Tag Archive | javaw

IOC_Adwind_070218

Доброго вечора, панове.

Сьогодні зранку зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Ми з ним уже “знайомі”: розибрав у червні 16го, у травні 17го, на початку вересня 17го та 12го жовтня.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Цього разу примітивно, без обгортки, просто JAR у приєднанні.

Рейтинг приманки на VT jar – 9/60.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

Схема атаки:

email > .JAR > %temp%\*.JAR, *.class & *.vbs > %Userprofile%\EALtjyLyxBW\

Маркери IOC:

File name   SKMBT_C02072018.jar
SHA-256        abd38eea774ca43a7df3d4e173b07fcee809e2bb0d9ae6d8fd7021610938e7ce
File size      534.01 KB

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Users\operator\Desktop\decoded.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

 

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.92849276228029881768736636918737462.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive8012862021299542926.vbs
cscript.exe  C:\tmp\Retrive8012862021299542926.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

 

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%,

 

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v NjLVawaQVWM /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\EALtjyLyxBW\mvisTvrDYHI.lovyGx\"" /f
=
NjLVawaQVWM   Java(TM) Platform SE binary  Oracle Corporation        c:\users\operator\appdata\roaming\oracle\bin\javaw.exe  21.06.2013 22:05               

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\EALtjyLyxBW\*.*"
"attrib" +h "C:\Users\operator\EALtjyLyxBW"

– приховує свої файли через атрибути файлової системи

 

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\EALtjyLyxBW\mvisTvrDYHI.lovyGx
"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.482691304425191373098301473738213403.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive5796149169918309765.vbs
cscript.exe  C:\tmp\Retrive5796149169918309765.vbs

– передача керування на файл з інструкціями з каталогу користувача

 

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")
Set colItems = oWMI.ExecQuery("Select * from AntiVirusProduct")
For Each objItem in colItems
 With objItem
 WScript.Echo "{""AV"":""" & .displayName & """}"
 End With
Next

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")
Set colItems = oWMI.ExecQuery("Select * from FirewallProduct")
For Each objItem in colItems
 With objItem
 WScript.Echo "{""FIREWALL"":""" & .displayName & """}"
 End With
Next
 

– збір інформації про

  • встановленні драйвери PnP пристроїв
  • антивірусне ПЗ
  • брандмауер

(!) може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої)

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю.

Мережеві IOC:

Мережева активність при інфікуванні – спроба з’єднатися із вузлом в TOR

DNS  102   Standard query response 0xe7ab A vvrhhhnaijyj6s2m[.]onion[.]top A 62.0.58.94

Трафік скомпрометованої системи:

java.exe    2208 TCP   127.0.0.1   49359        127.0.0.1   7777 SYN_SENT                                                                         
java.exe    1592 TCP   127.0.0.1   49362        127.0.0.1   7777 SYN_SENT                                                                         
javaw.exe  1464 TCP   10.0.2.15   49291        185.158.139.39 5017 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Adwind_050917

Доброго дня, панове.

Вчора в першій половині дня було зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Він уже потрапляв в поле мого зору двічі: у червні 16го та у травні 17го.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що компоненти Adwind детектуються DAT & GTI:

Трохи аналітики:

Я завжди виділяв даний клас загроз з поміж усіх зразків, які мені доводилося розбирати.

Причина полягає в тому, що 90% того мотлоху який щоденно тоннами розсилається у мережі не залежно від типу та форми обгортки (dropper) зводиться до примітивного – “завантажити / розпакувати / запустити .exe” (payload)

Відповідно, ті, хто звертають увагу не лише на IOC, а й на мої рекомендації, вже знають, що більшість складних/хитрих схем інфікування можна поламати через правила Acces Protection або деактивацію відповідних механізмів ОС, що дозволяє зупинити активність зразків на початковій стадії, не допускаючи значних ушкоджень системи жертви. (тут мова про сигнатури взагалі не йде бо в момент розсилки їх просто не буде)

Коли ми говоримо про Adwind потрібно вживати додаткових заходів захисту адже зразки цього типу в процесі інфікування не створюють нових запусних файлів, вони використовують встановлену JRE з дійсним цифровим підписом на яку через параметр подаються команди із файлу. Після закріплення уся активність на яку може звернути увагу технічний спеціаліст це присутність процесу javaw.exe (який досить легко сплутати з оновленнями Java) у автозавантаженні та періодична мережева активність від імені цього ж процесу – погодьтеся, що це не  буде виглядати підозрілим для системи, на якій активно використовуються Java додатки.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

Схему атаки, маркери та перелік контрзаходів дивіться нижче.

Як і завжди основний принцип залишається незмінним – “Простіше упередити інфікування на ранній стадії аніж потім розбиратися із наслідками перебування шкідливого коду

Схема атаки:

email > attach (ZIP) > JAR > %temp%\*.class & *.vbs > %Userprofile%\Windows.reg\Update.scan

Маркери, IOC:

File Name PO-7235.jar
SHA-256 Hash Identifier 70ECF5D3EC5C876901BE635484E0137A31167143C9758DB52C54294810B27C14
File Size 558587 bytes
File Type application/x-java-archive; charset=binary

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Users\operator\Desktop\PO-7235.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.94455666565898946497103256142168062.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive6049223750802148355.vbs
cscript.exe  C:\tmp\Retrive6049223750802148355.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive7219502531594942910.vbs
cscript.exe  C:\tmp\Retrive7219502531594942910.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%, це те, що має насторожити уважного адміна/ІБшника (про скрипти в %temp% я вже мовчу)

"cmd.exe" /C cscript.exe C:\tmp\Retrive5392694676028337177.vbs
cscript.exe  C:\tmp\Retrive5392694676028337177.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive7999422219165629138.vbs
cscript.exe  C:\tmp\Retrive7999422219165629138.vbs
"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– – повторне копіювання, можливо для перестороги

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v javaw.exe /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\Windows.reg\Update.scan\"" /f

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\Windows.reg\*.*"
"attrib" +h "C:\Users\operator\Windows.reg"

– приховує свої файли через атрибути файлової системи

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\Windows.reg\Update.scan

– передача керування на файл з інструкціями з каталогу користувача

"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.89960564281661135816979970325922234.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive1106571663555988847.vbs
cscript.exe  C:\tmp\Retrive1106571663555988847.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive4075909662068347616.vbs
cscript.exe  C:\tmp\Retrive4075909662068347616.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive810479841220532242.vbs
cscript.exe  C:\tmp\Retrive810479841220532242.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive1722342620952052502.vbs
cscript.exe  C:\tmp\Retrive1722342620952052502.vbs

– запуск скриптів ініціює часткову зачистку слідів, відкриття мережевих з’єднань

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

– збір інформації про встановленні драйвери PnP пристроїв – може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої) на відміну від зразка за 16й рік, який цікавився не драйверами а параметрами брандмауєра

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю:

176.10.124.239 TCP 49189 → 8073 [PSH, ACK]

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Зразки правил ENS AP:

ENS \ Threat Protection \ Access Protection > Add

Description: anti_Adwind_VR

Action: +Block +Report

Executables: All (*.exe)

Subrules:

rule1 
BLK_appdata_exe block 
+Create +Execute 
**\Users\*\**\*.exe

rule2 
BLK_appdata_script_ 
+Write +Create +Execute +Read
**\Users\*\**\*.vbs
**\Users\*\**\*.js*
**\Users\*\**\*.wsf
**\Users\*\**\*.jar

Результат дії правил:

Як бачите, навіть при частковій забороні лише .vbs файлів зразок не додає себе в автозавантаження і зєднання із сервером контролю не проходить (так, файли залишаються і процеси активні, проте інформації про систему він вже не передає і перезавантаження не переживе – якщо тільки жертва не активує його сама повторно)

Мережеві IOC:

176.10.124.239 TCP 49189 → 8073 [PSH, ACK]

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR