Tag Archive | SCR

IOC_digest_03_2019

(Зразки за березень 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити:

07/03/19

розсилали #trickbot, .doc > macro_AutoClose > 4 bat > BITS > GET > AppData\Roaming\wnetwork\*.exe , звіт

15/03/19

 

розсилали #coinminer, SCR > C:\Intel\* , звіт

19/03/19

розсилали #shade, (RAR) > pass > JS > WSH > GET .mpwq > %temp%\*.tmp , звіт

21/03/19

розсилали #cobaltstrike, EXE (SFX) > .bat > Startup\explorer.exe , звіт

25/03/19

розсилали #shade, (RAR) > pass > JS > WSH > GET .mpwq > %temp%\*.tmp , звіт (за 19те)

28/03/19 – важливо, рівень складності та загрози високий, без EXE файлів (!)

   

розсилали #sobaken, .ZIP > .PPSX > XML_RELS > GET > WSH > %temp%\tmp4E07.tmp > %userprofile%\NTUSR.DAT , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Якщо розбити по категоріям, тоді отримаємо

  • exe/scr (без приманки) – 2 розсилки
  • BITS – 1 розсилка
  • WSH – 3 розсилки, включаючи цільову атаку (28/03)
  • Вразливість 11882 – 0 розсилок
  • powershell – 0 розсилок

Для обходу фільтрів були застосовані наступні кроки:

  • архіви з паролями;
  • Документи з макросами (1) та документи з посиланням xml.rels (1)

Тенденції

Кампанія розсилки #shade яка розпочалася ще в кінці 2018 року JS (WSH) вперто продовжується, хоча помітно зменшила оберти.

Все ще може становити загрозу для непідготованих користувачів.

Цікавими з технічної точки зору за березень виявилися два випадки:

#1 цільова атака із застосуванням аналітики по виборам в якості приманки (xml.rels > WSH).

  • Якісний привід (презентація по виборам).
  • Використання WSH для закріплення та збору інформації про заражену систему.
  • Без створення та запуску нових exe.
  • Сильна обфускація команд.

#2 доставка #trickbot через макрос на закриття документу та завантаження через службу BITS.

У цьому випадку одразу стикаємось із двома способами, що застосовуються помітно рідше.

Загалом, усе, що присилали в березні могло створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR

IOC_digest_02_2019

(Зразки за лютий 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити:

01/02/19

розсилали #TVRat, (.pdf.scr) > %temp%\1.exe > AppData\Roaming\d4igle\svcc.exe , звіт

06/02/19

розсилали #Trickbot, .xls > macro > cmd > powershell > GET 2 URL > $env:temp+’\tmp1806.exe , звіт

07/02/19 – високий рівень складності та загрози, без EXE файлів (!)

розсилали #SobakenRAT, .lnk > powershell > get base64 > decode > fingerprint system > POST b64 on C2 , звіт

12/02/19

розсилали #Lokibot, .RAR > bat > exe , звіт

20/02/19

розсилали #shade, URL > GET .ZIP > JS > WSH > GET .jpg > %temp%\*.tmp , звіт

25/02/19

розсилали #shade, URL > GET .ZIP > JS > WSH > GET .jpg > %temp%\*.tmp , звіт

розсилали #coinminer, .SCR > C:\Intel\* , звіт

26/02/19

 

розсилали #formbook, doc1 > xml.rels > GET1 > doc2 > 11882 > GET2 > \Public\vbc.exe , звіт

27/02/19

розсилали #smokeloader, (lzh) > js > WSH > GET 2 URL > AppData\Roaming\Microsoft\Windows\Templates\??????.exe , звіт

розсилали #fareit, .doc (RTF) > 11882 > GET URL > \appdata\roaming\*.exe , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Для обходу фільтрів продовжують застосовувати такі методи:

Якщо розбити по категоріям, тоді отримаємо

Тенденції

Кампанія з розповсюдження ransomware #shade яка розпочалася ще в кінці 2018 року продовжувалась із переключенням з приєднань на посилання на JS (WSH).

Варто виділити цільову атаку із застосуванням LNK на PowerShell (#sobaken), яка проводилась без жодних exe файлів. Це той рівень, до якого усім потрібно бути готовими.

Крім того, цікавим є спосіб доставки у #formbook – два документи, перший з xml.rels, а другий із 11882.

Усе, що присилали в лютому могло створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не королюють запуск powershell
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR

IOC_troldesh_ransom_120918

(!) оновлено 13/09 – додані маркери (адреси, IP)

Доброго вечора, панове.

Сьогодні о другій половині дня проходила масова розсилка #Troldesh Ransomware.

Рівень загрози – високий!, для організацій, що прислухалися до наших попередніх рекомендацій – низький.

УВАГА! Зловмисники застосовують нову схему доставки.

Трохи аналітики:

  • Замість скриптів чи документів із приєднання цього разу розповсюджують через посилання на FTP
  • Після активації посилання жертва отримує SCR у оболонці ZIP
  • FTP джерела різні, контрольні суми архівів та SCR відрізняються (як мінімум 2 набори)
  • payload не кодований (!This program cannot be run in DOS mode.)
  • Зразок закріплюється в системі і шифрування починає із затримкою 10-15 хв
  • Затримка дозволяє обходити онлайн sandbox у яких час перевірки лімітований
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload детектуються по GTI.

Схема атаки:

email > URL > FTP > ZIP > SCR > %temp% > Program Data\Windows\csrss.exe

Маркери IOC:

Приклади листів із посиланням на FTP джерела:

Теми листів:(оновлено 13/09)

Платіжна інформація 9/12/2018
інформація 6065341
інформація 2194379
інформація 2836783
інформація 1438232
ЗВIТ ПЛЮС

Адреси серверів з яких велась розсилка: (оновлено 13/09)

66.60.130.30
194.79.65.168
72.52.210.40
212.54.57.98
212.54.57.99
212.54.57.96

Скриньки з яких велася розсилка: (оновлено 13/09)

a.igor@arcor.de
silke.berg@arcor.de
murdock3@arcor.de
janinacaspers@arcor.de
kaierle@arcor.de
nadaf@arcor.de
clemo.w@arcor.de
elli.winter@arcor.de
neke81@arcor.de
denis.pielka@arcor.de
kasten.m@arcor.de
onkel-mike@arcor.de
oli-gerhard@arcor.de
ge-47se@arcor.de
ronnsen_g@arcor.de
stkroeger@arcor.de
fabian.schossau@arcor.de
franz216@arcor.de
okamerlog@arcor.de
chrissifuessel@arcor.de
sternentreiber@arcor.de
kd-53@arcor.de
thwagner@arcor.de
thomas.croy@arcor.de
j.zynda@arcor.de
stevesteel@arcor.de
arslanu@arcor.de
thwagner@arcor.de
cojahn@arcor.de
eadavid@arcor.de
philippklemm@arcor.de
roland.steurer@arcor.de
badneo@arcor.de
c.burbach@arcor.de
lars.sylvia@arcor.de
michappe2@arcor.de
johannes.steinbrecher@arcor.de
amiri111@arcor.de
vincentschwiedeps@arcor.de
oezdinc@arcor.de
varan@arcor.de
tobisperling@arcor.de
silke.berg@arcor.de
fabianahrens@arcor.de
andy-lieb@arcor.de
markxy2@arcor.de
tibe99@arcor.de
rosenstolz-100@arcor.de
rolf.kissel@arcor.de
raimondkiess@arcor.de
danielkempgen@arcor.de
vo-zi@arcor.de
dubidubidam@arcor.de
peterbartzsen@arcor.de
cjonientz@arcor.de
thomasvogt1@arcor.de
botbot@arcor.de
carstenconstabel@arcor.de
t.rick@arcor.de
c_ortiz@arcor.de
spamfelix@arcor.de
f.paul.pp@arcor.de
lars.sylvia@arcor.de
batyr4@arcor.de
cytomic@arcor.de
sebastian.strobl@arcor.de
robert.kagan@arcor.de
mario.muehlbach@arcor.de
a.igor@arcor.de
exog@arcor.de
derglagla@arcor.de
brharun@arcor.de
samed.yilmaz@arcor.de
bernhardschild1@arcor.de

ruim13@iol.pt
j.belem@iol.pt
jmaia79@iol.pt
angelo.c@iol.pt
neoteo@iol.pt
ampimenta@iol.pt
manuelmonteiro1974@iol.pt
siriusgrey@iol.pt
joaonn13@iol.pt
onapp@iol.pt
hugo_china@iol.pt
gtdesk@iol.pt
claudia_ferreir@iol.pt
filipe.t@iol.pt
fpimentel@iol.pt
nina_faria@iol.pt
ricksilva@iol.pt
jm3ze@iol.pt
tfcoelho@iol.pt
anakar1@iol.pt
ritaportela@iol.pt
ndsous@iol.pt
olga_rodrigues@iol.pt

j.morgan06@blueyonder.co.uk
lf012r2929@blueyonder.co.uk

tiff1pets@reliable-mail.com
bre90oplign@reliable-mail.com
bre90oplign@reliable-mail.com

qpecota@surewest.net
chairman@phoenixhc.co.uk

stolen@ghettojam.net
ian.p.hamilton@virgin.net
robiwahn@vodafone.de
engelchen1959@alice.de
p-morell@stofanet.dk
sara@woodsidestables.com

