Tag Archive | Charon; Inferno

IOC_lokibot_161018

16/10/18 проходила розсилка #lokibot

Схема:
email > attach XLS > VBA > powershell > GET > %userprofile%\MyP8Mihuih.exe

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
181.174.165.161 octap{.} igg{.} biz GET /01/chri1.jpg HTTP/1.1 (!) no User Agent
103.109.184.60 octone{.} igg{.} biz POST /chri1/cgi.php HTTP/1.0 (!) Mozilla/4.08 (Charon; Inferno) < #Lokibot User Agent
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/LPqjHUkQ

Контрзаходи:

• Блокуйте запуск макросів
• Контролюйте нетипові виклики powershell
• Контролюйте трафік powershell
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

IOC_Lokibot_270918

27/09/18 зранку проходила розсилка #Lokibot
Метод доставки – EXE в оболонці обфускованого ISO (UDF filesystem data (version 1.5) ‘DESKTOP’)

Усе точнісінько так як в червні
Нагадую, що #Lokibot застосовується для крадіжки збережених облікових даних.

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
91.234.99.41 bhosrikayloray{.} com POST /larindokali/Panel/five/fre.php HTTP/1.0 Mozilla/4.08 (Charon; Inferno)

MensajeREM.SCB (33)-pdf.exe 1616 91.234.99.41 80 ESTABLISHED
[System Process] 0 91.234.99.41 80 TIME_WAIT
[System Process] 0 91.234.99.41 80 TIME_WAIT
[System Process] 0 91.234.99.41 80 TIME_WAIT
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/5bpk5kKs

Блокуйте запускні файли у приєднаннях та забороняйте на Proxy застарілі, нетипові User Agent.

Будьте уважні та обережні.

VR

IOC_LokiBot_110518

Доброго вечора, панове.

Сьогодні було зафіксовано чергову розсилку #LokiBot.

Даний тип ШПЗ застосовується для збору інформації та крадіжки облікових даних.

Цього разу, як і 130318, використовували RTF файл із вразливістю 11882.

Рівень загрози – середній.

Для тих, хто врахував наші попередні рекомендації – низький.

Трохи аналітики:

  • Доставка через RTF документи із вразливістю 11882
  • Завантаження основної частини – через процес EQNEDT32.EXE
  • Payload не кодований (This program must be run under Win32)
  • Запуск шкідливого коду не потребує прав Адміністратора
  • RTF файл детектиться модулями ENS, а payload поки що ні

Схема атаки:

email > Attach .doc (RTF) > WINWORD > EQNEDT32.EXE > GET from URL > AppData\Roaming\anydesk.exe

Маркери IOC:

RTF файл:

SHA-256        490dffae713877fb70613e60ea91e72333d19855fb249d2d6666bab4152005be
File name   MV GLORY (V.1460) - EPDA.doc
File size      55.82 KB
>>  h11p://servicelearning.thu{.} edu.tw/quakes.exe

Основна частина:

SHA-256        23b44fa0b535e1dcdcf30e75f622b11b7aa3cae274cf74716d4643de3abe5227
File name   quakes.exe
File size      686.5 KB
>> h11p://nextlevlcourier{.} com/locky/quakes/anel/five/fre.php

Мережеві IOC:

Завантаження основної частини:

140.128.99.228   servicelearning.thu{.} edu.tw        GET /quakes.exe Mozilla/4.0 

З’єднання із C2

91.235.116.153   nextlevlcourier{.} com                 POST /locky/quakes/anel/five/fre.php     Mozilla/4.08 (Charon; Inferno)

Тут ключовий момент – User Agent, який використовує зразок:

POST /locky/quakes/anel/five/fre.php HTTP/1.0

User-Agent: Mozilla/4.08 (Charon; Inferno)

Активність по процесам:

 "C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
C:\Windows\splwow64.exe 8192

"C:\Program Files (x86)\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE" -Embedding
"C:\Users\operator\AppData\Roaming\anydesk.exe"
"C:\Users\operator\AppData\Roaming\anydesk.exe"
"C:\Users\operator\AppData\Roaming\39B01F\FA74A3.exe"

Закріплення проводить, але з помилкою (якщо payload запускається від імені EQNEDT32.EXE)

anydesk.exe                       File not found: C:\Users\operator\AppData\Roaming/Microsoft/Skype.exe.exe

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Розгортання виправлення вразливості 11882
  • Перевірити можна за допомогою PoC 11882 (embedi)
  • Блокування доступу до мережі Інтернет для процесу EQNEDT32.EXE (варіант 1й)
  • Заборона запуску EQNEDT32.EXE (користувацьке правило Access Protection)
  • Контроль переліку додатків що мають право автозапуску (вбудоване правило Access Protection)
  • Відмов від використання документів типу RTF як застарілого та вразливого формату
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Посилена фільтрація запускних файлів по каналам Web та Email
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_ACE_0504-0604-18

Доброго ранку, панове.

Перед Великоднем на аналіз було надано два зразки: #lokibot та #ramnit

Обидва типи можуть застосовуватися для стеження, крадіжки облікових даних.

Рівень загрози – низький.

Трохи аналітики:

  • Обидва розповсюджувалися через масовий неперсоналізований фішинг в оболонці ACE архівів
  • В зоні ризику – користувачі WinZip, WinRAR та плагінів Total Commander
  • 7zip та вбудований архіватор по замовчуванню не відкривають АСЕ
  • #lokibot іде з розширенням .SCR – перевірте чи у вас блокується створення/запуск
  • Зловмисники комбінують способи доставки
  • Щоб обійти фільтри застосовують застарілі формати (ACE, gz, RAR v5 та інші)
  • Не потребує прав Адміністратора
  • #lokibot дає чіткий слід по мережі, а #ramnit запускає бравзер з метою приховати комунікації з С2
  • Основне тіло обох зразків детектується ENS по GTI / DAT

Схема атаки:

email > Attach (ACE) > \tmp\ *.exe (.scr)

Розпаковка обгортки одного із приєднань. Зверніть увагу на розширення payload!

 

Маркери IOC:

#lokibot

приклад фішингового листа:

SHA-256        f20d4d4c465f65b36a17a3f08921e304a66a656ae5f5b70dc39e51345013445a
File name   DHL BILL OF LADING SHIPPING DELIVERY INVOICE.ace
File size      287.39 KB

 

SHA-256        d3c61a42abc8b612cec5746b665d1ae47c95de01f11a8e88b60dfa2f57e215a4
File name   DHL BILL OF LADING SHIPPING DELIVERY INVOICE.scr (.exe .bin)
File size      641 KB

 

195.123.238.10   POST /okto/fre.php HTTP/1.0     Mozilla/4.08 (Charon; Inferno)

# # # # # # #

#ramnit

приклад фішингового листа:

SHA-256    822a6f8c74d0f89f8fa202eba3c914eb339c7cccba922ee818cf04b9a2cb9bf2
File name   po-new order_pdf.exe
File size      1.02 MB

 

SHA-256        9f62f582fc02ae7b3b5df9a8a90718a80773eed10828014cee2a938976ab056b
File name   ramnitmgr.exe
File size      220 KB

 

[System Process] waw02s07-in-f174.1e100.net http        TIME_WAIT                                                                       
[System Process] 93.184.220.29              http        TIME_WAIT

 

Контрзаходи:

  • Жорсткий фільтр передачі запускних файлів (не лише .EXE (!)) по каналам Web та Email
  • Заборона передачі ACE архівів (якщо не потрібно по роботі) по каналам Web та Email
  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона створення та зчитування/запуску *.EXE та *.SCR файлів з каталогів профілю C:\Users\**\ ! – правила Access Protection
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR