localhost 49323 ESTABLISHED
rad3C919.tmp 2644 TCP tor.dizum.com https ESTABLISHED
rad3C919.tmp 2644 TCP tor.noreply.org https ESTABLISHED
rad3C919.tmp 2644 TCP 133-241-15-51.rev.cloud.scaleway.com 9001 ESTABLISHED
rad3C919.tmp 2644 TCP 154.35.32.5 443 SYN_SENT

rad3C919.tmp 2644 TCP 127.0.0.1 49324 ESTABLISHED
rad3C919.tmp 2644 TCP 127.0.0.1 49323 ESTABLISHED
rad3C919.tmp 2644 TCP 194.109.206.212 443 ESTABLISHED
rad3C919.tmp 2644 TCP 86.59.21.38 443 ESTABLISHED
rad3C919.tmp 2644 TCP 51.15.241.133 9001 ESTABLISHED
rad3C919.tmp 2644 TCP 5.9.151.241 4223 ESTABLISHED
rad3C919.tmp 2644 TCP faravahar.rabbani.jp https SYN_SENT

# # #

Повний перелік маркерів:
https://pastebin.com/1y8MpRZq

Контрзаходи:

  • Заборонити обробку WSH
  • Блокувати вихідний трафік для wscript та cscript
  • Заборонити на proxy завантаження додатків
  • Контролювати виклик cmd та інших системних додатків

Будьте уважні та обережні.

VR

Advertisements

IOC_Emotet_091118

09/11/18 проходила розсилка троянського шкідливого коду типу #Emotet
Метод доставки – документ із макросом з передачею команд на powershell.
Ступінь загрози – високий (для компаній, що не блокують макроси).

  • Сильна обфускація команд.

5 різних джерел, три із них поки що активні:

h11p\мягкое-стекло{.} рф/OYRECjhJU  404
h11p\sastudio{.} co/GgGV3mOVlN           200
h11p\priscawrites{.} com/tS6M2ffhC       200
h11p\gbsbrows{.} com/JZLqJd4                200
h11p\evelin{.} ru/fgARtN6g                       404

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
132.148.254.223 gbsbrows{.} com GET /JZLqJd4 HTTP/1.1 no User Agent
187.163.174.149 187.163.174.149:8080 GET / HTTP/1.1 Mozilla/4.0
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/THHMs2wg

Додаткові маркери по іншим розсилкам:

https://pastebin.com/KVNyw9Uq

https://pastebin.com/L2nSzNU4

Контрзаходи:

  • Заборонити виклик/передачу команд на cmd та powershell від додатків MS Office
  • Блокувати на proxy запити з пустим або нетиповим полем User Agent
  • Заборонити на proxy завантаження додатків
  • Контролювати створення/запуск .exe у профілях користувачів

Будьте уважні та обережні.

VR

IOC_smokeloader_081118

08/11/18 проходила розсилка #smokeloader

Схема:
email attach (lzh) > js > WSH > GET > %AppData%\MS\Windows\Templates\*.exe

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
79.133.98.58 districoperav{.} icu GET /neifo/sysm.exe HTTP/1.1 Mozilla/4.0

# # #

Більше маркерів (чорновик звіту) за посиланням:

https://pastebin.com/JmthzrL4

Контрзаходи:

• Блокуйте WSH або трафік cscript/wscript
• Фільтруйте нестандартні архіви та скриптові файли
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR