Tag Archive | Adwind

IOC_digest_12_2018

Оскільки усе не встигаю, а відкладати уже не можна,

то ось вам дайджест по розсилкам які були наприкінці 2018-го:

14/11/18

розсилали #formbook, xlsx > 11882 > ProgramData\Ms_Office.exe, звіт

15/11/18

розсилали #formbook, .7z (RAR) > exe, звіт

розсилали #lokibot, .doc(RTF) > 11882 > GET > msiexec.exe, звіт

28/11/18

розсилали #lokibot, attach .jar (RAR) > exe, звіт

розсилали #lokibot,doc > ole > %tmp%\_output62EE4B0.exe, звіт

01/12/18

розсилали #lokibot, n/a, звіт

розсилали #lokibot, .doc(RTF) > 11882 > GET wwhmvf.jpg > exe, звіт

03/12/18

розсилали #lokibot, .pdf.arj(zip) > exe, звіт

04/12/18

розсилали #emotet, .doc > macro > cmd > powershell > GET 5 URL > %temp%\***.exe, звіт

20/12/18

розсилали #emotet, .doc > macro > cmd > powershell > GET 5 URL > %temp%\***.exe, звіт

24/12/18 – “подробности заказа”

розсилали #shade #troldesh, .ZIP > JS > WSH > GET > %temp%\*.tmp, звіт

25/12/18

розсилали #shade #troldesh,.ZIP > 2nd .ZIP > JS > WSH > GET >  %temp%\*.tmp, звіт

26/12/18

розсилали #shade #troldesh,.ZIP > 2nd .ZIP > JS > WSH > GET >  %temp%\*.tmp, звіт

розсилали #Adwind, .JAR > WSH > JRE > AppData\Roaming\*.jar + *.vbs, звіт

28/12/18

розсилали #shade #troldesh,.ZIP > 2nd .ZIP > JS > WSH > GET >  %temp%\*.tmp, звіт

– – – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Для обходу фільтрів застосовували наступні три способи

Тенденції

Наприкінці року дуже сильно посилилися спроби доставки #shade #troldesh

Низькоякісний фішинг. Доставка через WSH.

Загалом, вищеописані зразки могли створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR

IOC_digest_0618

Усім привіт.

Через брак часу та велику кількість зразків надсилаю стислий дайджест того, що присилали наприкінці червня:

 

140618 

#LokiBot #lokibot

SHA-256               7df5d234ba9b5de40e8dae695471f2a0362de10177e3518eb7f9e8c172b47643
File name            PAYMENT SWIFT PDF.iso
File size 696 KB


SHA-256               1800b88ea906961b4ecfd374756cb2c7f0273c6048c04497e315224484cf659e
File name            PAYMENT SWIFT PDF.exe
File size 636 KB

 

h11p://ponsse{.} site/nzube/fre.php

104.28.26.87       ponsse{.} site     POST /nzube/fre.php HTTP/1.0 Mozilla/4.08 (Charon; Inferno)  

 

– – – – – – – – – – –

150618

#js #grandcrab

SHA-256               85838b0cbd2beac5e91b24afbf7a36156b2270bc0c874b6377541740b74a9851
File name            20188946_894679.jpg.zip
File size 21.92 KB

SHA-256               1f26017ef432aee644400e4854e54ff330c797ea8eb79190368fed9cf630377b
File name            e233d4ac26fee5ff56a6536d0db7373217b4c4a7
File size 21.78 KB

SHA-256               eb371764b422e9384e3fb8cbb12112e64666c362758c62bcabbd9f17c7d94341
File name            crabin.exe
File size 207.51 KB

 

h11p://92.63.197{.} 60/crabin.exe?agQefX

92.63.197.60       92.63.197.60       GET /crabin.exe?agQefX HTTP/1.1                            80           HTTP      133

66.171.248.178  carder{.} bit        GET / HTTP/1.1 Mozilla/5.0

217.156.87.2       carder{.} bit        POST /eeb?eyge=ies HTTP/1.1  (application/x-www-form-urlencoded)    Mozilla/5.0

 

#Trickbot

SHA-256               5e7a1ed5f9a1fbc9d7148fbc28a379dc0067508844b6d342084d26b75c995d4f
File name            75812277127A00113A.doc
File size 69 KB

 

macro > cmd > powershell > GET

 

h11p://onetimewonders{.} com/no.bin (!)

h11p://nepalhiking{.} com/no.bin (404)

 

SHA-256               503c5c3cb68e1e057df4b99fe338d65d44d4c6e1f49396929d3fff66044505af
File name            no.bin   !This program cannot be run in DOS mode.
File size 338 KB

 

h11p\188.124.167.132:8082/ser0611/

 

– – – – – – – – – – –

190618

 

#adwind

SHA-256               2a6ea5647c951659854df5bc3437462294815da880872cc93e96fc01cccd85e4
File name            ORDER SAMPLE.jar
File size 479.42 KB

 

javaw.exe  197.211.59.160  pmanlog.ddns{.} net

 

proc

"C:\Program Files\Java\jre1.8.0_171\bin\javaw.exe" -jar "C:\Users\operator\Desktop\adwind1906.jar"
C:\Windows\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
"C:\Program Files\Java\jre1.8.0_171\bin\java.exe" -jar C:\tmp\_0.32649732458480233098419347231064428.class
cmd.exe /C cscript.exe C:\tmp\Retrive6508158100243133376.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive3329749612520250823.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
cmd.exe /C cscript.exe C:\tmp\Retrive6611168625816267695.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive35953365366553471.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v extjXQeGNff /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\RmAnqeogmJS\ZQaAquQZKoS.tUCacg\"" /f
attrib +h "C:\Users\operator\RmAnqeogmJS\*.*"
attrib +h "C:\Users\operator\RmAnqeogmJS"
C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe -jar C:\Users\operator\RmAnqeogmJS\ZQaAquQZKoS.tUCacg
C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe -jar C:\tmp\_0.64094332285124526171507674142480917.class
cmd.exe /C cscript.exe C:\tmp\Retrive4167831113503291950.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive4003874893192164925.vbs
taskkill /IM UserAccountControlSettings.exe /T /F
cmd.exe /c regedit.exe /s C:\tmp\UjxCMXPFhx4211656766753692948.reg
taskkill /IM Taskmgr.exe /T /F
WMIC /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List
taskkill /IM PSUAMain.exe /T /F

 

comp

java.exe               1964       TCP        127.0.0.1              50131    127.0.0.1              7777       SYN_SENT

javaw.exe           2772       TCP        10.0.2.15              50102    185.208.211.142                3382       ESTABLISHED

 

#pony (fareit)

SHA-256               c0c4ad871ffe0231961fb2d77ee575c07e4ade470b0d6c84faa7f92ba511ee64
File name            decoded.gz
File size 188.51 KB



SHA-256               5dda41fb0abc6528d80995aedb47c0b59fc6467e7307bbdc75d097aef50fcd21
File name            deed.exe
File size 672 KB

 

185.6.242.251     hosedoin{.} ml   POST /fiv/roks/gate.php HTTP/1.0            Mozilla/4.0

 

– – – – – – – – – – –

200618

#adwind #jar

 

proc

—-

"C:\Program Files\Java\jre1.8.0_171\bin\javaw.exe" -jar "C:\Users\operator\Desktop\adwind20.jar"
C:\Windows\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
C:\Program Files\Java\jre1.8.0_171\bin\java.exe" -jar C:\tmp\_0.54780904655995994375189407378187035.class
cmd.exe /C cscript.exe C:\tmp\Retrive6543292869224297367.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive4922912961062946918.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
cmd.exe /C cscript.exe C:\tmp\Retrive2680843125772440624.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive8763095501247174336.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ZllOQijdfpg /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\VGyRmlBYozs\CFiYFpKudNh.vaZoLR\"" /f
attrib +h "C:\Users\operator\VGyRmlBYozs\*.*"
attrib +h "C:\Users\operator\VGyRmlBYozs"
C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe -jar C:\Users\operator\VGyRmlBYozs\CFiYFpKudNh.vaZoLR
C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe -jar C:\tmp\_0.7762377356869443373969133677298847.class
cmd.exe /C cscript.exe C:\tmp\Retrive5882107392697143603.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive1289986287422620902.vbs
taskkill /IM UserAccountControlSettings.exe /T /F
cmd.exe /c regedit.exe /s C:\tmp\DpVePFPaGi2225327046919394054.reg
taskkill /IM Taskmgr.exe /T /F

 

comp

—-

java.exe               3740       TCP        127.0.0.1              50177    127.0.0.1              7777       SYN_SENT

javaw.exe           3136       TCP        10.0.2.15              50176    185.208.211.138                4573       SYN_SENT

 

#pony #fareit

SHA-256               b3468cc1949f8686bd2bc8bda351dc4b31a45f9fcf6c2ea27279421c4465c431
File name            HSBC COPY.docx - clean
File size 76.05 KB


SHA-256               64fd95c4c13fadee7b5fbbe946f0bd66cce07a5a6488c2bc95faefb0098aa97d
File name            PAYMENTCOPY_PDF.exe
File size 50.55 MB

 

h11p://cellimark{.} com/yangzhouming/coreserver/gate.php

h11p://cellimark{.} com/yangzhouming/coreserver/shit.exe  – 404

 

103.63.2.238       cellimark{.} com                POST /yangzhouming/coreserver/gate.php HTTP/1.0       Mozilla/4.0

103.63.2.238       cellimark{.} com                GET /yangzhouming/coreserver/shit.exe HTTP/1.0            Mozilla/4.0                 – 404

– – – – – – – – – – –

Контрзаходи незмінні.

Хто забув чи не знав – дивіться попередні звіти по цим сімействам:

 

#LokiBot              https://radetskiy.wordpress.com/?s=lokibot

#TrickBot             https://radetskiy.wordpress.com/?s=trickbot

#Adwind              https://radetskiy.wordpress.com/?s=adwind

#Pony                   https://radetskiy.wordpress.com/?s=pony

 

Вдалого дня.

Будьте уважні та обережні!

VR

IOC_Adwind_100518

Доброго вечора, панове.

Вчора була зафіксована розсилка шкідливого коду типу #Adwind (RAT).

Ми вже кілька разів розбирали його різні варіації.

#Adwind застосовується для збору інформації та віддаленого керування інфікованими системами.

Рівень загрози, для організацій котрі використовують JRE та альтернативні поштові клієнти* чи WebMail, – високий.

А для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Сервер розсилки імітує домен Інституту зварювання ім. Патона
  • (!) актуальні версії MS Outlook по замовчуванню блокують доступ до приєднань цього типу
  • #Adwind не створює нових запускних файлів крім копії модулів JRE
  • Активно використовує WSH та WMI
  • Не потребує прав Адміністратора
  • Може бути каналом доставки іншого malware
  • Цього разу Jar без обгортки

Схема атаки:

email > Attach (jar) > javaw.exe > java.exe > cscript.exe> WMIC.exe > data exfiltration

Маркери IOC:

Основна частина:

SHA-256        8dd7c604013ca7bdabba34ab04291a85ffb9846063de0efb17f8bf2d0a7e04e8
File name   uba.qrypted.jar (18ZJ127 INV (2).jar)
File size      769.07 KB

Мережеві IOC:

Трафік інфікованої системи:

java.exe    1284 TCP   127.0.0.1   49794        127.0.0.1   7777 SYN_SENT                                                                         
javaw.exe  840   TCP   10.0.2.15   49754        185.227.83.51   5030 ESTABLISHED      

 

java.exe    1284 TCP   APM11       49796        localhost    7777 SYN_SENT                                                                         
javaw.exe  840   TCP   apm11       49754        51.83.227.185.gerber.non-logging.vpn       5030 ESTABLISHED

Активність по процесам:

Коли жертва відкриває JAR файл, відбувається обробка інструкцій і закріплення бекдору:

"C:\Program Files (x86)\Microsoft Office\Office12\OUTLOOK.EXE" /f "C:\Users\operator\Desktop\RE New Order # 014563.msg"
"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\tmp\Temporary Internet Files\Content.Outlook\RBXHTDD1\18ZJ127 INV (2).jar"
"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.96591224716123398063543837287709600.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive1028621641851654372.vbs
cscript.exe  C:\tmp\Retrive1028621641851654372.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive1863584818779134903.vbs
cscript.exe  C:\tmp\Retrive1863584818779134903.vbs
"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e
"cmd.exe" /C cscript.exe C:\tmp\Retrive7838850603346017630.vbs
cscript.exe  C:\tmp\Retrive7838850603346017630.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive1695544840638860067.vbs
cscript.exe  C:\tmp\Retrive1695544840638860067.vbs
"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

Таким чином, файли інтерпретатора Java копіюються із \Program Files у каталог профіля користувача.

Після цього проходить закріплення через HKU\Current Version\Run

(!) Зверніть увагу – до списку автозавантаження додається легітимний процес JRE, шкідливі команди передаються параметром:

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v OQZJaDzMiFp /t REG_EXPAND_SZ /d
"\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\DUsCXQFVGan\hwDgRthtXax.BDcliA\"" /f

Щоб приховати сліди, Adwind змінює атрибути робочого каталогу:

"attrib" +h "C:\Users\operator\DUsCXQFVGan\*.*"
"attrib" +h "C:\Users\operator\DUsCXQFVGan"

Після закріплення розпочинається збір інформації:

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\DUsCXQFVGan\hwDgRthtXax.BDcliA
"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.72519027776652135739829391954449646.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive1356326019894555462.vbs
cscript.exe  C:\tmp\Retrive1356326019894555462.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive4827650205509862735.vbs
cscript.exe  C:\tmp\Retrive4827650205509862735.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive5797923481866821519.vbs
cscript.exe  C:\tmp\Retrive5797923481866821519.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive5311907378487770237.vbs
cscript.exe  C:\tmp\Retrive5311907378487770237.vbs
"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Видалення JRE там, де він не є необхідним по роботі
  • Заборона створення/запису .jar файлів у каталозі користувача
  • Блокування доставки файлів типу JAR на рівні Web та Email шлюзів
  • Заборона створення/зчитування vbs файлів або ж повна деактивація механізму WSH
  • Заборонити процесу javaw зчитувати файли з каталогу користувача
  • Суворий контроль переліку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\ – дозволить упередити копіювання файлів JRE
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Adwind_070218

Доброго вечора, панове.

Сьогодні зранку зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Ми з ним уже “знайомі”: розибрав у червні 16го, у травні 17го, на початку вересня 17го та 12го жовтня.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Цього разу примітивно, без обгортки, просто JAR у приєднанні.

Рейтинг приманки на VT jar – 9/60.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

Схема атаки:

email > .JAR > %temp%\*.JAR, *.class & *.vbs > %Userprofile%\EALtjyLyxBW\

Маркери IOC:

File name   SKMBT_C02072018.jar
SHA-256        abd38eea774ca43a7df3d4e173b07fcee809e2bb0d9ae6d8fd7021610938e7ce
File size      534.01 KB

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Users\operator\Desktop\decoded.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

 

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.92849276228029881768736636918737462.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive8012862021299542926.vbs
cscript.exe  C:\tmp\Retrive8012862021299542926.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

 

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%,

 

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v NjLVawaQVWM /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\EALtjyLyxBW\mvisTvrDYHI.lovyGx\"" /f
=
NjLVawaQVWM   Java(TM) Platform SE binary  Oracle Corporation        c:\users\operator\appdata\roaming\oracle\bin\javaw.exe  21.06.2013 22:05               

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\EALtjyLyxBW\*.*"
"attrib" +h "C:\Users\operator\EALtjyLyxBW"

– приховує свої файли через атрибути файлової системи

 

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\EALtjyLyxBW\mvisTvrDYHI.lovyGx
"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.482691304425191373098301473738213403.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive5796149169918309765.vbs
cscript.exe  C:\tmp\Retrive5796149169918309765.vbs

– передача керування на файл з інструкціями з каталогу користувача

 

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")
Set colItems = oWMI.ExecQuery("Select * from AntiVirusProduct")
For Each objItem in colItems
 With objItem
 WScript.Echo "{""AV"":""" & .displayName & """}"
 End With
Next

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")
Set colItems = oWMI.ExecQuery("Select * from FirewallProduct")
For Each objItem in colItems
 With objItem
 WScript.Echo "{""FIREWALL"":""" & .displayName & """}"
 End With
Next
 

– збір інформації про

  • встановленні драйвери PnP пристроїв
  • антивірусне ПЗ
  • брандмауер

(!) може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої)

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю.

Мережеві IOC:

Мережева активність при інфікуванні – спроба з’єднатися із вузлом в TOR

DNS  102   Standard query response 0xe7ab A vvrhhhnaijyj6s2m[.]onion[.]top A 62.0.58.94

Трафік скомпрометованої системи:

java.exe    2208 TCP   127.0.0.1   49359        127.0.0.1   7777 SYN_SENT                                                                         
java.exe    1592 TCP   127.0.0.1   49362        127.0.0.1   7777 SYN_SENT                                                                         
javaw.exe  1464 TCP   10.0.2.15   49291        185.158.139.39 5017 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Adwind_121017

Доброго вечора, панове.

Вчора в першій половині дня було зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Він уже потрапляв в поле мого зору тричі: у червні 16го, у травні 17го та на початку вересня 17го.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

Рейтинг приманки на VT – досі! docx 3/60, jar – 4/60.

Цього разу для обходу фільтрів застосували обгортку у вигляді OLE об’єкту у .docx файлі.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що компоненти Adwind детектуються DAT & GTI.

Трохи аналітики:

Я завжди виділяв даний клас загроз з поміж усіх зразків, які мені доводилося розбирати.

Причина полягає в тому, що 90% того мотлоху який щоденно тоннами розсилається у мережі не залежно від типу та форми обгортки (dropper) зводиться до примітивного – “завантажити / розпакувати / запустити .exe” (payload)

Відповідно, ті, хто звертають увагу не лише на IOC, а й на мої рекомендації, вже знають, що більшість складних/хитрих схем інфікування можна поламати через правила Acces Protection або деактивацію відповідних механізмів ОС, що дозволяє зупинити активність зразків на початковій стадії, не допускаючи значних ушкоджень системи жертви. (тут мова про сигнатури взагалі не йде бо в момент розсилки їх просто не буде)

Коли ми говоримо про Adwind потрібно вживати додаткових заходів захисту адже зразки цього типу в процесі інфікування не створюють нових запусних файлів, вони використовують встановлену JRE з дійсним цифровим підписом на яку через параметр подаються команди із файлу. Після закріплення уся активність на яку може звернути увагу технічний спеціаліст це присутність процесу javaw.exe (який досить легко сплутати з оновленнями Java) у автозавантаженні та періодична мережева активність від імені цього ж процесу – погодьтеся, що це не  буде виглядати підозрілим для системи, на якій активно використовуються Java додатки.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

 

Схема атаки:

email > .docх > OLE > %temp%\Java Update.jar, *.class & *.vbs > %Userprofile%\feAvqJOQQQh\vopqWIOLoxI.ZrKgLV

Маркери IOC:

File name Purchase Order & Product Specification.doc
SHA-256 2391153b1d1cce5645545e2e7f08361e4dbe44332f6d1730da2c2a9fa6086faa 
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document
File size 605.71 KB

File name Java Update.jar
SHA-256 b1cec81040e0d2408bfa1fc949899a6b99cc44e9aafe80fdf1d2bebd4e3f5a1d 
File Type application/x-java-archive; charset=binary
File size 542.64 KB

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\tmp\Java Update.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.5743056579312063127883038705222330.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive570114789299081000.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%,

це те, що має насторожити уважного адміна/ІБшника (про скрипти в %temp% я вже мовчу)

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v FwdqdYRuBhF /t REG_EXPAND_SZ /d 
"\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\feAvqJOQQQh\vopqWIOLoxI.ZrKgLV\"" /f

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\feAvqJOQQQh\*.*"

– приховує свої файли через атрибути файлової системи

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\feAvqJOQQQh\vopqWIOLoxI.ZrKgLV

– передача керування на файл з інструкціями з каталогу користувача

"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.147022225971277562635083797810489821.class 
%temp%\vaTFpntHCB8289512746733850272.reg
"cmd.exe" /c regedit.exe /s C:\tmp\vaTFpntHCB8289512746733850272.reg

– запуск скриптів ініціює часткову зачистку слідів, відкриття мережевих з’єднань і блокування системних та засобів захисту через Image File Execution Options, “debugger”

