IOC_digest_05_2019

(Зразки за травень 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити.

Наразі із публічних та реально шкідливих усього три (3) зразки, проте два із них – цікаві.

03/05/19

розсилали #coinminer (#bmcon),  .RAR > SCR > C:\Intel\*   , звіт

*схема 1:1 схожа із попереднім випадком, тому окремого звіту не робив

 

07/05/19

розсилали #formbook,  .doc (RTF) > 11882 > msiexec GET msi > install , звіт

 

15/05/19

розсилали #emotet,  .doc > macro > WMI > powershell -enc > GET 5 URL > \Users\%name%\206.exe > \Users\%name%\AppData\Local\?\?.exe , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Якщо розбити по категоріям, тоді отримаємо

Для обходу фільтрів були застосовані наступні кроки:

  • обфускація команд PowerShell (1) + документи з макросами (1)
  • (!) конвертування exe (payload) у MSI

Тенденції

  • Низькопробні розсилки із примітивним EXE/SCR не збавляють обертів
  • Вразливість 11882 уже 2 рік продовжує домінувати серед приманок-офісних документів
  • Там, де заборонено завантажувати .EXE намагаються пройти через .MSI
  • Base64 + Powershell залишається своєрідним еталоном доставки

Цікавими з технічної точки зору виявилися 2 зразки:

  • #formbook, доставку якого загорнули у RTF із 11882, але в кінці був не .EXE, а MSI (!)
  • #emotet, який передавав Base64 на PowerShell через WMI (!)

Трюк з MSI дозволив зловмисникам обійти фільтри і запустити інсталяцію – потрібно зробити висновки.

Кодовані команди на PowerShell уже давно не новина, проте використання WMI може порушити логіку блокувань – потрібно зробити висновки.

– – – – – – – – – – – – – – – – – – – – – – –

Загалом, усе, що присилали в травні могло створити інциденти тим організаціям які:

  • не оновлюють MS Office та ОС
  • не блокують запуск макросів
  • не відмовилися від RTF
  • не заборонили виклик PowerShell та інших вбудованих механізмів ОС (mshta, cmd etc)
  • не контролюють GET запити на Proxy по User Agent
  • не блокують завантаження EXE та MSI у явному вигляді

Узагальнені контрзаходи

  • встановлення виправлень MS Office
  • посилена фільтрація вмісту приєднань – як по типу так і по розширенню
  • заборона запуску cmd, powershell та ?script для рядових користувачів
  • блокування web запитів з пустим або застарілим полем User Agent

Будьте уважні та обережні.

VR

Tags: , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: