По итогу в общем false positive.Потому что правило 2021243 и его содержимое content:"tttttttt" встречается в легитимном smb трафике.По остальным ioc тишина.Осознание наличие угрозы такого уровня доставило немало приятных минут, добавило мыслей о своей никчёмности по такого рода вопросам, отсутствию практики и ещё много чего.Касательно правила для apt оно должно быть скорее всего более сложным, с несколькими условиями, либо алертить по совпадению нескольких правил(интересно, а snort могёт?).Для того, чтобы не искать несуществующую чёрную кошку в тёмной комнате.
Картинка очень интересная на обложке этого отчёта.Вроде бы два лица, две маски.Она мне напоминает нечто среднее между обложками альбомов Marlyn Manson и фильмов The Thing(1982/2011)Там где, Нечто срослось с человеком и получились две головы с одним большим ртом.Как никак фильм детства, пугавший до усрачки.Посему эпиграф ниже:
Мак:Блэр?Блэр?!Ты не видел Фукса?
Блэр:Я не хочу здесь больше сидеть.Я хочу вернуться.(Пауза)
Смешные вещи.Я слышу снаружи смешные вещи.
Мак:Фукс не появлялся?
Блэр:Это не Фукс.(Пауза)Это не Фукс.(Пауза)Я никому не причиню вреда.Со мной всё в порядке.Я никому не причиню вреда.Я хочу вернуться к вам.Слово даю.
Мак:Посмотрим.
The Thing(1982) Timing 1:07:32-1:08:08
Одну из объёмных мыслей мозга в последние дни занимала новость понятно какая.За плечами PHD/ZN c присутствием на докладах от ключевых лиц ЛК по работе с APT и даже мои некоторые вопросы к ним.Как щас помню ZN 2013 Виталий Камлюк рассказывает о Icefog.Много дум, о том как парням трудно.Все(почти) их хейтерят.Все эти темы про антивирусные лаборатории сами пишут вирусы.Да и особенно интересно наблюдать за перепостами официальных новостей о данной APT компании.Каждый да что-нибудь перефразирует, да подаст не в том свете.В тему кстати:
Ну и чтобы не быть голословный, и не затягивать.Увиденное сегодня днём на работе.
Полистывая Squert:
Пофильтровывая Snorby:
Боевой троян Duqu 2.0?Совпадение?Не думаю.
Я сначала подумал у меня что-то со зрением хреново стало, что уже такие названия мерещатся, ан нет.
Правила Emerging Threats от 10.06.2015:
189 срабатываний с трёх машин на Windows XP на два сервера по правилу 2021243.
alert tcp any any -> any [139,445] (msg:"ET TROJAN Possible Duqu 2.0 Accessing SMB/SMB2 backdoor"; flow:to_server,established; content:"SMB"; offset:5; depth:3; content:"tttttttt"; nocase; distance:0; fast_pattern; reference:url,securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/; classtype:trojan-activity; sid:2021243; rev:1;)
Отчёт по Duqu 2.0 я читал по диагонали, запомнив что-то про оперативную память, но после выше увиденного, распечатал(плохо что нет на русском) и прочитал от корки до корки.
Проверил компьютеры с которых были обращения.Как бы говорить о том, что антивирус установлен и функционирует излишне.
Сдампил память с двух компьютеров и одного сервера, но ещё не разбирал что там.
Проверил сервера на которые были обращения.
Сделал мониторинг трафика по условиям правил выше на сервер на который было больше всего запросов.
Подкрутил файрволл по тем же правилам выше.
Ранее, как только прошёл алерт о компании, смотрел не проскакивало ли в логах обращение на
командные сервера:
182.253.220.29
186.226.56.103
но в логах было чисто.После публикации скорей всего как это бывает оперативно выведены из эксплуатации.
Возможно false positive, но перестраховаться не помешает.Sophisticated, State Sponsored как бы.Чё как там дальше по ситуации напишу.
Комментариев нет:
Отправить комментарий