Адреси FTP: (оновлено 13/09)

f11p:\makoblue:london92@www.makoblue{.} com.au/public_html/2018/administrator/components/com_joomdoc/libraries/joomdoc/html/123-info001.zip
f11p:\freedomp:E8o1s8qpW5@freedompublishing{.} com.au/.trash/HTML/eoplata007.zip
f11p:\wontasti:85221064@ftp.wontastic{.} com/.htpasswds/public_html/0297_docs_tre_88.zip
f11p:\wontasti:85221064@ftp.wontastic{.} com/.trash/kitchen/wp-content/plugins/jetpack/modules/minileven/images/docs_spwo_374.zip
f11p:\j0elb:d3al4@users.tpg.com{.} au/selattyncottages/images/docs_spwo_374.zip
f11p:\mergit.com{.} au:a1d4nm143y@s46950.gridserver{.} com/domains/mergit.com{.} au/html/mergit/v00.01.13/tmp/Prvd_docs.zip
f11p:\wontasti:85221064@ftp.wontastic{.} com/.trash/kitchen/wp-content/plugins/meeting-scheduler-by-vcita/images/docs_spwo_374.zip
f11p:\sbbccom/#?-bWZ(Z_v3;@ftp.sbbc.com{.} au/.cagefs/var/cache/php-opcache/d949132ff7e5a1b34f35758ccce8ff12/home/sbbccom/public_html/mngd001.zip
f11p:\zvillanovaplaye:ATWaS1948@villanovaplayers{.} com/httpdocs/images/Prvd_docs.zip
f11p:\f189031:s3yn9bsk@cpfacilitation.com{.} au/webspace/httpdocs/wordpress/wp-content/plugins/contact-form-7/images/Prvd_docs.zip
f11p:\topuksto:zrhqh3j1ka4q19la@europa.servers.rbl-mer.misp.co{.} uk/mail/ukbargaincentral.com/steve.bartlett/.Sent/tmp/docs_spwo_374.zip
f11p:\dabaco:RqPid6!!!H0Iz5f@ftp.dabaco.com{.} au/public_html/administrator/components/com_admin/helpers/html/0297_docs_tre_88.zip
f11p:\topuksto:zrhqh3j1ka4q19la@ftp.ukbargaincentral{.} com/mail/ukbargaincentral.com/steve.bartlett/.Junk/tmp/Prvd_docs.zip
f11p:\topuksto:zrhqh3j1ka4q19la@europa.servers.rbl-mer.misp.co{.} uk/mail/.Drafts/tmp/docs_spwo_374.zip
f11p:\thestore:Soot777!@thestoreroomnsw.com{.} au/public_html/administrator/templates/khepri/html/123-info001.zip
f11p:\f189031:s3yn9bsk@cpfacilitation.com{.} au/webspace/httpdocs/wordpress/wp-content/plugins/contact-form-7/images/docs_spwo_374.zip
f11p:\etrain:*!?qfP#^QgU%@e-train.com{.} au/public_html/eoplata007.zip
f11p:\bimbella:q2h1q8a8n5@ftp.bimbellabeef.com{.} au/public_html/mngd001.zip

Архіви:

SHA-256 aa819503e6fa943c7802a6fd1d14b918fd33cf9ad97fba7140cdd7742e5192bb
File name Prvd_docs.zip
File size 853.95 KB

 

SHA-256 8b9b32c0965a707f26aaa9d8c316bba46d850ef768ebd1d9f2449325a311e15c
File name mngd001.zip
File size 853.77 KB

 

SCR файли:

SHA-256 270cbd6b5c344b952eb23b3383b30c4b97dc3f5b3e7702c61bb08c19e7f0320a
File name docs_spwo_374.scr
File size 911 KB

 

SHA-256 e7f43c2e20deb45a295eb7f3774c238e29a4a89e3d2487d9f852ada216052148
File name 0297_docs_tre_88.scr
File size 911 KB

Після запуску SCR дублює своє тіло у C:\ProgramData\Windows\csrss.exe

Закріплюється через HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem

Через 10-15 хв після активації розпочинає процес шифрування файлів, зашифровані файли отримують розширення .crypted000007

Цитата із вимог про викуп:

“Вaшu файлы былu зашuфрoвaны.
Чmобы pасшифpовamь иx, Вам неoбхoдuмо omправuть kод:
85F93484188BBACD2983|833|6|8
нa элeкmрoнный адрeс VladimirScherbinin1991@gmail.com .”

Мережева активність скомпрометованої системи:

194.109.206.212	www.khfpgbxlw5p6pzvklzug{.} com		Client Hello
86.59.21.38	www.j4pl75jorexd4e{.} com		Client Hello
192.3.169.210	www.33llfq{.} com		        Client Hello

0297_docs_tre_88.scr	194.109.206.212	443	ESTABLISHED										
0297_docs_tre_88.scr	192.3.169.210	443	ESTABLISHED										
0297_docs_tre_88.scr	86.18.115.93	9001	ESTABLISHED

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Обмеження FTP з’єднань для пересічних користувачів за білим списком джерел
  • Заборона довільного завантаження додатків для пересічних користувачів на рівні Web Proxy
  • Заборона створення та зчитування/запуску *.SCR та *.EXE з каталогів профілю користувача %appdata%
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Постраждалим(!):

ID Ransomware

No More Ransom

Інструкція по розшифровці (на свій ризик!)

Будьте уважні та обережні.

VR