Tag Archive | DOCX

IOC_doc_rtf11882_190718

Доброго ранку, панове.

Вчора о другій половині дня проходила фішингова розсилка, що містила приманку у вигляді DOCX файлу.

Активація приманки призводила до інфікування системи троянським кодом типу #Razy.

Не дивлячись на те, що усі три частини атаки одразу мали високий рейтинг на VT я хочу розібрати механізм доставки.

Проблеми будуть у тих, хто не оновлює MS Office та не контролює трафік його додатків.

Трохи аналітики

  • доставка у 2 кроки
  • завантаження другого документу – засобами MS word (WINWORD.EXE)
  • завантаження основної частини – засобами редактору формул (EQNEDT32.EXE)
  • не потребує прав Адміністратора
  • payload не кодований (!This program cannot be run in DOS mode.)
  • payload записується у \Program Data\
  • payload здійснює перевірку Public IP

Зразок фішингового листа:

Схема атаки

email attach (DOCX) > document.xml.rels > GET doc (RTF) > 11882 > GET exe > \Program Data\name.exe

крок #1 open docx – document.xml.rels
GET novomet{.} bg/doors/images2/p22.doc

крок #2 open doc (RTF) – 11882
GET novomet{.} bg/doors/images2/p22.exe

крок #3 run exe – check public ip
GET checkip.dyndns{.} org/

Маркери

документ1 – MS Word

SHA-256 a4cdebc96154deb3c3da013d6486c09ebb2a0a508475f5107c8c9a319d70fc15
File name p22.docx
File size 9.88 KB

документ2 – RTF із експлойтом під вразливість редактору формул 11882

SHA-256 f5c35a43c5379d705d3f1575a3859934261a87f27b669cc3ddbf6e601ba00abc
File name p22.doc
File size 15.64 KB

основна частина

SHA-256 d03a4011a87374dbbc7ccf1b8427a95e27f97edae1c1c928da1763343f002708
File name p22.exe > name.exe
File size 280 KB

Мережа

79.124.76.30 novomet{.} bg 80 HEAD /doors/images2/p22.doc Microsoft Office Existence Discovery

79.124.76.30 novomet{.} bg 80 GET /doors/images2/p22.doc Mozilla/4.0

79.124.76.30 novomet{.} bg 80 HEAD /doors/images2/p22.doc Microsoft Office Existence Discovery

79.124.76.30 novomet{.} bg 80 GET /doors/images2/p22.exe Mozilla/4.0

216.146.38.70 checkip.dyndns{.} org GET / HTTP/1.1 n./a

Активність по процесам

Відкриття першого документу спричиняє автоматичне завантаження другого, який є RTF файлом:

Після обробки RTF через експлуатацію 11882 запускається редактор формул, який здійснює завантаження основної частини:

Зверніть увагу, що сайт, який розповсюджує malware містить кілька наборів:

Загалом атака не складна, проте може наробити галасу у тих компаніях, де погано дбають про антивірусний захист та оновлення MS Office.

Контрзаходи

  • Посилення фільтрів пошти
  • Заборона завантаження .exe файлів для непривілейованих користувачів – див. тут
  • Відсікання запитів із нестандартними/пустими/застарілими User Agent на рівні Web Proxy – див. тут
  • Виправлення вразливості 11882 – див. тут
  • Контроль запуску EQNEDT32.EXE
  • Заборона мережевого трафіку для додатків MS Office – див. тут (варіант 1)
  • Контроль створення та запуску нових .exe у C:\Users\ та C:\Program Data\ – див. тут

Будьте уважні та обережні.

VR

IOC_troldesh_ransom_220917

Доброго вечора, панове.

Сьогодні було зафіксовано спробу доставки різновиду Troldesh Ransomware.

