Tag Archive | emotet

IOC_digest_05_2019

(Зразки за травень 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити.

Наразі із публічних та реально шкідливих усього три (3) зразки, проте два із них – цікаві.

03/05/19

розсилали #coinminer (#bmcon),  .RAR > SCR > C:\Intel\*   , звіт

*схема 1:1 схожа із попереднім випадком, тому окремого звіту не робив

 

07/05/19

розсилали #formbook,  .doc (RTF) > 11882 > msiexec GET msi > install , звіт

 

15/05/19

розсилали #emotet,  .doc > macro > WMI > powershell -enc > GET 5 URL > \Users\%name%\206.exe > \Users\%name%\AppData\Local\?\?.exe , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Якщо розбити по категоріям, тоді отримаємо

Для обходу фільтрів були застосовані наступні кроки:

  • обфускація команд PowerShell (1) + документи з макросами (1)
  • (!) конвертування exe (payload) у MSI

Тенденції

  • Низькопробні розсилки із примітивним EXE/SCR не збавляють обертів
  • Вразливість 11882 уже 2 рік продовжує домінувати серед приманок-офісних документів
  • Там, де заборонено завантажувати .EXE намагаються пройти через .MSI
  • Base64 + Powershell залишається своєрідним еталоном доставки

Цікавими з технічної точки зору виявилися 2 зразки:

  • #formbook, доставку якого загорнули у RTF із 11882, але в кінці був не .EXE, а MSI (!)
  • #emotet, який передавав Base64 на PowerShell через WMI (!)

Трюк з MSI дозволив зловмисникам обійти фільтри і запустити інсталяцію – потрібно зробити висновки.

Кодовані команди на PowerShell уже давно не новина, проте використання WMI може порушити логіку блокувань – потрібно зробити висновки.

– – – – – – – – – – – – – – – – – – – – – – –

Загалом, усе, що присилали в травні могло створити інциденти тим організаціям які:

  • не оновлюють MS Office та ОС
  • не блокують запуск макросів
  • не відмовилися від RTF
  • не заборонили виклик PowerShell та інших вбудованих механізмів ОС (mshta, cmd etc)
  • не контролюють GET запити на Proxy по User Agent
  • не блокують завантаження EXE та MSI у явному вигляді

Узагальнені контрзаходи

  • встановлення виправлень MS Office
  • посилена фільтрація вмісту приєднань – як по типу так і по розширенню
  • заборона запуску cmd, powershell та ?script для рядових користувачів
  • блокування web запитів з пустим або застарілим полем User Agent

Будьте уважні та обережні.

VR

IOC_digest_01_2019

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити:

07/01/19

розсилали #nanocore, .xlsx > 11882 > GET > AppData\Roaming\*.exe, звіт

09/01/19

розсилали #agenttesla, .xlsx > 11882 > GET > AppData\Roaming\*.exe, звіт

10/01/19

розсилали #smokeloader, (lzh) > js > WSH > Powershell > GET > AppData\Local\TempZna40.exe, звіт

розсилали #LokiBot, .doc(RTF) > 11882 > GET .jpg > %temp%\1.exe , звіт

10/01/19

розсилали #smokeloader, (lzh) > js > WSH > GET > AppData\Roaming\Microsoft\Windows\Templates\*.exe, звіт

14/01/19

розсилали #shade, .ZIP > 2nd .ZIP > JS > WSH > GET > %temp%\*.tmp , звіт

15/01/19

розсилали #shade, .ZIP > 2nd .ZIP > JS > WSH > GET *.jpg > %temp%\*.tmp , звіт

23/01/19

розсилали #emotet, .doc (XML) > macro > cmd > powershell > GET > %temp%\***.exe, звіт

28/01/19

розсилали #emotet, .doc (XML) > macro > cmd > powershell > GET > %temp%\***.exe, звіт

– – – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Для обходу фільтрів застосовували наступні трюки

Якщо розбити по категоріям, тоді отримаємо

Тенденції

Масова кампанія з розсилки #shade яка розпочалася ще в кінці 2018 року продовжувала застосовувати подвійні архіви із скриптами (WSH).

Поки що, документи із вразливістю редактору формул разом із макросами залишаються основним інструментом компрометації  робочих станцій.

Загалом, вищеописані зразки могли створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не королюють запуск powershell
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR

Хитрий emotet

Люди, котрі заробляють на життя фішингом/розповсюдженням malware постійно вдосконалюють свої навички.

Ті, хто захищають інформаційні системи, повинні швидко адаптуватися під зміни методів доставки.

 

Сьогодні я розкажу вам про трюк, який дозволяє актуальним приманкам обходити _деякі_ sandbox.

А для тих, хто дочитає до кінця, буде бонусний контент ;)

Вступ

PowerShell вже кілька років є улюбленим помічником зловмисників для завантаження та запуску payload.

З 2017го року, відсоток приманок, що застосовують PowerShell тільки збільшується.

З початком 2019го року я стикнувся з тим, що на одній із моїх тестових машин приманка із макросом не відпрацювала повний цикл.

 

Суть

Отже це був черговий зразок банківського трояну #emotet.

В якості приманки використали XML файл із макросом, який мав передати на powershell інструкції – де взяти payload, куди завантажити і як запустити.

Але під час динамічного виконання послідовність команд дивним чином обривалася:

Я не міг збагнути, чому інфікування не проходить.

Отже я спробував скопіювати перехоплений рядок обфускованих інструкцій і запустити його через cmd вручну:

Виявилося, що виконання математичних операцій із масивами (досить поширений варіант обфускації) саме на цій тестовій системі

призводило до генерування команди із помилкою – ‘powershtll’ замість ‘powershell’:

Через це послідовність атаки і зупинялася.

Що ж, принаймні тепер я мав адреси джерел payload, які одразу ж перевірив:

Вони навіть не приховали payload під виглядом графічного файлу (так як це роблять при розповсюдженні #shade).

Отримавши зразки payload я одразу ж перевірив їх на приналежність конкретного виду за допомогою сервісу INTEZER Analyze:

Але мені не давало спокою, чому ж той скрипт із приманки не відпрацював докінця?

Кілька хвилин моніторингу і я знайшов причину у дописі My Online Security ‏ @dvk01uk

Як виявилося, скрипт не відпрацював через застарілу версію PowerShelll.

Справа у тім, що на Windows 7 PS не оновлюється автоматично.

А інструкції, які були у коді макросу, використовували змінні, котрі не працюють на версіях старіших за 5-ту.

 

Мій трюк (костиль)

Оскільки замовнику необхідно було надати перелік маркерів (IOC) якнайшвидше, я не став витрачати час на заміну тестового середовища

чи оновлення PowerShell.

Ось що я зробив – я знав, що команда обривається через помилку і назві запускного файлу powershell.

Мені потрібен був аліас на powershtll який би викликав powershell.

За допомогою google я згадав про таку корисну функцію як DOSKEY і нашвидкоруч створив аліас:

Це дало мені змогу запустити процес виконання скрипту і отримати результат:

Так, це костиль. І для іншого зразка із зміненою обфускацією він не працюватиме.

Але це дозволило мені вкластися у штатні 40 хв на аналіз зразка і надати замовнику маркери – https://pastebin.com/D9TDts5J.

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Отже мораль цієї історії наступна – подбайте про оновлення ваших тестових ВМ у sandbox

та переконайтеся, що актуальні схеми обфускації відпрацьовують схему інфікування до кінця.

Інакше ви ризикуєте пропустити загрозу і втратити дані із скомпрометованої системи.

Висновки

  • PowerShell і надалі будуть застосовувати для доставки і запуску malware
  • На тестових Windows 7 потрібно оновити PS до 5ї версії
  • Варто очікувати нових способів обфускації
  • Від так необхідно обмежувати запуск вбудованих інструментів Windows для простих користувачів

PS

– – –  // Бонусний контент для уважних та допитливих

McAfee створило непогане відео про #emotet в якому показали як правилами Access Protection вберегти користувачів від зараження

Користуйтеся:

– – –  // Бонусний контент для уважних та допитливих

Будьте уважні та обережні.

