Archive | April 2019

Торпеди у воді!

Усім привіт.

Опублікували мою статтю про цільові атаки.

Контент орієнтований на ІТ/ІБ фахівців. Звичайним користувачам може бути складно, проте корисно.

Бажаю приємного читання)

https://petrimazepa.com/uk/torpedi_u_vodi

Будьте уважні та обережні.

VR

Advertisements

IOC_digest_03_2019

(Зразки за березень 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити:

07/03/19

розсилали #trickbot, .doc > macro_AutoClose > 4 bat > BITS > GET > AppData\Roaming\wnetwork\*.exe , звіт

15/03/19

 

розсилали #coinminer, SCR > C:\Intel\* , звіт

19/03/19

розсилали #shade, (RAR) > pass > JS > WSH > GET .mpwq > %temp%\*.tmp , звіт

21/03/19

розсилали #cobaltstrike, EXE (SFX) > .bat > Startup\explorer.exe , звіт

25/03/19

розсилали #shade, (RAR) > pass > JS > WSH > GET .mpwq > %temp%\*.tmp , звіт (за 19те)

28/03/19 – важливо, рівень складності та загрози високий, без EXE файлів (!)

   

розсилали #sobaken, .ZIP > .PPSX > XML_RELS > GET > WSH > %temp%\tmp4E07.tmp > %userprofile%\NTUSR.DAT , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Якщо розбити по категоріям, тоді отримаємо

  • exe/scr (без приманки) – 2 розсилки
  • BITS – 1 розсилка
  • WSH – 3 розсилки, включаючи цільову атаку (28/03)
  • Вразливість 11882 – 0 розсилок
  • powershell – 0 розсилок

Для обходу фільтрів були застосовані наступні кроки:

  • архіви з паролями;
  • Документи з макросами (1) та документи з посиланням xml.rels (1)

Тенденції

Кампанія розсилки #shade яка розпочалася ще в кінці 2018 року JS (WSH) вперто продовжується, хоча помітно зменшила оберти.

Все ще може становити загрозу для непідготованих користувачів.

Цікавими з технічної точки зору за березень виявилися два випадки:

#1 цільова атака із застосуванням аналітики по виборам в якості приманки (xml.rels > WSH).

  • Якісний привід (презентація по виборам).
  • Використання WSH для закріплення та збору інформації про заражену систему.
  • Без створення та запуску нових exe.
  • Сильна обфускація команд.

#2 доставка #trickbot через макрос на закриття документу та завантаження через службу BITS.

У цьому випадку одразу стикаємось із двома способами, що застосовуються помітно рідше.

Загалом, усе, що присилали в березні могло створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR

IOC_digest_02_2019

(Зразки за лютий 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити:

01/02/19

розсилали #TVRat, (.pdf.scr) > %temp%\1.exe > AppData\Roaming\d4igle\svcc.exe , звіт

06/02/19

розсилали #Trickbot, .xls > macro > cmd > powershell > GET 2 URL > $env:temp+’\tmp1806.exe , звіт

07/02/19 – високий рівень складності та загрози, без EXE файлів (!)

розсилали #SobakenRAT, .lnk > powershell > get base64 > decode > fingerprint system > POST b64 on C2 , звіт

12/02/19

розсилали #Lokibot, .RAR > bat > exe , звіт

20/02/19

розсилали #shade, URL > GET .ZIP > JS > WSH > GET .jpg > %temp%\*.tmp , звіт

25/02/19

розсилали #shade, URL > GET .ZIP > JS > WSH > GET .jpg > %temp%\*.tmp , звіт

розсилали #coinminer, .SCR > C:\Intel\* , звіт

26/02/19

 

розсилали #formbook, doc1 > xml.rels > GET1 > doc2 > 11882 > GET2 > \Public\vbc.exe , звіт

27/02/19

розсилали #smokeloader, (lzh) > js > WSH > GET 2 URL > AppData\Roaming\Microsoft\Windows\Templates\??????.exe , звіт

розсилали #fareit, .doc (RTF) > 11882 > GET URL > \appdata\roaming\*.exe , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Для обходу фільтрів продовжують застосовувати такі методи:

Якщо розбити по категоріям, тоді отримаємо

Тенденції

Кампанія з розповсюдження ransomware #shade яка розпочалася ще в кінці 2018 року продовжувалась із переключенням з приєднань на посилання на JS (WSH).

Варто виділити цільову атаку із застосуванням LNK на PowerShell (#sobaken), яка проводилась без жодних exe файлів. Це той рівень, до якого усім потрібно бути готовими.

Крім того, цікавим є спосіб доставки у #formbook – два документи, перший з xml.rels, а другий із 11882.

Усе, що присилали в лютому могло створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не королюють запуск powershell
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR