Tag Archive | xml.rels

IOC_Gamaredon_181119

From Russia, with Love документами із піратським офісом*

Типовий день дослідника malware, поспішиш – закриють С2

Панове, бажаю здоров’я.

Вчора було зафіксовано розсилку шкідливих документів від угрупування Gamaredon APT, яке пов’язують з РФ.
Рівень загрози – високий.
Нагадую, що Gamaredon APT – команда, що спеціалізується на розповсюдженні імплантів в системах Українських організацій.

Схема:
————–
email attach .zip > .docx > xml.rels > GET .dot > macro > DROP vbs > WSH > 3d stage ..

Давайте розглянемо детально, які засоби застосовують проти нас люди з Gamaredon:

#1 Зміст документу-приманки

Підбирається під конкретну ціль. Ось кілька прикладів за осінь 2019го: (збільшене зображення по кліку)

Інформпривід або створюється штучно із залученням реальних прізвищ/посад , або ж за основу беруть документи з відкритого доступу. По рівню згенерованого контенту вони конкурують та значно випереджають те, що ми вже бачили у розсилках Sobaken.

#2 Перший файл – приманка

Конкретний зразок із розсилки за 18/11/19 є автоматично згенерованим на базі шаблону (час редагування – 2хв, дата збереження навмисно спотворена 1980й). *Також можна помітити, що пакет MS Office, в якому формували дану приманку зареєстрований на псевдо компанію “Reanimator Extreme Edition“, що є маркером піратської копії:

Документ містить вразливість CVE-2017-0199, у одному з його xml файлів вставили посилання на зовнішнє джерело:

Вразлива версія MS Office без виправлень при відкритті такого файлу одразу спробує завантажити файл за вказаним посиланням. Зауважте, що процес MS Word перед завантаженням перевіряє доступність файлу запитами із специфічним User Agent:

#3 Другий файл – dropper

Файл, який завантажується при обробці xml.rels, створений тим же “автором” у тому ж піратському офісі:

Цей файл містить макрос:

Завдання макросу – згенерувати VBS файл із унікальним посиланням для зв’язку з С2:

та забезпечує його закріплення в системі через каталог Startup:

Важливо – вони не використовують 11882, powershell чи закріплення через реєстр, бо ці трюки вже більшість ІТ\ІБ блокують або відстежують. Натомість Gamaredon намагається застосовувати старіші техніки, аби лишатися у тіні.

#4 Скрипт закріплення – downloader

VBS скрипт, який було згенеровано макросом із другого файлу відповідає за комунікацію із розгалуженою системою С2. Особливість у тому, що для з’єднання макрос на кожній системі генерує пару “Hostname+ID” і додає її у URL:

С2 використовують домени із зони ddns.net, ось частковий перелік “засвічених”:

unhcr.ddns.net
rnbo-ua.ddns.net
network-crash.ddns.net
checkhurl.site
get-icons.ddns.net
bitvers.ddns.net
shell-sertificates.ddns.net
bitread.ddns.net
sv-menedgment.ddns.net
lookups.ddns.net
libresoft.ddns.net
document-write.ddns.net
suipost.ddns.net
document-listing.ddns.net
list-sert.ddns.net
military-ua.ddns.net
const-gov.ddns.net
my-certificates.ddns.net
checkhurl.fun
libre-boot.ddns.net
kristo-ua.ddns.net
templates.hopto.org
checkhurl.website
constructor-word.ddns.net
creative-office.ddns.net
kornet-ua.ddns.net
duktas-dde.ddns.net
message-office.ddns.net
unhcr.ddns.net
shell-sertificates.ddns.net
network-crash.ddns.net
message-office.ddns.net
list-sert.ddns.net
libresoft.ddns.net
kristo-ua.ddns.net
kornet-ua.ddns.net
bitread.ddns.net
micro-office.ddns.net
get-icons.ddns.net
checkhurl.space
checkhurl.info
checkhurl.fun
checkhurl.site
underlord.site
underlord.fun
bitvers.ddns.net
sv-menedgment.ddns.net
lookups.ddns.net
document-write.ddns.net
suipost.ddns.net
document-listing.ddns.net
military-ua.ddns.net
rnbo-ua.ddns.net
const-gov.ddns.net
my-certificates.ddns.net
libre-boot.ddns.net
underlord.space
templates.hopto.org
checkhurl.website
constructor-word.ddns.net
creative-office.ddns.net
duktas-dde.ddns.net

#5 Імплант

С2 віддає імплант лише короткий проміжок часу та перевіряє параметри систем які звертаються до нього. Через це мені так і не вдалося отримати сам файл імпланту. На що це може бути схожим варто подивитися у дописі дослідника Vitali KremezDeeper Dive into Gamaredon Group Pteranodon Implant Version ‘_512’