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

– збір інформації про встановленні драйвери PnP пристроїв – може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої)

на відміну від зразка за 16й рік, який цікавився не драйверами а параметрами брандмауєра

"taskkill" /IM UserAccountControlSettings.exe /T /F 
"taskkill" /IM Taskmgr.exe /T /F
"taskkill" /IM procexp.exe /T /F
"taskkill" /IM wireshark.exe /T /F

– спроба зупинити роботу довжелезного переліку засобів безпеки та утиліт моніторингу

reg  query "HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676" 
reg  query "HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676"
reg  query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676"
reg  query "HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676"
reg  query "HKEY_CURRENT_USER\Software\HeidiSQL\Servers"
reg  query "HKEY_CURRENT_USER\Software\DownloadManager\Passwords"
reg  query "HKEY_CURRENT_USER\Software\Paltalk"
reg  query "HKEY_CURRENT_USER\Software\Beyluxe Messenger"
reg  query "HKEY_CURRENT_USER\Software\IMVU\username"
reg  query "HKEY_CURRENT_USER\Software\IMVU\password"

– перевірка цікавих ключів реєстру

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю:

victim_host:49309 > 5.133.15.1:1434 TCP

###

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Мережеві IOC:

victim_host:49309 > 5.133.15.1:1434 TCP

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Adwind_050917

Доброго дня, панове.

Вчора в першій половині дня було зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Він уже потрапляв в поле мого зору двічі: у червні 16го та у травні 17го.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що компоненти Adwind детектуються DAT & GTI:

Трохи аналітики:

Я завжди виділяв даний клас загроз з поміж усіх зразків, які мені доводилося розбирати.

Причина полягає в тому, що 90% того мотлоху який щоденно тоннами розсилається у мережі не залежно від типу та форми обгортки (dropper) зводиться до примітивного – “завантажити / розпакувати / запустити .exe” (payload)

Відповідно, ті, хто звертають увагу не лише на IOC, а й на мої рекомендації, вже знають, що більшість складних/хитрих схем інфікування можна поламати через правила Acces Protection або деактивацію відповідних механізмів ОС, що дозволяє зупинити активність зразків на початковій стадії, не допускаючи значних ушкоджень системи жертви. (тут мова про сигнатури взагалі не йде бо в момент розсилки їх просто не буде)

Коли ми говоримо про Adwind потрібно вживати додаткових заходів захисту адже зразки цього типу в процесі інфікування не створюють нових запусних файлів, вони використовують встановлену JRE з дійсним цифровим підписом на яку через параметр подаються команди із файлу. Після закріплення уся активність на яку може звернути увагу технічний спеціаліст це присутність процесу javaw.exe (який досить легко сплутати з оновленнями Java) у автозавантаженні та періодична мережева активність від імені цього ж процесу – погодьтеся, що це не  буде виглядати підозрілим для системи, на якій активно використовуються Java додатки.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

Схему атаки, маркери та перелік контрзаходів дивіться нижче.

Як і завжди основний принцип залишається незмінним – “Простіше упередити інфікування на ранній стадії аніж потім розбиратися із наслідками перебування шкідливого коду

Схема атаки:

email > attach (ZIP) > JAR > %temp%\*.class & *.vbs > %Userprofile%\Windows.reg\Update.scan

Маркери, IOC:

File Name PO-7235.jar
SHA-256 Hash Identifier 70ECF5D3EC5C876901BE635484E0137A31167143C9758DB52C54294810B27C14
File Size 558587 bytes
File Type application/x-java-archive; charset=binary

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Users\operator\Desktop\PO-7235.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.94455666565898946497103256142168062.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive6049223750802148355.vbs
cscript.exe  C:\tmp\Retrive6049223750802148355.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive7219502531594942910.vbs
cscript.exe  C:\tmp\Retrive7219502531594942910.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%, це те, що має насторожити уважного адміна/ІБшника (про скрипти в %temp% я вже мовчу)

"cmd.exe" /C cscript.exe C:\tmp\Retrive5392694676028337177.vbs
cscript.exe  C:\tmp\Retrive5392694676028337177.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive7999422219165629138.vbs
cscript.exe  C:\tmp\Retrive7999422219165629138.vbs
"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– – повторне копіювання, можливо для перестороги

