20.02.2019, 01:14
Rietspoof
Nowe cyberzagrożenie, które łączy formaty plików, aby stworzyć bardziej wszechstronny złośliwy program. Zagrożenie jest rozpowszechniane wśród ofiar za pośrednictwem komunikatorów internetowych, takich jak Facebook Messenger i Skype.
Główną rolą Rietspoof jest infekowanie ofiar, utrzymywanie trwałości na zainfekowanych hostach, a następnie pobieranie innych złośliwych odmian - zależnie od zamówień, które otrzymuje z centralnego serwera sterowania i kontroli (C & C).
Dokument .doc a w nim makro które po otwarciu się wykona.
Jeśli ktoś zamierza się pobawić to zalecam użycie Office 2010 i Windows 7 32bity
Wyodrębnione makro:
Jakieś tam moje wypociny:
CreateFile
C:\Users\victim\AppData\Roaming\Microsoft\Windows\Cookies\wordTemplate.vbs
wscript.exe
RegCreateKey
HKLM\Software\Microsoft\Windows Script Host\Settings SUCCESS
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs
Następuje wykonanie skryptu
wscript.exe
RegCreateKey
HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing SUCCESS
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs
wscript.exe
RegSetValue
HKCU\Software\Classes\Local Settings\MuiCache\2F\52C64B7E\LanguageList SUCCESS
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs
wscript.exe
RegCreateKey SUCCESS
HKCU\Software\Microsoft\SystemCertificates\My
HKCU\Software\Microsoft\SystemCertificates\CA
HKCU\Software\Microsoft\SystemCertificates\CA\CRLs
HKCU\Software\Microsoft\SystemCertificates\CA\CTLs
HKCU\Software\Policies\Microsoft\SystemCertificates
HKLM\Software\Microsoft\EnterpriseCertificates\Disallowed
wscript.exe
RegCreateKey
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs
TCP Connect 104.81.60.32:80
TCP Receive 104.81.60.32:80
C:\Users\victim\AppData\Roaming\Microsoft\Windows\Cookies\wordTemplate.vbs
CreateFile
C:\Users\victim\AppData\Local\Temp\LOJkdxjDhQANoxu
RegSetValue
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
Modyfikuje ustawienia proxy
Load Image
C:\Windows\System32\expand.exe
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs
"C:\Windows\System32\expand.exe" C:\Users\victim\AppData\Local\Temp\LOJkdxjDhQANoxu -F:* C:\Users\victim\AppData\Local\Temp\iSatSrv.exe
expand.exe
CreateFile
C:\Users\victim\AppData\Local\Temp\$dpx$.tmp
expand.exe
CreateFile
C:\Users\victim\AppData\Local\Temp\$dpx$.tmp\e445b37c19554043a5d07fd99aef9a28.tmp
Pliki wykonywalne zostały usunięte lub nadpisane
"C:\Windows\System32\expand.exe" C:\Users\victim\AppData\Local\Temp\LOJkdxjDhQANoxu -F:* C:\Users\victim\AppData\Local\Temp\iSatSrv.exe
expand.exe
WriteFile
C:\Users\victim\AppData\Local\Temp\$dpx$.tmp\e445b37c19554043a5d07fd99aef9a28.tmp SUCCESS
wscript.exe
Load Image
C:\Windows\System32\wbem\WMIC.exe
Używa WMIC.EXE do utworzenia nowego procesu.
Instrumentacja zarządzania Windows (WMI) to funkcja administracyjna systemu Windows, która zapewnia jednolite środowisko lokalnego i zdalnego dostępu do składników systemu Windows. Opiera się na usłudze WMI dla dostępu lokalnego i zdalnego oraz bloku komunikatów serwera (SMB)
WMIC.exe
RegCreateKey
HKLM\Software\Microsoft\WBEM\CIMOM
"C:\Windows\System32\wbem\WMIC.exe" process call create "schtasks.exe /Create /Sc MINUTE /MO 2 /TN \"\Microsoft Driver Management Service\" /TR \"C:\Users\victim\AppData\Local\Temp\iSatSrv.exe"
Ładuje interfejs COM API Task Scheduler
(Narzędzia, takie jak at i schtasks , wraz z Harmonogramem zadań systemu Windows, mogą być używane do planowania programów lub skryptów do wykonania w określonym czasie).
Odpowiedzialna biblioteka C:\Windows\System32\taskschd.dll
Load Image
C:\Windows\System32\taskeng.exe
taskeng.exe {677D064B-7B63-4469-BB1C-4AE962C36FAE} S-1-5-21-3463664321-2923530833-3546627382-1001:IE8Win7\victim:Interactive:LUA[1]
RegCreateKey
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Configuration
taskeng.exe {677D064B-7B63-4469-BB1C-4AE962C36FAE} S-1-5-21-3463664321-2923530833-3546627382-1001:IE8Win7\victim:Interactive:LUA[1]
taskeng.exe
RegSetValue
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Handshake\{677D064B-7B63-4469-BB1C-4AE962C36FAE}\data SUCCESS
taskeng.exe {677D064B-7B63-4469-BB1C-4AE962C36FAE} S-1-5-21-3463664321-2923530833-3546627382-1001:IE8Win7\victim:Interactive:LUA[1]
Połączenia:
iSatSrv.exe
Load Image
C:\Windows\System32\mswsock.dll
C:\Windows\System32\WSHTCPIP.DLL
TCP Connect 192.241.217.57:80
192.241.217.57:443
TCP Receive 192.241.217.57:80
192.241.217.57:443
Otwiera MountPointManager (często używany do wykrywania dodatkowych lokalizacji infekcji)
Analiza AVAST:
Nowe cyberzagrożenie, które łączy formaty plików, aby stworzyć bardziej wszechstronny złośliwy program. Zagrożenie jest rozpowszechniane wśród ofiar za pośrednictwem komunikatorów internetowych, takich jak Facebook Messenger i Skype.
