Paczki, malware, złośliwe pliki, linki itp.
KIS Tongue
Odpowiedz
Rietspoof

Nowe cyberzagrożenie, które łączy formaty plików, aby stworzyć bardziej wszechstronny złośliwy program. Zagrożenie jest rozpowszechniane wśród ofiar za pośrednictwem komunikatorów internetowych, takich jak Facebook Messenger i Skype.

Główną rolą Rietspoof jest infekowanie ofiar, utrzymywanie trwałości na zainfekowanych hostach, a następnie pobieranie innych złośliwych odmian - zależnie od zamówień, które otrzymuje z centralnego serwera sterowania i kontroli (C & C).

Dokument .doc a w nim makro które po otwarciu się wykona.
Treść widoczna jedynie dla zarejestrowanych użytkowników


Jeśli ktoś zamierza się pobawić to zalecam użycie Office 2010 i Windows 7 32bity

Wyodrębnione makro:

[Aby zobaczyć linki, zarejestruj się tutaj]



[Obrazek: INXnFTI.png]

Jakieś tam moje wypociny:

CreateFile
C:\Users\victim\AppData\Roaming\Microsoft\Windows\Cookies\wordTemplate.vbs


wscript.exe
RegCreateKey
HKLM\Software\Microsoft\Windows Script Host\Settings SUCCESS
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs
Następuje wykonanie skryptu

wscript.exe
RegCreateKey
HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing SUCCESS
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs

wscript.exe
RegSetValue
HKCU\Software\Classes\Local Settings\MuiCache\2F\52C64B7E\LanguageList SUCCESS
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs

wscript.exe
RegCreateKey SUCCESS
HKCU\Software\Microsoft\SystemCertificates\My
HKCU\Software\Microsoft\SystemCertificates\CA
HKCU\Software\Microsoft\SystemCertificates\CA\CRLs
HKCU\Software\Microsoft\SystemCertificates\CA\CTLs
HKCU\Software\Policies\Microsoft\SystemCertificates
HKLM\Software\Microsoft\EnterpriseCertificates\Disallowed

wscript.exe
RegCreateKey
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs

TCP Connect 104.81.60.32:80
TCP Receive 104.81.60.32:80

C:\Users\victim\AppData\Roaming\Microsoft\Windows\Cookies\wordTemplate.vbs

CreateFile
C:\Users\victim\AppData\Local\Temp\LOJkdxjDhQANoxu

RegSetValue
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
Modyfikuje ustawienia proxy

Load Image
C:\Windows\System32\expand.exe
wscript.exe "c:\users\victim\appdata\roaming\microsoft\word\startup\..\..\Windows\Cookies\wordTemplate.vbs
"C:\Windows\System32\expand.exe" C:\Users\victim\AppData\Local\Temp\LOJkdxjDhQANoxu -F:* C:\Users\victim\AppData\Local\Temp\iSatSrv.exe

expand.exe
CreateFile
C:\Users\victim\AppData\Local\Temp\$dpx$.tmp
expand.exe
CreateFile
C:\Users\victim\AppData\Local\Temp\$dpx$.tmp\e445b37c19554043a5d07fd99aef9a28.tmp
Pliki wykonywalne zostały usunięte lub nadpisane


"C:\Windows\System32\expand.exe" C:\Users\victim\AppData\Local\Temp\LOJkdxjDhQANoxu -F:* C:\Users\victim\AppData\Local\Temp\iSatSrv.exe

expand.exe
WriteFile
C:\Users\victim\AppData\Local\Temp\$dpx$.tmp\e445b37c19554043a5d07fd99aef9a28.tmp SUCCESS

wscript.exe
Load Image
C:\Windows\System32\wbem\WMIC.exe
Używa WMIC.EXE do utworzenia nowego procesu.
Instrumentacja zarządzania Windows (WMI) to funkcja administracyjna systemu Windows, która zapewnia jednolite środowisko lokalnego i zdalnego dostępu do składników systemu Windows. Opiera się na usłudze WMI dla dostępu lokalnego i zdalnego oraz bloku komunikatów serwera (SMB)


WMIC.exe
RegCreateKey
HKLM\Software\Microsoft\WBEM\CIMOM
"C:\Windows\System32\wbem\WMIC.exe" process call create "schtasks.exe /Create /Sc MINUTE /MO 2 /TN \"\Microsoft Driver Management Service\" /TR \"C:\Users\victim\AppData\Local\Temp\iSatSrv.exe"
Ładuje interfejs COM API Task Scheduler
(Narzędzia, takie jak at i schtasks , wraz z Harmonogramem zadań systemu Windows, mogą być używane do planowania programów lub skryptów do wykonania w określonym czasie).
Odpowiedzialna biblioteka  C:\Windows\System32\taskschd.dll


Load Image
C:\Windows\System32\taskeng.exe
taskeng.exe {677D064B-7B63-4469-BB1C-4AE962C36FAE} S-1-5-21-3463664321-2923530833-3546627382-1001:IE8Win7\victim:Interactive:LUA[1]

RegCreateKey
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Configuration
taskeng.exe {677D064B-7B63-4469-BB1C-4AE962C36FAE} S-1-5-21-3463664321-2923530833-3546627382-1001:IE8Win7\victim:Interactive:LUA[1]

taskeng.exe
RegSetValue
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Handshake\{677D064B-7B63-4469-BB1C-4AE962C36FAE}\data SUCCESS
taskeng.exe {677D064B-7B63-4469-BB1C-4AE962C36FAE} S-1-5-21-3463664321-2923530833-3546627382-1001:IE8Win7\victim:Interactive:LUA[1]

Połączenia:
iSatSrv.exe
Load Image
C:\Windows\System32\mswsock.dll
C:\Windows\System32\WSHTCPIP.DLL
TCP Connect 192.241.217.57:80
           192.241.217.57:443
TCP Receive 192.241.217.57:80
           192.241.217.57:443


Otwiera MountPointManager (często używany do wykrywania dodatkowych lokalizacji infekcji)

Analiza AVAST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
Hmm, jeśli się nie mylę to chyba Avlab o tym pisał, że to produkt Koreańczyków na Rosiję.
Odpowiedz
SAP: Avira wykrywa / APEX Śpi
Chmura: Avira / ESET wykrywa
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
Kaspersky wykrywa
MD + WHHL
Odpowiedz
MKS_VIR\Arcabit Wykrywa
Post sprawdzony przez  MKS_VIR


Odpowiedz
(20.02.2019, 01:51)rogacz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Hmm, jeśli się nie mylę to chyba Avlab o tym pisał, że to produkt Koreańczyków na Rosiję.

To nie jest to zagrożenie.

Tak na marginesie, ciekawym tez zagrożeniem wydaje się być Trojan Astaroth, który wykorzystuje oprogramowanie antywirusowe do kradzieży danych.
Odpowiedz
Avast Premier wykrywa.
Odpowiedz
Czy ktoś z Was posiada zarażony plik z niby fakturą T-Mobile ?.

[Aby zobaczyć linki, zarejestruj się tutaj]

MD + WHHL
Odpowiedz
(22.02.2019, 16:45)moriattipl napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Czy ktoś z Was posiada zarażony plik z niby fakturą T-Mobile ?.

?

Ten .VBS wypakowany z RAR to Trojan Downloader, pobiera zaciemnione skrypty w base64 i wykonuje za pomocą powershell, ładowność to trojan Bankowy Danabot
Odpowiedz
Witam

Żeby było jasne, to zagrożenie:

[Aby zobaczyć linki, zarejestruj się tutaj]

to jest to samo co powyżej, tyle że tam było RAR tu jest TAR
Odpowiedz
Podpisana próbka SmokeLoader

Treść widoczna jedynie dla zarejestrowanych użytkowników


Orcus RAT

Treść widoczna jedynie dla zarejestrowanych użytkowników


Atak wykorzystuje wiele zaawansowanych technik unikowych, by ominąć narzędzia bezpieczeństwa. Po skutecznym ataku, Orcus RAT może wykraść pliki cookie i hasła przeglądarki, uzyskać zdalny dostęp do mikrofonu, kamery jak i monitorować naciśnięcia klawiszy na klawiaturze.
Odpowiedz
Avast Premier wykrywa po rozpakowaniu.
Odpowiedz
O i takie perełki lubie Smile

SAP: Avira i APEX wykrywa zaraz po rozpakowaniu
SAP: Chmura: AVG APEX ESET AVIRA
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
Bitdefender Total Security połknął to migiem Cool
Odpowiedz
Putin wykosił wszystkie pliki
Odpowiedz
Kolejna podpisana próbka Ursnif

Treść widoczna jedynie dla zarejestrowanych użytkowników


Łączy się przez Internet Explorer
Odpowiedz
Kaspersky dziś przechwycił
Odpowiedz
Arcabit\MKS Blokował od dnia publikacji Ursnifa
Post sprawdzony przez  MKS_VIR


Odpowiedz
Qakbot - podpisany cyfrowo

Treść widoczna jedynie dla zarejestrowanych użytkowników
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 10 gości