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v javaw.exe /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\Windows.reg\Update.scan\"" /f

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\Windows.reg\*.*"
"attrib" +h "C:\Users\operator\Windows.reg"

– приховує свої файли через атрибути файлової системи

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\Windows.reg\Update.scan

– передача керування на файл з інструкціями з каталогу користувача

"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.89960564281661135816979970325922234.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive1106571663555988847.vbs
cscript.exe  C:\tmp\Retrive1106571663555988847.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive4075909662068347616.vbs
cscript.exe  C:\tmp\Retrive4075909662068347616.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive810479841220532242.vbs
cscript.exe  C:\tmp\Retrive810479841220532242.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive1722342620952052502.vbs
cscript.exe  C:\tmp\Retrive1722342620952052502.vbs

– запуск скриптів ініціює часткову зачистку слідів, відкриття мережевих з’єднань

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

– збір інформації про встановленні драйвери PnP пристроїв – може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої) на відміну від зразка за 16й рік, який цікавився не драйверами а параметрами брандмауєра

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю:

176.10.124.239 TCP 49189 → 8073 [PSH, ACK]

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Зразки правил ENS AP:

ENS \ Threat Protection \ Access Protection > Add

Description: anti_Adwind_VR

Action: +Block +Report

Executables: All (*.exe)

Subrules:

rule1 
BLK_appdata_exe block 
+Create +Execute 
**\Users\*\**\*.exe

rule2 
BLK_appdata_script_ 
+Write +Create +Execute +Read
**\Users\*\**\*.vbs
**\Users\*\**\*.js*
**\Users\*\**\*.wsf
**\Users\*\**\*.jar

Результат дії правил:

Як бачите, навіть при частковій забороні лише .vbs файлів зразок не додає себе в автозавантаження і зєднання із сервером контролю не проходить (так, файли залишаються і процеси активні, проте інформації про систему він вже не передає і перезавантаження не переживе – якщо тільки жертва не активує його сама повторно)

Мережеві IOC:

176.10.124.239 TCP 49189 → 8073 [PSH, ACK]

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

підступний .jar, або не довіряй нікому

Java

Сьогодні ми з вами розглянемо зразок нової модифікації Adwind (Java Backdoor). Я вирішив присвятити цьому семплу окремий допис, оскільки його modus operandi (спосіб дії) якісно відрізняється від того, що траплялося мені останнім часом. Варто зазначити, що Adwind не використовує вразливості систем, не вимагає привілеїв адміністратора і … не створює .exe в %temp%. Усе, що йому потрібно для роботи – наявність Java машини. Цей тип шкідливого пз може застосовуватися для віддаленого керування системою та/або крадіжки облікових даних.

jar

Усе починається (як у більшості випадків) – із неуважного користувача, котрий навмання відкриває приєднання, що прийшло разом із фішинговим листом.

From: Bank server<statementsdesk@bankserver.com>
Received: from mail.bsmart.my (mail.bsmart.my [202.9.98.160])        Malaysia
Received: (db.72.b9d8.ip4.static.sl-reverse.com [216.185.114.219])   Singapore

SCAN060620160516.PDF.jar
SHA1=64cc157911203997908a8bd99218625643b8d459

Після запуску з точки зору жертви начеб-то нічого не відбувається, проте якщо скористатися інструментами Марка Руссиновича, то можна побачити наступне:

jar_activate_stages

Отже запущений jar виконує такі дії:

  • скриптом* отримує інформацію про наявний брандмауер
  • копіює каталог Java машини в \%AppData%\Oracle
  • додає себе в автозапуск через HKCU
  • копіює себе у %userprofile%\random\
  • приховує створений каталог
  • ініціює з’єднання із C&C 216.185.114.219:9091

JAR_stages_alternative*лістинг Retrive3268860737041597258.vbs

Set oWMI = GetObject(“winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter”)
Set colItems = oWMI.ExecQuery(“Select * from FirewallProduct”)
For Each objItem in colItems
With objItem
WScript.Echo  “{“”FIREWALL””:””” & .displayName & “””}”
End With
Next

(!) Зверніть увагу на два ключових моменти:

  1. Сам файл з інструкціями Java генерується з довільним розширенням і передається інтерпретатору через параметр [-jar], що не дозволяє заборонити/обмежити запуск по розширенню файлу;
  2. На запуск реєструється оригінальний javaw.exe, який має дійсний електронний підпис. Це дуже ефективний метод обходу, оскільки зазвичай усі звертають увагу лише на файли, що не мають підпису.

java_autorunОтже за 15-30 секунд активність спадає і ОС приймає такий вигляд: в процесах залишається один javaw.exe який чекає команд із серверу керування. З боку жертви виглядає так, ніби файл не відкрився/не запустився, але насправді система уже скомпрометована.

jar_finale_stage

– – – – – невеличкий ліричний відступ

Через велику чергу семплів, на момент публікації цього допису вищезазначений семпл уже буде детектуватися принаймні половиною АВ із списку VirusTotal. Але механізм роботи цього семплу в першу чергу становить академічний інтерес, оскільки демонструє нам черговий етап розвиту ШПЗ. Я вже більше року наполегливо рекомендую ІТ/ІБ фахівцям блокувати запуск програм та скритів із %temp%. Хтось погоджується одразу, інші починають так робити лише після повторного зараження, а треті узагалі ігнорують. Не треба бути гуру аналітиком, щоби дійти до простого висновку – з часом, масові “гоп-стопи” (crypto-ransomware) та RAT перейдуть на схему інфікування, яка буде спиратися або на механізми, що вбудовані в ОС (PowerShell), або на прикладні додатки, що використовуються у бізнес-процесах (Java). Такі атаки важче відбивати стандартними заборонами, адже нових/чужих додатків в системі не з’являється, натомість ми маємо справу із передачею інструкцій, які можуть міститися у файлі з довільним розширенням та шляхом. Для класичного АВ, що використовує сигнатурний аналіз така активність у перші години після розсилки може залишатися непоміченою. Тому варто розглянути застосування “пісочниць” (sandboxig) та механізмів так званих “білих” списків, котрими можна обмежити каталоги із яких системі буде дозволено зчитувати інструкції на виконання.

– – – – – невеличкий ліричний відступ

Контрзаходи або як захиститися:

  1. Співбесіди із користувачами на тему фішинг/соц. інженерія
  2. Утриматися від застосування/інсталяції Java на тих системах, де це не є критично необхідним
  3. Жорстка фільтрація пошти (.exe, макроси, тепер іще .jar)
  4. Аналіз файлів у “пісочниці”
  5. Обмеження javaw.exe*

VSE_SP_jar_BLK2

В більшості випадків адміністратори не можуть заблокувати/видалити Java, через те, що вона є необхідним компонентом для роботи клієнт-банків або інших бізнесових додатків. І це дуже важливий момент, адже жертви не можуть тупо відмовитися від застосування технології, через яку зловмисники отримують доступ до системи. Якщо для попередніх модифікації було достатньо заборонити запуск .jar файлів з %userprofile%, то цього разу це не спрацює, адже інструкції передаються інтерпретатору із довільного файлу. Отже, якщо ми говоримо про VSE Access Protection Rules – потрібно активувати вбудоване правило, що блокує внесення програм у автозапуск (цей крок не дозволить пережити семплу перезавантаження) і створити нове правило, що буде забороняти процесу javaw.exe читати файли із **\Users\*\*\*.*

Таке правило дозволить зупиняти процес інфікування. Семпл не розпочне комунікацію з CNC і після того, як жертва клікне на “Ок” у діалоговому вікні про помилку – процес javaw буде завершено.

Але потрібно чітко усвідомлювати що це тимчасове рішення, адже правило буде працювати доти, доки файл з інструкціями буде копіюватися за шляхом, що підходить по масці.

Для надійного захисту необхідно або унеможливити доставку такого файлу користувачеві, або забезпечити наявність білих списків/пісочниці.

P.S.

Кому цікаво – галерея знімків екрану з інфікованої системи

Будьте уважними та обережними при роботі з ІТ.

Счастье — это когда ты хочешь то, что можешь, и можешь то, что хочешь.

MV5BMTM4Nzc2Nzg4Nl5BMl5BanBnXkFtZTcwNjc1MDk3Nw@@._V1_SX640_SY720_

VR