Shamoon DistTrack

Overview

Very first attacks had been seen back in 2012 to Saudi Aramco. By the end of the 2016 and start of 2017 more than 15 government agencies and organizations have been hit with Shamoon 2. If one of your employees opened malicious spear phishing document and if you are in Saudi Arabia, you should be aware of DistTrack malware within your network as it is highly destructive.

Recommandations

The following is guidance for detecting or preventing DistTrack malware within your . Please note that performing any of these actions might have a negative effect on your business and should not be implemented without proper review and study of the impact of the environment


  • Monitor for Remote Registry service starts.
  • Monitor any events in the SIEM that show dates in between 1 and 20 of August 2012.
  • Monitor system time change events back to 2012
  • Monitor scheduled jobs and system32 file changes
  • Prevent and limit access to SMB shares
  • Prevent or throttle client to client communication
  • Change credentials of all privileged accounts, make sure that local Administrative passwords are unique

Indicators of Compromise

  1. Attackers send a spear phishing email to employees at the target organization. The email contains a Microsoft Office document as an attachment.
  2. Opening the attachment from the email triggers PowerShell and enables command line access to the compromised machine.
  3. Attackers can now communicate with the compromised machine and remotely execute commands on it.
  4. The attackers escalate privileges and their access to deploy additional tools and malware to other endpoints.
  5. Attackers study the network by connecting to additional systems and locating critical servers.
  6. The attackers deploy the Shamoon (DistTrack) malware.
  7. A coordinated Shamoon (DistTrack) outbreak begins and computer hard drives across the organization are permanently wiped.


When the worm is executed, it copies itself to the following network shares:
\ADMIN$
\C$\\WINDOWS
\D$\\WINDOWS
\E$\\WINDOWS

Dropper

Path: %SYSTEMROOT%\System32
File name:
trksvr.exe
ntssrvr32.exe
ntssrvr64.exe
ntssrvr32.bat
gpget.exe
key8854321.pub

Reporter

Path: %SYSTEMROOT%\System32
File name: netinit.exe

Wiper

Path: %SYSTEMROOT%\System32
File name:
caclsrv, certutl, clean, ctrl, dfrag, dnslookup, dvdquery, event, extract, findfile, fsutl, gpget, iissrv, ipsecure, msinit, ntx, ntdsutl, ntfrsutil, ntnw, power, rdsadmin, regsys, routeman, rrasrv, sacses, sfmsc, sigver, smbinit, wcscript

Driver

The file is digitally signed by “EldoS Corporation"
File name: drdisk.sys
Path: %SYSTEMROOT%\System32\Drivers

Affected Platforms
Any Windows installed machine with credentials stolen.

References

https://www.symantec.com/security_response/writeup.jsp?docid=2012-081608-0202-99&tabid=2
http://www.2-viruses.com/remove-shamoon-malware
https://securityintelligence.com/the-full-shamoon-how-the-devastating-malware-was-inserted-into-networks/
https://www.fireeye.com/blog/threat-research/2016/11/fireeye_respondsto.html



DETECTION WITH CRYPTOSIM
CSIM-ID: 663426
Title: DistTrack(Shamoon)
Description: Detects DistTrack malware
Author: bilkobe
Reference:
Date: 12.02.2017
Logsource:
    Type: firewall
    Type: webserver
    Product: windows
    Service: security
    Description: 'Requirements: Audit Policy : Detailed Tracking > Audit Process creation'
Detection:
    Timeframe: 120 sn
    Keywords:
        - 'DistTrack'
- 'Shamoon'
    Filter:
    Selection1:
# Remote Registery service changed from disabled
        # Requires Windows System Logs
        EventID: 7040
param4:
   - 'RemoteRegistry'
        param2:
            - 'disabled'
    Selection2:
        # Requires group policy 'Audit Process Creation'
        EventID: 4688
NewProcessName:
   - '*\System32\trksvr.exe'
   - '*\System32\ntssrvr32.exe'
   - '*\System32\ntssrvr64.exe'
   - '*\System32\ntssrvr32.bat'
   - '*\System32\netinit.exe'
    Selection3:
        # Requires Windows Security Logs
        EventID: 4616
NewTime:
   - "2012-08-*
    Condition: selection1 or selection2 or Selection3

Tarık KOBALAS
Chief Technology Officer

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,...
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is...
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değer...
Devamını okuyun