VR

IOC_digest_12_2018

Оскільки усе не встигаю, а відкладати уже не можна,

то ось вам дайджест по розсилкам які були наприкінці 2018-го:

14/11/18

розсилали #formbook, xlsx > 11882 > ProgramData\Ms_Office.exe, звіт

15/11/18

розсилали #formbook, .7z (RAR) > exe, звіт

розсилали #lokibot, .doc(RTF) > 11882 > GET > msiexec.exe, звіт

28/11/18

розсилали #lokibot, attach .jar (RAR) > exe, звіт

розсилали #lokibot,doc > ole > %tmp%\_output62EE4B0.exe, звіт

01/12/18

розсилали #lokibot, n/a, звіт

розсилали #lokibot, .doc(RTF) > 11882 > GET wwhmvf.jpg > exe, звіт

03/12/18

розсилали #lokibot, .pdf.arj(zip) > exe, звіт

04/12/18

розсилали #emotet, .doc > macro > cmd > powershell > GET 5 URL > %temp%\***.exe, звіт

20/12/18

розсилали #emotet, .doc > macro > cmd > powershell > GET 5 URL > %temp%\***.exe, звіт

24/12/18 – “подробности заказа”

розсилали #shade #troldesh, .ZIP > JS > WSH > GET > %temp%\*.tmp, звіт

25/12/18

розсилали #shade #troldesh,.ZIP > 2nd .ZIP > JS > WSH > GET >  %temp%\*.tmp, звіт

26/12/18

розсилали #shade #troldesh,.ZIP > 2nd .ZIP > JS > WSH > GET >  %temp%\*.tmp, звіт

розсилали #Adwind, .JAR > WSH > JRE > AppData\Roaming\*.jar + *.vbs, звіт

28/12/18

розсилали #shade #troldesh,.ZIP > 2nd .ZIP > JS > WSH > GET >  %temp%\*.tmp, звіт

– – – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Для обходу фільтрів застосовували наступні три способи

Тенденції

Наприкінці року дуже сильно посилилися спроби доставки #shade #troldesh

Низькоякісний фішинг. Доставка через WSH.

Загалом, вищеописані зразки могли створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR

IOC_Emotet_091118

09/11/18 проходила розсилка троянського шкідливого коду типу #Emotet
Метод доставки – документ із макросом з передачею команд на powershell.
Ступінь загрози – високий (для компаній, що не блокують макроси).

  • Сильна обфускація команд.

5 різних джерел, три із них поки що активні:

h11p\мягкое-стекло{.} рф/OYRECjhJU  404
h11p\sastudio{.} co/GgGV3mOVlN           200
h11p\priscawrites{.} com/tS6M2ffhC       200
h11p\gbsbrows{.} com/JZLqJd4                200
h11p\evelin{.} ru/fgARtN6g                       404

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
132.148.254.223 gbsbrows{.} com GET /JZLqJd4 HTTP/1.1 no User Agent
187.163.174.149 187.163.174.149:8080 GET / HTTP/1.1 Mozilla/4.0
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/THHMs2wg

Додаткові маркери по іншим розсилкам:

https://pastebin.com/KVNyw9Uq

https://pastebin.com/L2nSzNU4

Контрзаходи:

  • Заборонити виклик/передачу команд на cmd та powershell від додатків MS Office
  • Блокувати на proxy запити з пустим або нетиповим полем User Agent
  • Заборонити на proxy завантаження додатків
  • Контролювати створення/запуск .exe у профілях користувачів

Будьте уважні та обережні.

VR

IOC_emotet_011018

01/10/18 проходила розсилка троянського шкідливого коду типу #Emotet
Даний тип ШПЗ застосовується для крадіжки облікових даних систем ДБО.
Метод доставки – документ із макросом з передачею команд на powershell.
Ступінь загрози – високий (для компаній, що не блокують макроси).

5 різних джерел, усі поки що активні:

h11p: \gidamikrobiyoloji{.} com/IBfAlRX
h11p: \madisonda{.} com/BacOqsvFqz
h11p: \motiondev{.} com{.} br/1cTvBSu2P
h11p: \fluorescent{.} cc/KxcY1d6R
h11p: \kristianmarlow{.} com/Sy5IRFsRU9

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
185.179.26.24 gidamikrobiyoloji{.} com GET /IBfAlRX/ HTTP/1.1 no User Agent
190.2.50.193 190.2.50.193:443 GET / HTTP/1.1 Mozilla/4.0 (compatible;
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/Y6DnbpHv992

Блокуйте запуск макросів, завантаження запускних файлів в явному вигляді, та забороняйте на Proxy застарілі, нетипові User Agent.

Будьте уважні та обережні.

VR