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Трохи аналітики:

  • Зловмисники комбінують зразок який я уже розбирав із методом доставки через OLE
  • Файл-приманка не містить макросів, натомість там обфускований JS у вигляді OLE об’єкту
  • По при примітивний підхід сама приманка (dropper) мала низький рейтинг на VT (6/59)
  • Обидві частини dropper та payload розповсюджуються із двох різних скомпрометованих сайтів зони AU
  • Зразок закріплюється в системі і шифрування починає із затримкою 10-15 хв
  • Основна частина (payload) замаскована під png файл
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload детектуються по GTI.

Схема атаки:

email > URL > DOCX > OLE > JS > WScript > URL > GET > %APPDATA%\Microsoft\Windows\Templates\random.exe

Маркери IOC:

Сам документ приманка розповсюджується із скомпрометованого серверу (досі активний!):

142.4.12.133  h11p://http://www.bajaparts.com.au/kvit_recepr_92217.docx

File Name kvit_recepr_92217.docx
SHA-256 Hash Identifier 35CE8815C0D78DDD58C651FC520D65343CF919388944683F693BA994AD7C57D9
File Size 47017 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

При відкритті користувачу пропонують активувати два OLE об’єкти (два JS скрипти)

Якщо користувач запускає подвійним кліком один із них, він записується та оброблюється WSCript із %temp%

File Name Квитанция.js
SHA-256 Hash Identifier A6201F69711961EF02FBC1A584A65FCF7FFA431E57F4F9F8653F005F3F2961CF
File Size 50304 bytes

Його активація призводить до завантаження основної частини із скомпрометованого серверу (досі активний!):

27.121.64.61 h11p://www.papermillmedia.com.au GET /wp-includes/customize/copy_example_.png HTTP/1.1

у випадку успішного завантаження основне тіло записується процесом WSCript у каталог “%APPDATA%\Microsoft\Windows\Templates\939299.exe”

File Name copy_example.png            >>  939299.exe
SHA-256 Hash Identifier 1DCF33CE009B879CE5D5197904151DC32112476F84E50F808BF55E8C9EA2130D
File Size 1028608 bytes

Після запуску дублює своє тіло у C:\ProgramData\Windows\csrss.exe

Закріплюється через HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Run\

Через 10-15 хв після активації розпочинає процес шифрування файлів, зашифровані файли отримують розширення .crypted000007

Цитата із вимог про викуп:

“Baши фaйлы были зашифрoваны.

Чтобы pасшифрoваmь uх, Вaм нeoбxодимо omправumь кoд:

85F93484188BBACD2983|839|6|8

нa элеkmрoнный адpec VladimirScherbinin1991@gmail.com”

Мережева активність скомпрометованої системи:

939299.exe 2192 TCP 127.0.0.1 49283 ESTABLISHED
939299.exe 2192 TCP 127.0.0.1 49282 ESTABLISHED
939299.exe 2192 TCP 194.109.206.212 443 ESTABLISHED
939299.exe 2192 TCP 131.188.40.189 443 ESTABLISHED
939299.exe 2192 TCP 94.31.53.203 443 ESTABLISHED
939299.exe 2192 TCP 89.233.27.241 443 ESTABLISHED
939299.exe 2192 TCP 89.223.27.241 443 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження документу з OLE можна було перервати через блокування OLE на шлюзах WEB та EMAIL
  2. Активацію OLE можна було заблокувати через параметри реєстру
  3. Запис JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  4. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  5. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  6. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 6 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

завантаження файлу-приманки (dropper)

142.4.12.133  h11p://www.bajaparts.com.au/kvit_recepr_92217.docx

завантаження основної частини (payload)

27.121.64.61  h11p://www.papermillmedia.com.au GET /wp-includes/customize/copy_example_.png HTTP/1.1'

трафік після запуску payload

194.109.206.212 443 ESTABLISHED
131.188.40.189 443 ESTABLISHED
94.31.53.203 443 ESTABLISHED
89.233.27.241 443 ESTABLISHED
89.223.27.241 443 ESTABLISHED

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блок запуску OLE об’єктів через параметри пакету MS Office (HKCU\Software\Microsoft\Office\<Office Version>\<Office application>\Security\PackagerPrompt)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR