Мені іноді здається що деякі віруси пишуть студенти в якості чергового проекту з інформаційного предмету. Так, це дуже корисно в плані саморозвитку для майбутнього спеціаліста. Але ж навіщо своє чудо випускати в світ? З іншого боку перегляд таких кейсів корисно і для нас. Ви тільки оценіть скільки технологій було задіяно щоб досягти мети зараження.
Кейс від Владислава Радецького IOC_HawkEye_110418.
Щодо спроби доставки #HawkEye (keylogger) який має нетипову схема доставки основного коду. Цей тип шкідливого коду застосовується для перехоплення вводу з клавіатури, відтак крадіжки облікових даних.
Аналітика.
Приманки та payload розміщені на серверах Amazon AWS (білий список для 90% URL-фільтрів).
Початковий .docx файл містить в одному із ресурсних .xml посилання на .rtf з вразливістю редактору формул.
Вразливість редактору формул застосовується для завантаження та виконання .hta файлу.
.hta містить інструкції для PowerShell, який нарешті завантажує основну частину.
Основна частина зберігається на диск у Windows\Temp (не користувацька змінна оточення %temp%).
.hta чітко регламентує ім’я та шлях за яким буде збережена основна частина.
Закріплення через HKCU але не Run, а WinNT\Load.
Winword не генерує дочірніх процесів.
Виклик powershell від імені mshta.exe.
Не потребує прав Адміністратора.
Тобто схема така:
Attach (.DOCX) > OLE (17-0199) > GET .RTF > EQUENETD (17-11882) > HTA > PowerShell > GET payload > Windows\temp\shell.exe
1) DOCX файл що містить посилання на RTF у xml
2) RTF файл що завантажується при відкритті попереднього DOCX
3) HTA файл який завантажується при обробці попереднього RTF:
4) Основна частина яка звантажуєтеся засобами powershell при обробці HTA файлу.
5) ехе-Модуль основної частини що записується після активації попереднього файлу.
Вам сподобалось? Мені дуже. Як і та людина що складала це до купи і розкинула мізками. Просто молодець.
Щасти.
No comments:
Post a Comment
А что вы думаете по этому поводу?