Archive | Traps RSS for this section

New Traps v3.4: Protect Yourself From (Anti)virus


It is truly hard to be secured in these days – all those waves of countless phishing campaigns, increase of ransomware activity which day by day spreads like a plague and even worth – all those low profile hi-skilled APT..

In this conditions traditional signature-based AV solutions can not guarantee enough level of protection. You just need to keep in mind that signatures always late, from the beginning. It is obvious for us, technical guys, but may be it is not clear for business decision makers. The problem is that to make a signature you need a sample or threat. It means that somebody needs to be infected first, needs to be a so called “0-patien”. In modern world no one wants to be him because usually it involves reputation risks and data breach. Another issue what I saw many times – when company implements traditional AV they may low setting to avoid conflicts with business software. This reduce overall level of protection from low to ground. And even when security convinced use additional measurements (like EMET or intrusion prevention system) – implementation of this additional layer usually take more time and recourses. For technical department it is difficult to correctly implement such systems. As a result many customers does not full implementation of it or run it without prevention enabled. It means that they got level of protection which is not far from AV.


I saw many different samples which was pushed by email. More often bad guys are use OSINT and Social Engineering technics to evade protection and force victim employers to let them in. If you saw ”Please enable macro/content” you know what I mean. It is something caustic and irony to see how attackers use sample code, sometimes very primitive to run payload. But it works great and brings them nice monetization. This is the reson why they generate new samples so fast and in such big quantity. Those who keep an eye on this process can noticed – hey, this is industrial scales.

Thats why enterprise customers need new different approach to protect their endpoints. In nowadays endpoints are main vector of modern (targeted) attacks.

Fresh version of Palo Alto Traps 3.4 introduce new capabilities and bunch of improvements. Thats why enterprise can replace their AV by Traps:


In addition to strong and multi-layer exploit mitigation and malware prevention developers implement possibility of static analysis, which expand Traps arsenal against new unknown executables.

Along with protection enforcement new version got possibility to exclude enterprise applications by their publisher and digital signature, which no doubt is “must have” for large enterprise companies.

And as usually all this are deployed with interception of exploit technics. Memory Corruption Prevention was improved. There are also some changes implemented in Logic Flaw Prevention functionality which helps Traps better recognize and mitigate attempts to interrupt and change normal OS running.


As I mentioned it before in my first look at Traps – I really like how it operates and how it resist against samples which I collected. Especially how it was done with WildFire integration.

Let me explain it little bit more. When Traps detected attempt to execute new unknown code, depends on policies, he can block it until its behavior will be checked by WildFire. Even if company decided not enable such paranoid mod (which I like) WildFire will notify ESM later and if it was harmful next attempt to run these code again will be blocked by bad reputation. Meanwhile even if unknown code was run it goes through Policy Restriction first and after that it will be inspected with malware and exploit mitigation. It is powerful multilayer approach to keep system clean and untouched.

And guess what? It works without engine (scanning) it means minimal impact to system and application productivity. Because it is not AV.

I really like possibility prevent execution from %temp% & %appdata% – because almost each ransomware, or RAT or other threats use this paths to run its operation. Moreover with Traps I can prevent creating child process for list of potential-to-be-hacked application. Serious, why my MS Word must spawn some PowerShell or wscript or event cmd child process if all what I want to do is just create or read new document?

And main exploit & malware protection keep me safe even when I partially disable it for test. It means that even if new 0day allows attackers do not trigger ROP or Heap Spray mitigation, their operations will stopped by others (DLL injection, Shellcode etc).

Bellow you can find examples of my policies. They allow you better understood capabilities of Palo Alto Traps


WildFire settings – a bit paranoid but thats how it should be for those who operate with tons of phishing/SPAM everyday


Execution Restrictions – in 90% legit software does not use those paths, instead malware just literally love them


Child Processes restrictions – this is really handle when you must deal with VBA, java and PowerShell decoys


List of exploit protection modules – oh, did I mentioned that all them are enabled out of box?

If you want to know more about Traps and improvements of new version I suggest you read initial announce.

As quick as I will get new version I will write a more practical review of it.

Stay secure.


Цербер який шифрує файли

cerber_pageНовий варіант Cerber Ransomware потрапив мені до рук. Минулого разу я помилково прийняв його за Dridex. Перші зразки Cerber були помічені ще на початку березня. Аналітики відносять його до так званого Ransomware as a Service (RaaS), тобто охочі заробити розповсюджують заразу, а самі автори отримують комісію з кожної транзакції. Механіка роботи наступна – при активації певний перелік файлів шифрується за допомогою алгоритму AES, жертві пропонують сплатити ~ 1,2 BTC ($500) за відновлення доступу до інформації. Через 7 днів сума викупу зростає вдвічі. Сплата проходить через ресурс що розміщений в мережі Tor.

