SOC Prime Bias: Критичний

16 Січ 2026 16:25
newspaper icon Malwarebytes

Як справжні завантаження програм можуть приховувати віддалені бекдори

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Як справжні завантаження програм можуть приховувати віддалені бекдори
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Зловмисники використовують сайт для завантаження RustDesk, що імітує оригінал (rustdesk.work), який доставляє троянську уставку: легітимна установка RustDesk укомплектована шкідливим завантажувачем, який названо Winos4.0. При виконанні цей дроппер встановлює logger.exe and Libserver.exe, а потім завантажує бекдор в пам’ять щоб зменшити артефакти на диску. Імплант встановлює командно-контрольний зв’язок до 207.56.13.76 через TCP/5666, що забезпечує постійний віддалений доступ. Ця активність обумовлена соціальною інженерією та імітацією бренду, а не вразливістю програмного забезпечення RustDesk.

Розслідування

Аналітики отримали шкідливий бінарний файл rustdesk-1.4.4-x86_64.exe та спостерігали, як він записує легітимний встановлювач RustDesk плюс озброєний logger.exe на диск. Цей logger.exe компонент породжує Libserver.exe, який потім організує WinosStager DLL-ки та велике навантаження в пам’яті без збереження цих модулів на диск. Телеметрія мережі підтвердила вихідні комунікації до 207.56.13.76:5666, оцінено як канал К2 кампанії. Дослідники витягнули ключові IOC, включаючи сфабрикований домен (rustdesk.work), імена файлів, що залишаються, та пов’язані хеша файлів.

Пом’якшення

Настройте практику перевіреного отримання програмного забезпечення та завантажуйте RustDesk лише з офіційного джерела (rustdesk.com). Застосовуйте дозволювальний список застосунків (або еквівалентні контролі), щоб запобігти виконанню ненадійних бінарних файлів, зокрема “установчих” файлів з директорій для запису користувачами. Контролюйте і обмежуйте вихідний трафік на TCP/5666, та додайте виявлення/правила блокування для з’єднань з rustdesk.work. Заблокуйте 207.56.13.76 і зловмисний домен через DNS, проксі та файрволи.

Реагування

Створіть виявлення для виконання logger.exe and Libserver.exe, та попереджайте про будь-які мережеві з’єднання з 207.56.13.76:5666. Проактивно шукайте на кінцевих точках троянську установку (і наявні SHA-256 індикатори) та підтвердить, чи RustDesk було встановлено з не затверджених джерел. Якщо компрометація підтверджена, ізолюйте постраждалі хости, зупиніть шкідливий процес, усуньте пов’язані артефакти та змініть потенційно скомпрометовані облікові дані (особливо будь-які облікові записи, використані під час встановлення або подальших віддалених сеансів).