Доречним буде скористатися YARA правилом:

rule apt_win32_gamaredon_pteranodon_initial_sfx {
   meta:
      author = "@VK_Intel"
      reference = "Detects Gamaredon Group Pteranodon Implant"
      date = "2018-12-27"
      type = "experimental"
   strings:
      $s0 = "cryptcp.exe" fullword wide
      $s1 = "SFX module - Copyright (c) 2005-2012 Oleg Scherbakov" fullword ascii
      $s2 = "7-Zip archiver - Copyright (c) 1999-2011 Igor Pavlov" fullword ascii
      $s3 = "RunProgram=\"hidcon" fullword ascii
      $s4 = "7-Zip - Copyright (c) 1999-2011 " fullword ascii
      $s5 = "sfxelevation" fullword wide
      $s6 = "Error in command line:" fullword ascii
      $s7 = "%X - %03X - %03X - %03X - %03X" fullword wide
      $s8 = "- Copyright (c) 2005-2012 " fullword ascii
      $s9 = "Supported methods and filters, build options:" fullword ascii
      $s10 = "Could not overwrite file \"%s\"." fullword ascii
      $s11 = "7-Zip: Internal error, code 0x%08X." fullword ascii
      $s12 = "@ (%d%s)" fullword wide
      $s13 = "SfxVarCmdLine0" fullword wide
      $s14 = "SfxVarCmdLine1" fullword wide
      $s15 = "SfxVarCmdLine2" fullword wide
      $cmd = ".cmd" fullword wide
condition: ( uint16(0) == 0x5a4d and filesize < 2000KB and 14 of them and $cmd) }

позичено у @VK_Intel

Аналітика:
————–

  • Зауважте, що 4 спроби аналізу не дали 3го кроку – саме тіло імпланту так і не було отримано
  • Те, що ви бачите о звіті – це лише перші 2 кроки інфікування
  • Доставка – через документи-приманки із вразливістю CVE-2017-0199 з подальшим довантаженням документу з макросом (AutoOpen)
  • Макрос виконує одну задачу – формує VBS файл з інструкціями (Downloader) та забезпечує його закріплення через каталог Startup
  • Зверніть прискіпливу увагу на мережеві маркери – за цими двома IP тягнеться шлейф різних доменів (різні профілі жертв)
  • Проблеми будуть утих, хто не оновлює MS Office та не контролює WSH (wscript.exe)
  • VBS формує унікальний URL для кожної інфікованої системи (ім’я + ідентифікатор)

Мережеві маркери:
————–
141.8.195.60 win-apu.ddns{.} net GET /apu.dot UA = Mozilla/4.0
2.59.41.5 get-icons.ddns{.} net GET /Host_ID//autoindex.php UA = Mozilla/4.0

Звіт:
————–
https://pastebin.com/Vhb4KF5L

Контрзаходи:
————–

  • Блок двох IP адрес, наданих вище та контроль спроб resolve сайтів з зони ddns.net
  • Оновлення MS Office, виправлення вразливості CVE-2017-0199 (патчі за 2017-й рік!)
  • Деактивація Windows Script Host або блок запуску ?script.exe або блок мережевого трафіку для ?script.exe (див. стаття#1 та стаття#2)
  • Заборона запуску макросів там, де вони не потрібні
  • Повне блокування доступу до Інтернет для MS Word, Excel та PowerPoint
  • Або ж блокування на Proxy специфічних User Agent MS Office Web-Dav
  • Контроль списку автозавантаження
  • Користувачі McAfee VSE/ENS у безпеці (GTI)

Будьте уважні та обережні.

VR

IOC_digest_03_2019

(Зразки за березень 2019го)

Продовжуючи формат переднього дайджесту, ось вам перелік зразків, результати аналізу яких я можу оприлюднити:

07/03/19

розсилали #trickbot, .doc > macro_AutoClose > 4 bat > BITS > GET > AppData\Roaming\wnetwork\*.exe , звіт

15/03/19

 

розсилали #coinminer, SCR > C:\Intel\* , звіт

19/03/19

розсилали #shade, (RAR) > pass > JS > WSH > GET .mpwq > %temp%\*.tmp , звіт

21/03/19

розсилали #cobaltstrike, EXE (SFX) > .bat > Startup\explorer.exe , звіт

25/03/19

розсилали #shade, (RAR) > pass > JS > WSH > GET .mpwq > %temp%\*.tmp , звіт (за 19те)

28/03/19 – важливо, рівень складності та загрози високий, без EXE файлів (!)

