Главная

Sunday, 10 June 2018

Нетипова схема доставки вірусу.

Всім привіт.

Мені іноді здається що деякі віруси пишуть студенти в якості чергового проекту з інформаційного предмету. Так, це дуже корисно в плані саморозвитку для майбутнього спеціаліста. Але ж навіщо своє чудо випускати в світ? З іншого боку перегляд таких кейсів корисно і для нас. Ви тільки оценіть скільки технологій було задіяно щоб досягти мети зараження.

Кейс від Владислава Радецького IOC_HawkEye_110418.

Щодо спроби доставки #HawkEye (keylogger) який має нетипову схема доставки основного коду. Цей тип шкідливого коду застосовується для перехоплення вводу з клавіатури, відтак крадіжки облікових даних.

Аналітика.

Приманки та payload розміщені на серверах Amazon AWS (білий список для 90% URL-фільтрів).

Початковий .docx файл містить в одному із ресурсних .xml посилання на .rtf з вразливістю редактору формул. 

Вразливість редактору формул застосовується для завантаження та виконання .hta файлу.
.hta містить інструкції для PowerShell, який нарешті завантажує основну частину.

Основна частина зберігається на диск у Windows\Temp (не користувацька змінна оточення %temp%).

.hta чітко регламентує ім’я та шлях за яким буде збережена основна частина.

Закріплення через HKCU але не Run, а WinNT\Load.

Winword не генерує дочірніх процесів.

Виклик powershell від імені mshta.exe.

Не потребує прав Адміністратора.

Тобто схема така:
Attach (.DOCX) > OLE (17-0199) > GET .RTF > EQUENETD (17-11882) > HTA > PowerShell > GET payload > Windows\temp\shell.exe

1) DOCX файл що містить посилання на RTF у xml
2) RTF файл що завантажується при відкритті попереднього DOCX
3) HTA файл який завантажується при обробці попереднього RTF:
4) Основна частина яка звантажуєтеся засобами powershell при обробці HTA файлу.
5) ехе-Модуль основної частини що записується після активації попереднього файлу.

Вам сподобалось? Мені дуже. Як і та людина що складала це до купи і розкинула мізками. Просто молодець.

Щасти.

No comments:

Post a Comment

А что вы думаете по этому поводу?