“graph TB %% Визначення класів classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ffdd99 classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Вузли action_initial_access[“<b>Дія</b> – Первісний доступ<br /><b>Техніка</b>: T1204 Виконання користувачем”] class action_initial_access action tech_user_execution[“<b>Техніка</b> – T1204 Виконання користувачем<br />Жертва запускає шкідливий контент”] class tech_user_execution technique tech_malicious_link[“<b>Техніка</b> – T1204.001 Шкідливе посилання<br />Посилання веде до завантаження шкідливого встановлювача”] class tech_malicious_link technique tech_trojanized_installer[“<b>Техніка</b> – T1204.002 Троянський встановлювач<br />Встановлювач виглядає легітимно, але містить шкідливий вантаж”] class tech_trojanized_installer technique malware_logger_exe[“<b>Шкідливе ПЗ</b> – logger.exe<br />Записує введення і виконує привілейовані дії”] class malware_logger_exe malware tech_process_masquerade[“<b>Техніка</b> – T1036.011 Маскування<br />Ім’я процесу підроблено, щоб виглядати легітимно”] class tech_process_masquerade technique tech_argument_spoof[“<b>Техніка</b> – T1564.010 Підробка аргументів<br />Аргументи командного рядка сфальсифіковані”] class tech_argument_spoof technique tech_tls_injection[“<b>Техніка</b> – T1055.005 Ін’єкція Thread Local Storage<br />Код інтегровано через TLS”] class tech_tls_injection technique tech_appcert_dll[“<b>Техніка</b> – T1546.009 Виконання AppCert DLL<br />Використовує DLL для автоматичного виконання”] class tech_appcert_dll technique tech_permission_hijack[“<b>Техніка</b> – T1574.005 Викрадення потоку виконання<br />Експлуатує слабкості дозволів файлу встановлення”] class tech_permission_hijack technique action_defense_evasion[“<b>Дія</b> – Уникнення захисту<br />Кілька технік, щоб уникнути виявлення”] class action_defense_evasion action action_persistence[“<b>Дія</b> – Сталість<br />Встановлює довгостроковий контроль”] class action_persistence action tech_registry_rc[“<b>Техніка</b> – T1037.004 Скрипти Registry RC<br />Запуск скриптів через реєстр”] class tech_registry_rc technique tech_active_setup[“<b>Техніка</b> – T1547.014 Активна установка<br />Автозапуск через Active Setup”] class tech_active_setup technique tech_preos_boot[“<b>Техніка</b> – T1542 Передзавантаження ОС<br />Інтегрується в процес завантаження”] class tech_preos_boot technique action_credential_access[“<b>Дія</b> – Доступ до облікових даних<br />Краде облікові дані користувачів”] class action_credential_access action tech_keylogging[“<b>Техніка</b> – T1056.001 Кійлогінг<br />Записує натискання клавіш”] class tech_keylogging technique tech_credential_dump[“<b>Техніка</b> – T1003 Скидання облікових даних ОС<br />Витягує хеші паролів”] class tech_credential_dump technique action_collection[“<b>Дія</b> – Збори<br />Збирання даних користувача”] class action_collection action tech_screen_capture[“<b>Техніка</b> – T1113 Знімання екрана<br />Робить знімки екрана”] class tech_screen_capture technique tech_video_capture[“<b>Техніка</b> – T1125 Записування відео<br />Записує відео”] class tech_video_capture technique tech_audio_capture[“<b>Техніка</b> – T1123 Запис аудіо<br />Записує аудіо”] class tech_audio_capture technique action_c2[“<b>Дія</b> – Командування та контроль<br />Зв’язування з віддаленим сервером”] class action_c2 action tech_nonstandard_port[“<b>Техніка</b> – T1571 Нестандартний порт<br />Використовує TCP порт 5666”] class tech_nonstandard_port technique tech_ftp_style[“<b>Техніка</b> – T1071.002 Протокол у стилі FTP<br />Кодує трафік як FTP”] class tech_ftp_style technique tech_port_knocking[“<b>Техніка</b> – T1205.001 Постукання по порту<br />Сигнали для C2 через послідовність портів”] class tech_port_knocking technique malware_memory_resident[“<b>Шкідливе ПЗ</b> – Вантаж у пам’яті<br />Завантажується прямо в ОЗП”] class malware_memory_resident malware tech_registry_hide[“<b>Техніка</b> – Прихована конфігурація у реєстрі<br />Зберігає налаштування в реєстрі”] class tech_registry_hide technique %% Зв’язки action_initial_access u002du002d>|використовує| tech_user_execution tech_user_execution u002du002d>|включає| tech_malicious_link tech_user_execution u002du002d>|включає| tech_trojanized_installer tech_malicious_link u002du002d>|постачає| malware_logger_exe tech_trojanized_installer u002du002d>|включає| malware_logger_exe malware_logger_exe u002du002d>|виконує| tech_process_masquerade malware_logger_exe u002du002d>|виконує| tech_argument_spoof malware_logger_exe u002du002d>|інтегрує через| tech_tls_injection malware_logger_exe u002du002d>|використовує| tech_appcert_dll malware_logger_exe u002du002d>|експлуатує| tech_permission_hijack malware_logger_exe u002du002d>|дає змогу| action_defense_evasion action_defense_evasion u002du002d>|встановлює| action_persistence action_persistence u002du002d>|використовує| tech_registry_rc action_persistence u002du002d>|використовує| tech_active_setup action_persistence u002du002d>|використовує| tech_preos_boot action_defense_evasion u002du002d>|дає змогу| action_credential_access action_credential_access u002du002d>|використовує| tech_keylogging action_credential_access u002du002d>|використовує| tech_credential_dump action_defense_evasion u002du002d>|дає змогу| action_collection action_collection u002du002d>|захоплює| tech_screen_capture action_collection u002du002d>|захоплює| tech_video_capture action_collection u002du002d>|захоплює| tech_audio_capture action_defense_evasion u002du002d>|дає змогу| action_c2 action_c2 u002du002d>|зв’язується через| tech_nonstandard_port tech_nonstandard_port u002du002d>|використовує протокол| tech_ftp_style action_c2 u002du002d>|використовує| tech_port_knocking malware_logger_exe u002du002d>|працює в| malware_memory_resident malware_memory_resident u002du002d>|зберігає конфігурацію в| tech_registry_hide “

