НОВОСТИ

Секретов не существует, есть просто хорошо спрятанные ответы.

14.07.2016 произошла массовая рассылка спама в некоторые организации Украины. И всё бы ничего, но есть в этой акции пару моментов, которые не позволят обычному спаму остаться таким уж незамеченным.

Дата публикации: 27.07.2016 7:17 | Категория: Пресс-релиз | Источник: http://

Примеры писем:

 

Итак, приступим к анализу:

Во-первых, не смотря на суть, которую содержали письма, сами они были отправлены из-за рубежа:

 

IP отправляет нас в Германию:

Географическое расположение IP адреса:

DE DEU Germany

Широта: 51

Долгота: 9

Предположительный адрес:

Unnamed Road, 35114 Haina (Kloster), Германия

 

Во-вторых, как и следовало ожидать, вложение, состоящее из вордовского документа, содержало зловредный макрос, который загружал основной модуль из интернета и запускал на ПК своей жертвы. Более подробнее о технике извлечения зловредного макроса можно узнать в этой статье.

Фрагмент макроса (на лицо попытка обфусцировать текст, чтобы затруднить анализ):

 

Теперь немного по анализу самого зловредного кода:

Мне удалось разбить этот макрос на отдельные элементы и провести деобфускацию зловредного кода. Результаты представлены ниже.

Разбиение макроса

Деобфускация кода

После расшифровки некоторых функций, мы обратили внимание на механизм, выявляющий «песочницы», которые стали достаточно популярными в последнее время:

Вот например способ, которым зловред выявлял – не запущен ли документ в песочнице HYBIRD, а также проверял на количество открытых ранее в WORD-е документов, и если их было меньше трёх (как обычно бывает в песочницах – которые раскатывают операционки «с нуля» для каждого нового образца), то охарактеризовал среду в которую попал как враждебную (“Bad history”): 

Ну и связь с командным центром, для загрузки пейлоуда:

HTTP 62.210.102.80

elfaroconsultants.com(со 14.07.2016 с 18:00 уже неактивный)

elfaroconsultants.com/

elfaroconsultants.com//r_upload

elfaroconsultants.com//wp-admin/post.php

elfaroconsultants.com/bug/pic.gif?siteid

elfaroconsultants.com/din.aspx?s=0000000

elfaroconsultants.com/p?c1=2&c2=13765216

elfaroconsultants.com/pagestat/PageStatE

elfaroconsultants.com/safari/content.bin

elfaroconsultants.com/t51.2885-15/e35/p2

elfaroconsultants.com/tracker?js=13;id=1

elfaroconsultants.com/wpad.dat

 

Использовались также следующие ресурсы:

wtfismyip.com:443

shougunj.com:80

69.30.217.90:443

52.23.245.170:80

 

Ещё один интересный факт, в 2015 году именно в июле была массовая рассылка писем содержащих зловредный код для проникновения (Тогда это был BlackEnergy, статья про детальный разбор этой атаки) в этом году массовая рассылка происходит тоже в июле, точно ровно через год.

И как сказано в названии «Секретов не существует, есть просто спрятанные ответы», предлагаю всем вместе попробовать поискать несколько ответов. Но для этого нужно объединить усилия. Уже давно стало очевидным - злоумышленники объединяют свои усилия, формируя мощные команды, в то время как жертвами выступают – одиночки, компании. Эти компании либо даже не знают о том, что их проатаковали (и как в нашем случае – полгода злоумышленники пребывали в инфраструктуре незамеченными), либо не разглашают о попытках проникновения, тем самым позволяя злоумышленникам безнаказанно осуществлять свои атаки, даже не меняя инструментов и командных центров:

Если в Вашу организацию поступили похожие письма, прошу Вас поделиться информацией о таких случаях (support@isspgroup.com). Инструкция о том – как пересылать почту – вложением здесь.

Если у Вас уже есть, какие либо индикаторы компрометации, не обязательно рассказывать о самой атаке, достаточно придать огласке лишь эти индикаторы что, конечно же, не остановит атаку, но хотя бы заставит злоумышленников менять инструменты атаки, да и остальным позволит набираться опыта и чётче осознавать направления – которые стоит развивать в области информационной безопасности на своём предприятии.

Есть ещё два момента, что называется «на подумать»:

Орфографические и стилистические ошибки. Их достаточно много, и будь это обычный спам, ничего удивительного не было бы, но как мы уже выяснили ранее, это не обычный спам. Перед нами, хорошо спланированная атака, целью которой является проникновение в большое количество инфраструктур в Украине. Мы все помним, чем закончилось подобное массовое проникновение в апреле-мае 2015-го (достаточно только вспомнить отключение света в Ивано-Франковске). А поскольку очевидно, что за каждой атакой подобного рода стоят не малые деньги, где выверяется каждый символ кода, наличие орфографических ошибок должно вызывать законное подозрение. Вполне вероятно, что ошибки используются как индикаторы, которые призваны сигнализировать о чём-то. Но о чём?

А вот на следующих скриншотах – пример явной работы скрипта, который генерировал тексты писем, (текст готовился под один шаблон, но его видимо расширили и поэтому слово «року» осталось «за бортом» указывая на явную стилистическую ошибку), скорее всего это было сделано для того чтобы придать уникальности письмам и снизить вероятность попасть под категорию спама:

Не смотря на стремительную «завязку» (массовая рассылка писем и технически грамотная отработка downloader/dropper по коммуникации с командным центром), атака как бы сразу и «захлебнулась». К концу дня – командный центр уже перестал отвечать, а кроме вышеперечисленных адресов, с другими сайтами «заражённые» ПК на связь не выходили. В связи с этим вопрос, какую же на самом деле цель преследовали злоумышленники, и главное – достигли они её, или всё ещё впереди?

Ответить на эти вопросы можно только объединившись, и собрав больше информации и образцов писем, а так же «нагрузок», которые были загружены при заражении. Так что – ждём обратной реакции от Вас, уважаемые читатели.

 

Итог

Что можно сказать на последок, по сравнению с прошлым годом, атака на проникновение стала чуть более утончённой, появились неловкие, пока, механизмы изучения среды в которую попал зловред, что в перспективе может перерасти в большую проблему для песочниц.

Из рекомендаций – пока всё по старому, анализируйте свои «спаморезки», ручной, детальный анализ спама, который оседает на «спаморезках», это необходимая задача, которая поможет вовремя выявить ключевые IOC, для имплементирования правил в системы мониторинга: для отслеживания случаев, когда письмо всё-таки проникло внутрь периметра.

Обычно дроппер «невидим» для корпоративных антивирусов, направив выявленный образец в службу поддержки антивируса и поставив на мониторинг последующие срабатывания по сигнатуре, которую разработает антивирусная компания, можно будет выявлять скомпрометированные рабочие станции.

 

СЛЕДУЮЩИЕ ШАГИ

Отправить запрос

ПОДПИСАТЬСЯ НА РАССЫЛКУ

Для подписки на новостной бюллетень
укажите адрес электронной почты