Від інших представників ransomware Цербера відрізняє застосування вбудованого диктора (після шифрування файлів жертві голосом озвучують факт шифрування):

Set SAPI = CreateObject(“SAPI.SpVoice”)
SAPI.Speak “Attention! Attention! Attention!”
For i = 1 to 5
SAPI.Speak “Your documents, photos, databases and other important files have been encrypted!”

Та вибіркову цілеспрямованість. Шифрування не відбувається, якщо скомпрометована система знаходиться у одній з наступних країн:

“blacklist”: {
“countries”: [
“am”, “az”, “by”, “ge”, “kg”, “kz”, “md”, “ru”, “tm”, “tj”, “ua”, “uz”

Саме через цю перевірку я так і не побачив фінальної дії семплу, хоч запускав його по кілька разів на різних системах. Крім того, як можна помітити із першого знімку екрану, автори полюбляють вислів “Quod me non necat me fortiorem facit” що у перекладі з латинської означає “Все у житті, що мене не вбиває, робить мене сильнішим” (Ніцше).

Отже нова версія Cerber має кілька відмінностей:

  • цього разу без PowerShell;
  • його прислали особисто мені;
  • обгортка – файл шаблону (.dotm);
  • інакший зміст UDP пакету.

Давайте розглянемо активність семплу детальніше. Усе починається із фішингового листа:

0_mailІнвойс? Мені? Вау.. Ну давайте поглянемо що в середині:

0dotm_ole_1 0dotm_ole_2При відкритті документу – автозапуск макроса. Сама приманка має наступний вигляд:

0_macroЯкщо жертва активувала макрос, в каталог %AppData% записується .vbs із довільним цифровим іменем, який обробляється системним процесом wscript.exe котрий ініціює з’єднання з файловим сервером з якого уже завантажується основний модуль:

7 8Цікаво, що від активації до завантаження файлів іде затримка 3-4 хвилини. Основний модуль та додаткові файли записуються в %AppData% і керування передається спершу .tmp файлу із довільним цифровим іменем, а вже потім .tmp копіює себе у підкаталог %AppData%\{X-Y-Z-A-AAA}\*.exe :

10Сам Cerber (у даному випадку процес cipher.exe) ініціює розсилку UDP пакетів на діапазони ІР, що належать провайдерам РФ та Германії:udpНа цій стадії семпл ініціював самознищення і видаляв активний компонент (.exe файл). Сам процес шифрування детально розглянутий за посиланням.

# # # # #

Давайте зосередимося на головних моментах:

  1. Написано досить якісно, значить цикл життя таких семплів буде довгим;
  2. Cerber використовує json конфіг файл, що дозволяє швидко адаптувати його до нових умов;
  3. Обгортки можуть відрізнятися, проте сам модуль пишеться і стартує із %AppData%

Для того, щоб захиститися від нових різновидів Цербера та його друзів рекомендую жорсткіше фільтрувати пошту (вирізати макроси із документів) та блокувати створення і запуск .exe із %AppData% – це технічні моменти. Що стосується організаційних, то поради проводити періодичні співбесіди із працівниками та тести на проникнення залишаються в силі.

Іще одне – основна проблема із сучасним фішингом та семплами у тому, що на момент розсилки, вони майже не детектуются звичайними АВ-сканерами. Це підштовхує до застосування пісочниць, або до жорсткого контролю поведінки запущених користувачем процесів на рівні кінцевої точки. Чому так? Погляньте на результати перевірки документу-обгортки та самого payload на момент контакту:

vt_payload_contact vt_dropp_contact

Варіант захисту для користувачів VSE

VSE_AP_appdataВаріант захисту для користувачів Traps (Palo Alto Networks)

traps_rest2 traps_rest1

macro2 powershell

Маркери компрометації:

z43n21v1gs8e2p.dotm SHA1=0a03d6e9b6730a40d922b38b51a7f2344b09cc37

pentnt.exe SHA1=c8f3f0a33efe38e9296ef79552c4cadf6cf0bde6

сервер з якого завантажується payload по 80 TCP =

розсилка пакетів “hi005e974” по 6892 UDP = 85.93.0.x

Будьте уважними та обережними при роботі з ІТ.

Будущее — это тщательно обезвреженное настоящее