Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - Sårbarhet, smb, Windows, malware, powershell

Angrepp av skadlig kod för windowssystem upptäckt

CERT-SE har nyligen fått kännedom om en ny variant av skadlig kod kallad bland annat Trojan Powershell. Vi uppmanar de som sett koden i sitt nätverk att höra av sig till oss.

Vad har hänt?

Ett skript kallat Trojan Powershell infekterar Windows-system. I mitten av förra veckan började vissa antivirusprodukter känna igen signaturen och blockera infektionen. Vid denna artikels skrivande känner ytterligare ett antal tillverkare igen infektionen[1]. Bara vissa antivirusprodukter kan dock rensa bort infektionen, och inte ens de med säkerhet.

Den initiala infektionsvektorn är ännu inte känd. Det är i dagsläget heller inte klarlagt vad det slutgiltiga målet med angreppet är.

Powershell-skripet, som kan men inte behöver heta cred.ps1, innehåller sannolikt Mimikatz-funktionalitet för att extrahera lösenord och lösenordshashar ur minnet samt en downloader. Det ger funktionalitet för att sprida sig genom det lokala nätverket, att försöka knäcka lösenord samt att ladda nya moduler av kod. Smittade datorer kommer att försöka knäcka lösenord genom en råstyrkeattack mot Active Directory.

Det är viktigt att tillgängliga säkerhetsuppdateringar från Microsoft installeras. Uppdateringarna från mars 2019[2] ser ut att stoppa infektionen varför dessa bör installeras omgående. Att uppdatera är det enskilt bästa sättet att skydda sig mot infektion.

Preventiva skyddsåtgärder för liknande hot

  • Säkerställ att processen för säkerhetsuppdateringar fungerar både
    för operativsystem och övrig mjukvara.
  • Installera säkerhetsuppdateringar för Windows och se till att
    uppdateringen MS17-010[3] är tillagd i alla system.
  • Stäng av SMBv1.
  • Tillåt inte åtkomst via SMB-protokollet direkt från internet, dvs
    stäng i brandväggar för 445/tcp, både ingress och egress.
    Även 139/tcp kan vara värt att stänga då det finns indikationer på
    att även denna utnyttjas.
    Använd istället VPN-anslutning för åtkomst till sådana tjänster.
  • Säkerställ att ni har fungerade säkerhetskopierings- och
    återställningsrutiner genom att öva dessa.
  • Segmentera nätet. Genom att inte tillåta klienter att kommunicera
    med andra klienter så minimeras skadeverkningarna.
  • Använd långa och komplexa lösenord för konton i AD.

Detektion

  • Ett skript med hashsumma som i stycket indikatorer nedan finns i systemet. Det kan, men behöver inte, heta cred.ps1. Skriptet kan läggas till i schemaläggaren (task scheduler).
  • Flera händelser i säkerhetsloggen med id 4625 mot kontot Administrator.
  • Nätverkstrafik mot beahh[.]com / 27.102.107[.]137
  • Nätverkstrafik mot hxxps://api.ipify[.]org / (molntjänst)

Indikatorer

Uppdatering: Listan av indikatorer växer varför vi väljer att publicera en länk till Hybrid Analysis[4] istället.

Ytterligare läsning

[1] https://www.virustotal.com/#/file/7c402add8feffadc6f07881d201cb21bc4b39df98709917949533f6febd53b6e/detection
[2] https://www.cert.se/2019/03/microsofts-manatliga-sakerhetsuppdateringar-for-mars-2019
[3] https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010
[4] https://www.hybrid-analysis.com/sample/7c402add8feffadc6f07881d201cb21bc4b39df98709917949533f6febd53b6e/5c8aa6460388384e7a329922