На прошлой неделе антивирусная лаборатория PandaLabs получила вопрос про семейство шифровальщиков, использующих PowerShell– решение Microsoft, которое включено в Windows 10 и которое уже некоторое время используется кибер-преступниками для своих целей.

Подобные вопросы интересны, т.к. PandaLabs целенаправленно занимается предотвращением подобных атак со стороны шифровальщиков. Но должны признать, что мы не делимся всеми нашими «находками» с сообществом. Сейчас мы решили делать это на постоянной основе в рамках серии статей «Сказки Ransomwhere».

Шифровальщик поступает в фишинговом письме, в которое вложен документ Word

Тот шифровальщик, о котором нас спрашивали, звучит для нас как старые новости: действительно, наши коллеги из Carbon Black писали об этом еще в марте. Атака проста и понятна: шифровальщик поступает в фишинговом письме, в которое вложен документ Word. При его открытии специальный макрос в документе запускает cmd.exe, чтобы запустить PowerShell, скачать скрипт из Интернета, а затем снова запустить PowerShell, используя скаченный скрипт в качестве «входных данных» для выполнения задач шифровальщика.

Этот Powerware, как он был назван специалистами Carbon Black, — это еще один шифровальщик среди тысяч других, о которых мы знаем. Мы блокировали его еще до того, как сами узнали об этом семействе шифровальщиков, хотя для некоторых компаний в сфере безопасности данное конкретное семейство стало большей проблемой, чем другие. Почему?

Некоторые из антивирусов в большинстве своем основаны на сигнатурах и одновременно с этим их присутствие сильнее на периметре, а не на конечной точке. Поэтому блокировка документов Word на периметре – не очень удачный выход. После того, как заражены некоторые пользователи, они могут добавить сигнатуры и защитить остальных (например, блокируя IP-адреса, откуда скачивается скрипт), хотя отсутствие загруженной из Интернета исполняемой вредоносной программы – это кошмар для них.

В конце концов, шифровальщики – это масштабный бизнес для кибер-преступников, и они тратят много ресурсов на поиски новых способов, позволяющих им оставаться незамеченными со стороны всех видов решений безопасности. Powerware – это всего лишь один из примеров. Общее поведение не меняется, но всегда, почти каждую неделю внедряются трудноуловимые изменения. Эти изменения могут быть применены как к самому шифровальщику (как он выполняет свои действия), так и к способу доставки (используя новые эксплойты, изменяя существующие эксплойты, меняя способы загрузки экплойтов и пр.).

Еще хороший пример новых способов «доставки» шифровальщиков, который мы видели недавно.
После применения эксплойта в Internet Explorer, запускается CMD, используя функцию «echo» для создания скрипта. Затем запускается ряд файлов Windows для выполнения всех действий, чтобы избежать обнаружения подозрительного поведения со стороны решений безопасности. Скрипт запускается со стороны wscript, и он скачивает dll, затем используется CMD для запуска regsvr32, который выполнит dll (используя rundll32). В большинстве случаев тот DLL является шифровальщиком. Были заблокированы свыше 500 попыток заражения, использующих этот новый трюк.

Публикуем ниже все контрольные суммы MD5 этих DLL, которые были перехвачены в рамках 500 попыток заражений:

00d3a3cb7d003af0f52931f192998508
09fc4f2a6c05b3ab376fb310687099ce
1c0157ee4b861fc5887066dfc73fc3d7
1cda5e5de6518f68bf98dfcca04d1349
1db843ac14739bc2a3c91f652299538c
2c5550778d44df9a888382f32c519fe9
2dcb1a7b095124fa73a1a4bb9c2d5cb6
2f2ca33e04b5ac622a223d63a97192d2
38fb46845c2c135e2ccb41a199adbc2a
3ac5e4ca28f8a29c3d3234a034478766
4cb6c65f56eb4f6ddaebb4efc17a2227
562bf2f632f2662d144aad4dafc8e316
63dafdf41b6ff02267b62678829a44bb
67661eb72256b8f36deac4d9c0937f81
6dbc10dfa1ce3fb2ba8815a6a2fa0688
70e3abaf6175c470b384e7fd66f4ce39
783997157aee40be5674486a90ce09f2
7981aab439e80b89a461d6bf67582401
821b409d6b6838d0e78158b1e57f8e8c
96371a3f192729fd099ff9ba61950d4b
9d3bf048edacf14548a9b899812a2e41
a04081186912355b61f79a35a8f14356
a1aa1180390c98ba8dd72fa87ba43fd4
a68723bcb192e96db984b7c9eba9e2c1
abb71d93b8e0ff93e3d14a1a7b90cfbf
b1ac0c1064d9ca0881fd82f8e50bd3cb
b34f75716613b5c498b818db4881360e
b6e3feed51b61d147b8679bbd19038f4
bbf33b3074c1f3cf43a24d053e071bc5
cba169ffd1b92331cf5b8592c8ebcd6a
d4fee4a9d046e13d15a7fc00eea78222
d634ca7c73614d17d8a56e484a09e3b5
de15828ccbb7d3c81b3d768db2dec419
df92499518c0594a0f59b07fc4da697e
dfd9ea98fb0e998ad5eb72a1a0fd2442
e5c5c1a0077a66315c3a6be79299d835

Автор: Луис Корронс
Поделиться с друзьями
-->

Комментарии (4)


  1. cb_ein
    18.07.2016 15:45

    > лаборатория PandaLabs получила вопрос про семейство шифровальщиков
    Какой вопрос?


  1. Barafu
    18.07.2016 21:21

    Вопрос для чайника: что настроить в офисе, чтобы хоть через него вирусы не лезли? И безопасно ли открывать PDF в Хроме? Работа такая, много файла шлют.


    1. ydaf
      19.07.2016 09:13

      Обучить юзеров не нажимать кнопку «Запустить возможно опасные макросы» — они не запускаются по дефолту, но никто же не читает предупреждений (особенно когда в самом вордовском файле написано бальшими крааасными буквами, что «У вас старый ворд, вам надо включить макросы, чтобы файл отображался).
      Ну или выключить возможность запуска макросов совсем и разбираться с теми кому они действительно нужны поголовно. Поищите GPO — где-то там — (User configuration > Administrative templates > Microsoft Word XXXX> Word options > Security > Trust Center.). Аналогично для экселя.

      Про PDF — относительно, зараза лезет через уязвимости просмотрщика и в целом, подозреваю, шанс нарваться на уязвимость у Adobe, Chrome и остальных просмотрщиков одинакова. В плюсе у хрома — проще апдейты — не нужно возиться по отдельности с программами.


  1. teecat
    19.07.2016 11:06

    шифровальщик поступает в фишинговом письме, в которое вложен документ Word. При его открытии специальный макрос в документе запускает cmd.exe, чтобы запустить PowerShell, скачать скрипт из Интернета, а затем снова запустить PowerShell, используя скаченный скрипт в качестве «входных данных» для выполнения задач шифровальщика.
    — не запрещено исполнение макросов в файлах MS Word
    — не запрещен запуск cmd.exe
    — не запрещен доступ на недоверенные источники
    — не запрещен запуск исполняемых программ/скриптов от имени пользователя