Główną rolą Rietspoof jest infekowanie ofiar, utrzymywanie trwałości na zainfekowanych hostach, a następnie pobieranie innych złośliwych odmian - zależnie od zamówień, które otrzymuje z centralnego serwera sterowania i kontroli (C & C).
Dokument .doc a w nim makro które po otwarciu się wykona.
Treść widoczna jedynie dla zarejestrowanych użytkowników
Jeśli ktoś zamierza się pobawić to zalecam użycie Office 2010 i Windows 7 32bity
Wyodrębnione makro:
[Aby zobaczyć linki, zarejestruj się tutaj]
Jakieś tam moje wypociny:
CreateFile
C:\Users\victim\AppData\Roaming\Microsoft\Windows\Cookies\wordTemplate.vbs
wscript.exe
RegCreateKey
HKLM\Software\Microsoft\Windows Script Host\Settings SUCCESS
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs
Następuje wykonanie skryptu
wscript.exe
RegCreateKey
HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing SUCCESS
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs
wscript.exe
RegSetValue
HKCU\Software\Classes\Local Settings\MuiCache\2F\52C64B7E\LanguageList SUCCESS
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs
wscript.exe
RegCreateKey SUCCESS
HKCU\Software\Microsoft\SystemCertificates\My
HKCU\Software\Microsoft\SystemCertificates\CA
HKCU\Software\Microsoft\SystemCertificates\CA\CRLs
HKCU\Software\Microsoft\SystemCertificates\CA\CTLs
HKCU\Software\Policies\Microsoft\SystemCertificates
HKLM\Software\Microsoft\EnterpriseCertificates\Disallowed
wscript.exe
RegCreateKey
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs
TCP Connect 104.81.60.32:80
TCP Receive 104.81.60.32:80
C:\Users\victim\AppData\Roaming\Microsoft\Windows\Cookies\wordTemplate.vbs
CreateFile
C:\Users\victim\AppData\Local\Temp\LOJkdxjDhQANoxu
RegSetValue
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
Modyfikuje ustawienia proxy
Load Image
C:\Windows\System32\expand.exe
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs
"C:\Windows\System32\expand.exe" C:\Users\victim\AppData\Local\Temp\LOJkdxjDhQANoxu -F:* C:\Users\victim\AppData\Local\Temp\iSatSrv.exe
expand.exe
CreateFile
C:\Users\victim\AppData\Local\Temp\$dpx$.tmp
expand.exe
CreateFile
C:\Users\victim\AppData\Local\Temp\$dpx$.tmp\e445b37c19554043a5d07fd99aef9a28.tmp
Pliki wykonywalne zostały usunięte lub nadpisane
"C:\Windows\System32\expand.exe" C:\Users\victim\AppData\Local\Temp\LOJkdxjDhQANoxu -F:* C:\Users\victim\AppData\Local\Temp\iSatSrv.exe
expand.exe
WriteFile
C:\Users\victim\AppData\Local\Temp\$dpx$.tmp\e445b37c19554043a5d07fd99aef9a28.tmp SUCCESS
wscript.exe
Load Image
C:\Windows\System32\wbem\WMIC.exe
Używa WMIC.EXE do utworzenia nowego procesu.
Instrumentacja zarządzania Windows (WMI) to funkcja administracyjna systemu Windows, która zapewnia jednolite środowisko lokalnego i zdalnego dostępu do składników systemu Windows. Opiera się na usłudze WMI dla dostępu lokalnego i zdalnego oraz bloku komunikatów serwera (SMB)
WMIC.exe
RegCreateKey
HKLM\Software\Microsoft\WBEM\CIMOM
"C:\Windows\System32\wbem\WMIC.exe" process call create "schtasks.exe /Create /Sc MINUTE /MO 2 /TN \"\Microsoft Driver Management Service\" /TR \"C:\Users\victim\AppData\Local\Temp\iSatSrv.exe"
Ładuje interfejs COM API Task Scheduler
(Narzędzia, takie jak at i schtasks , wraz z Harmonogramem zadań systemu Windows, mogą być używane do planowania programów lub skryptów do wykonania w określonym czasie).
Odpowiedzialna biblioteka C:\Windows\System32\taskschd.dll
Load Image
C:\Windows\System32\taskeng.exe
taskeng.exe {677D064B-7B63-4469-BB1C-4AE962C36FAE} S-1-5-21-3463664321-2923530833-3546627382-1001:IE8Win7\victim:Interactive:LUA[1]
RegCreateKey
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Configuration
taskeng.exe {677D064B-7B63-4469-BB1C-4AE962C36FAE} S-1-5-21-3463664321-2923530833-3546627382-1001:IE8Win7\victim:Interactive:LUA[1]
taskeng.exe
RegSetValue
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Handshake\{677D064B-7B63-4469-BB1C-4AE962C36FAE}\data SUCCESS
taskeng.exe {677D064B-7B63-4469-BB1C-4AE962C36FAE} S-1-5-21-3463664321-2923530833-3546627382-1001:IE8Win7\victim:Interactive:LUA[1]
Połączenia:
iSatSrv.exe
Load Image
C:\Windows\System32\mswsock.dll
C:\Windows\System32\WSHTCPIP.DLL
TCP Connect 192.241.217.57:80
192.241.217.57:443
TCP Receive 192.241.217.57:80
192.241.217.57:443
Otwiera MountPointManager (często używany do wykrywania dodatkowych lokalizacji infekcji)
Analiza AVAST:
[Aby zobaczyć linki, zarejestruj się tutaj]