Атаки на критическую ИТ инфраструктуру Украины:
В результате проведения компьютерно-технических исследований, также был выявлен некоторый инструментарий, применяемый злоумышленниками в процессе осуществления атаки, а именно:
hxxps://5.9.32.230/Microsoft/Update/KS1945777.php
hxxps://31.210.111.154/Microsoft/Update/KS081274.php
hxxps://88.198.25.92/fHKfvEhleQ/maincraft/derstatus.php
hxxps://31.210.111.154/Microsoft/Update/KS081274.php
hxxps://146.0.74.7/l7vogLG/BVZ99/rt170v/solocVI/eegL7p.php
hxxps://188.40.8.72/l7vogLG/BVZ99/rt170v/solocVI/eegL7p.php
hxxps://5.149.254.114/Microsoft/Update/KC074913.php
hxxps://148.251.82.21/Microsoft/Update/KS4567890.php
Будет не лишним проверить наличие определенных файлов, содержащих в зашифрованном виде плагины BlackEnergy2:
%WINDIR%\system32\drivers\ieapflrt.dat
Больше индикаторов вы можете почерпнуть тут [17] и тут [18].
- reDuh – для туннелирования TCP через HTTP-запросы, бэкдор; позволяет получать доступ ко внутренним объектам сети извне [10].
- weevely3 – веб-шелл для командной строки, бэкдор; позволяет получать доступ ко внутренним объектам сети извне [11].
- dropbear – специальная версия SSH-сервера; открывает сокет и позволяет подключаться удаленно с использованием «вшитого» пароля или ключа, бэкдор [12].
- DSEFix – для загрузки неподписанных драйверов в обход существующих механизмов защиты ОС [12].
Не пренебречь возможностью и проверить лог-файлы и информационные потоки на предмет наличия/отсутствия в них свидетельств сетевого взаимодействия с использованием указанных индикаторов:
hxxps://5.9.32.230/Microsoft/Update/KS1945777.php
hxxps://31.210.111.154/Microsoft/Update/KS081274.php
hxxps://88.198.25.92/fHKfvEhleQ/maincraft/derstatus.php
hxxps://31.210.111.154/Microsoft/Update/KS081274.php
hxxps://146.0.74.7/l7vogLG/BVZ99/rt170v/solocVI/eegL7p.php
hxxps://188.40.8.72/l7vogLG/BVZ99/rt170v/solocVI/eegL7p.php
hxxps://5.149.254.114/Microsoft/Update/KC074913.php
hxxps://148.251.82.21/Microsoft/Update/KS4567890.php
Будет не лишним проверить наличие определенных файлов, содержащих в зашифрованном виде плагины BlackEnergy2:
%WINDIR%\system32\drivers\ieapflrt.dat
Больше индикаторов вы можете почерпнуть тут [17] и тут [18].
Использованные материалы:
[1] http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015-attacks-ukrainian-news-media-electric-industry/
[2] http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/
[3] http://habrahabr.ru/company/eset/blog/274469/
[4] http://www.forbes.com/sites/thomasbrewster/2016/01/04/ukraine-power-out-cyber-attack/
[5]http://www.theregister.co.uk/2016/01/04/blackenergy_drains_files_from_ukraine_media_energy_organisations/
[6] http://www.reuters.com/article/us-ukraine-crisis-malware-idUSKBN0UI23S20160104
[7] http://www.oe.if.ua/showarticle.php?id=3413
[8] http://www.isightpartners.com/2014/10/cve-2014-4114/
[9] http://habrahabr.ru/company/eset/blog/240345/
[10] https://github.com/sensepost/reDuh
[11] https://github.com/epinna/weevely3
[12] https://matt.ucc.asn.au/dropbear/dropbear.html
[13] https://github.com/hfiref0x/DSEFix
[14] http://lb.ua/news/2016/01/05/325082_eset_hakeri_zarazili_ukrainskie.html
[15] https://golospravdy.com/xakery-vzlomali-vse-sajty-mediagruppy-inter/
[16] http://www.koe.vsei.ua/koe/index.php?page=50&novost=208
[17] https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/
[18] https://www.youtube.com/watch?v=I77CGqQvPE4
[2] http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/
[3] http://habrahabr.ru/company/eset/blog/274469/
[4] http://www.forbes.com/sites/thomasbrewster/2016/01/04/ukraine-power-out-cyber-attack/
[5]http://www.theregister.co.uk/2016/01/04/blackenergy_drains_files_from_ukraine_media_energy_organisations/
[6] http://www.reuters.com/article/us-ukraine-crisis-malware-idUSKBN0UI23S20160104
[7] http://www.oe.if.ua/showarticle.php?id=3413
[8] http://www.isightpartners.com/2014/10/cve-2014-4114/
[9] http://habrahabr.ru/company/eset/blog/240345/
[10] https://github.com/sensepost/reDuh
[11] https://github.com/epinna/weevely3
[12] https://matt.ucc.asn.au/dropbear/dropbear.html
[13] https://github.com/hfiref0x/DSEFix
[14] http://lb.ua/news/2016/01/05/325082_eset_hakeri_zarazili_ukrainskie.html
[15] https://golospravdy.com/xakery-vzlomali-vse-sajty-mediagruppy-inter/
[16] http://www.koe.vsei.ua/koe/index.php?page=50&novost=208
[17] https://securelist.com/blog/research/67353/be2-custom-plugins-router-abuse-and-target-profiles/
[18] https://www.youtube.com/watch?v=I77CGqQvPE4
