13.01.2016

Киберугроза BlackEnergy2/3 [Атаки на ТИ инф-ру Украины]

Атаки на критическую ИТ инфраструктуру Украины:

В результате проведения компьютерно-технических исследований, также был выявлен некоторый инструментарий, применяемый злоумышленниками в процессе осуществления атаки, а именно:

  • reDuh – для туннелирования TCP через HTTP-запросы, бэкдор; позволяет получать доступ ко внутренним объектам сети извне [10].
  • weevely3 – веб-шелл для командной строки, бэкдор; позволяет получать доступ ко внутренним объектам сети извне [11].
  • dropbear – специальная версия SSH-сервера; открывает сокет и позволяет подключаться удаленно с использованием «вшитого» пароля или ключа, бэкдор [12].
  • DSEFix – для загрузки неподписанных драйверов в обход существующих механизмов защиты ОС [12].

Не пренебречь возможностью и проверить лог-файлы и информационные потоки на предмет наличия/отсутствия в них свидетельств сетевого взаимодействия с использованием указанных индикаторов:

hxxps://5.9.32.230/Microsoft/Update/KS1945777.php
hxxps://31.210.111.154/Microsoft/Update/KS081274.php
hxxps://88.198.25.92/fHKfvEhleQ/maincraft/derstatus.php
hxxps://31.210.111.154/Microsoft/Update/KS081274.php
hxxps://146.0.74.7/l7vogLG/BVZ99/rt170v/solocVI/eegL7p.php
hxxps://188.40.8.72/l7vogLG/BVZ99/rt170v/solocVI/eegL7p.php
hxxps://5.149.254.114/Microsoft/Update/KC074913.php
hxxps://148.251.82.21/Microsoft/Update/KS4567890.php

Будет не лишним проверить наличие определенных файлов, содержащих в зашифрованном виде плагины BlackEnergy2:

%WINDIR%\system32\drivers\ieapflrt.dat

Больше индикаторов вы можете почерпнуть тут [17] и тут [18].

Использованные материалы:

[1] http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/
[2] http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/
[3] http://habrahabr.ru/company/eset/blog/274469/
[4] http://www.forbes.com/sites/thomasbrewster/2016/01/04/ukraine-power-out-cyber-attack/
[5]http://www.theregister.co.uk/2016/01/04/blackenergy_drains_files_from_ukraine_media_energy_organisations/
[6] http://www.reuters.com/article/us-ukraine-crisis-malware-idUSKBN0UI23S20160104
[7] http://www.oe.if.ua/showarticle.php?id=3413
[8] http://www.isightpartners.com/2014/10/cve-2014-4114/
[9] http://habrahabr.ru/company/eset/blog/240345/
[10] https://github.com/sensepost/reDuh
[11] https://github.com/epinna/weevely3
[12] https://matt.ucc.asn.au/dropbear/dropbear.html
[13] https://github.com/hfiref0x/DSEFix
[14] http://lb.ua/news/2016/01/05/325082_eset_hakeri_zarazili_ukrainskie.html
[15] https://golospravdy.com/xakery-vzlomali-vse-sajty-mediagruppy-inter/
[16] http://www.koe.vsei.ua/koe/index.php?page=50&novost=208
[17] https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/
[18] https://www.youtube.com/watch?v=I77CGqQvPE4

11.01.2016

Generate Meterpreter payloads via msfvenom [FAST] Быстрый способ создания полезной нагрузки

A quick way to generate various "basic" Meterpreter payloads via msfvenom 

Install:
Designed for Kali Linux v2.x & Metasploit v4.11+.
Kali v1.x should work.
OSX 10.11+ should work.
Weakerth4n 6+ should work.
...nothing else has been tested.

curl -k -L "https://raw.githubusercontent.com/g0tmi1k/mpc/master/mpc.sh" > /usr/bin/mpc chmod +x /usr/bin/mpc mpc

GlassRAT [Dropper, dllinjection]

Схема заражения GlassRAT:


Можно сам сервер как dll сделать, а запускать его через дроп. тк палива меньше.
при запуске дропа, из ресурсов выдергивается dll'ка и передается управление dll'шке, а она уже инфецирует систему и пишется в автозагрузку, и антивирус в отсосе.

Viper is a binary analysis and management framework.

Viper - анализатор бинарников.

Winpayloads - Undetectable Windows Payload Generation [необнаружимая полезная нагрузка под Windows ]


git clone https://github.com/Charliedean/Winpayloads
cd WinPayloads 
sudo ./setup.sh python WinPayloads.py

[1] Windows Reverse Shell(Stageless) [Shellter]
[2] Windows Reverse Meterpreter(Staged) [Shellter, UacBypass, Priv Esc Checks, Persistence] 
[3] Windows Bind Meterpreter(Staged) [Shellter, UacBypass, Priv Esc Checks, Persistence] 
[4] Windows Reverse Meterpreter(Raw Shellcode) [Base64 Encode]

База APT атак [APT & CyberCriminal Campaign Collection]

2006-2016

I collect data from kbandla and other reseearchers.
Please let me know if I lost some interesting APT or Malware campaigns.

[Reverse Engineering] шпаргалка, анализ малвари