   

розсилали #sobaken, .ZIP > .PPSX > XML_RELS > GET > WSH > %temp%\tmp4E07.tmp > %userprofile%\NTUSR.DAT , звіт

– – – – – – – – – – – – – – – – – – – – – – –

Аналітика

Методи доставки

Якщо розбити по категоріям, тоді отримаємо

  • exe/scr (без приманки) – 2 розсилки
  • BITS – 1 розсилка
  • WSH – 3 розсилки, включаючи цільову атаку (28/03)
  • Вразливість 11882 – 0 розсилок
  • powershell – 0 розсилок

Для обходу фільтрів були застосовані наступні кроки:

  • архіви з паролями;
  • Документи з макросами (1) та документи з посиланням xml.rels (1)

Тенденції

Кампанія розсилки #shade яка розпочалася ще в кінці 2018 року JS (WSH) вперто продовжується, хоча помітно зменшила оберти.

Все ще може становити загрозу для непідготованих користувачів.

Цікавими з технічної точки зору за березень виявилися два випадки:

#1 цільова атака із застосуванням аналітики по виборам в якості приманки (xml.rels > WSH).

  • Якісний привід (презентація по виборам).
  • Використання WSH для закріплення та збору інформації про заражену систему.
  • Без створення та запуску нових exe.
  • Сильна обфускація команд.

#2 доставка #trickbot через макрос на закриття документу та завантаження через службу BITS.

У цьому випадку одразу стикаємось із двома способами, що застосовуються помітно рідше.

Загалом, усе, що присилали в березні могло створити інциденти тим організаціям які:

  • не контролюють макроси
  • не контролюють WSH
  • не посилили фільтрацію приєднань

Узагальнені контрзаходи

Будьте уважні та обережні.

VR

IOC_doc_rtf11882_190718

Доброго ранку, панове.

Вчора о другій половині дня проходила фішингова розсилка, що містила приманку у вигляді DOCX файлу.

Активація приманки призводила до інфікування системи троянським кодом типу #Razy.

Не дивлячись на те, що усі три частини атаки одразу мали високий рейтинг на VT я хочу розібрати механізм доставки.

Проблеми будуть у тих, хто не оновлює MS Office та не контролює трафік його додатків.

Трохи аналітики

  • доставка у 2 кроки
  • завантаження другого документу – засобами MS word (WINWORD.EXE)
  • завантаження основної частини – засобами редактору формул (EQNEDT32.EXE)
  • не потребує прав Адміністратора
  • payload не кодований (!This program cannot be run in DOS mode.)
  • payload записується у \Program Data\
  • payload здійснює перевірку Public IP

Зразок фішингового листа:

Схема атаки

email attach (DOCX) > document.xml.rels > GET doc (RTF) > 11882 > GET exe > \Program Data\name.exe

крок #1 open docx – document.xml.rels
GET novomet{.} bg/doors/images2/p22.doc

крок #2 open doc (RTF) – 11882
GET novomet{.} bg/doors/images2/p22.exe

крок #3 run exe – check public ip
GET checkip.dyndns{.} org/

Маркери

документ1 – MS Word

SHA-256 a4cdebc96154deb3c3da013d6486c09ebb2a0a508475f5107c8c9a319d70fc15
File name p22.docx
File size 9.88 KB

документ2 – RTF із експлойтом під вразливість редактору формул 11882

SHA-256 f5c35a43c5379d705d3f1575a3859934261a87f27b669cc3ddbf6e601ba00abc
File name p22.doc
File size 15.64 KB

основна частина

SHA-256 d03a4011a87374dbbc7ccf1b8427a95e27f97edae1c1c928da1763343f002708
File name p22.exe > name.exe
File size 280 KB

Мережа

79.124.76.30 novomet{.} bg 80 HEAD /doors/images2/p22.doc Microsoft Office Existence Discovery

79.124.76.30 novomet{.} bg 80 GET /doors/images2/p22.doc Mozilla/4.0

79.124.76.30 novomet{.} bg 80 HEAD /doors/images2/p22.doc Microsoft Office Existence Discovery

79.124.76.30 novomet{.} bg 80 GET /doors/images2/p22.exe Mozilla/4.0

216.146.38.70 checkip.dyndns{.} org GET / HTTP/1.1 n./a

Активність по процесам

Відкриття першого документу спричиняє автоматичне завантаження другого, який є RTF файлом:

Після обробки RTF через експлуатацію 11882 запускається редактор формул, який здійснює завантаження основної частини:

Зверніть увагу, що сайт, який розповсюджує malware містить кілька наборів:

Загалом атака не складна, проте може наробити галасу у тих компаніях, де погано дбають про антивірусний захист та оновлення MS Office.

Контрзаходи

  • Посилення фільтрів пошти
  • Заборона завантаження .exe файлів для непривілейованих користувачів – див. тут
  • Відсікання запитів із нестандартними/пустими/застарілими User Agent на рівні Web Proxy – див. тут
  • Виправлення вразливості 11882 – див. тут
  • Контроль запуску EQNEDT32.EXE
  • Заборона мережевого трафіку для додатків MS Office – див. тут (варіант 1)
  • Контроль створення та запуску нових .exe у C:\Users\ та C:\Program Data\ – див. тут

Будьте уважні та обережні.

VR