Потік атак

Виявлення

Файл журналу RustDesk був створений (через file_event)

Команда SOC Prime
15 січня 2026

Переглянути

Можлива активність Командно-Контроль за допомогою програми віддаленого доступу через спробу з’єднання домену (через dns)

Команда SOC Prime
15 січня 2026

Переглянути

Альтернативне програмне забезпечення для віддаленого доступу/управління (через creation процесу)

Команда SOC Prime
15 січня 2026

Переглянути

IOC (SourceIP) для виявлення: Як справжні завантаження програмного забезпечення можуть ховати віддалені бекдори

Правила SOC Prime AI
15 січня 2026

Переглянути

IOC (HashSha256) для виявлення: Як справжні завантаження програмного забезпечення можуть ховати віддалені бекдори

Правила SOC Prime AI
15 січня 2026

Переглянути

IOC (DestinationIP) для виявлення: Як справжні завантаження програмного забезпечення можуть ховати віддалені бекдори

Правила SOC Prime AI
15 січня 2026

Переглянути

Виявлення мережевої активності Winos4.0 через шкідливий сервер командно-контроль [Мережеве з’єднання Windows]

Правила SOC Prime AI
15 січня 2026

Переглянути

Троянський встановлювач RustDesk з бекдором Winos4.0 [Створення процесу у Windows]

Правила SOC Prime AI
15 січня 2026

Переглянути

Виконання симуляції

Передумова: повинен пройти перевірку базових показників попереднього польоту.

Пояснення: Цей розділ деталізує точне виконання техніки супротивника (TTP), розробленої для виклику правила виявлення. Команди та описові частини МАЮТЬ безпосередньо відображати визначені TTP, щоб генерувати саме ту телеметрію, яку очікує логіка виявлення.

  • Опис атаки та команди:

    1. Доставка та виконання: Зловмисник доставляє троянський установник RustDesk (rustdesk-1.4.4-x86_64.exe) через фішингове повідомлення. Файл зберігається до %TEMP% і виконується з підвищеними правами.
    2. Вивантаження навантаження: При виконанні установник викладає два шкідливих бінарних файли —logger.exe and Libserver.exe— у ту ж директорию і негайно запускає їх як дочірні процеси.
    3. Постійність (T1546.016): logger.exe записує запису Run‑key (HKCUSoftwareMicrosoftWindowsCurrentVersionRun) вказуючи на себе, щоб забезпечити постійність після перезавантаження.
    4. Кодовий ін’єкція (T1574.005 / T1055.005): Libserver.exe вводить рефлексивну DLL у explorer.exe щоб отримати виконання з високими привілеями і відкриває зворотну оболонку до К2 зловмисника.
    5. Ухилення (Маскування – T1036.011): Всі бінарні файли зберігають назву “RustDesk”, щоб поєднатися з легітимним програмним забезпеченням.

  • Регресійний тестовий скрипт: Скрипт нижче автоматизує кроки 1-3, створюючи три потрібні події створення процесу. Він використовує PowerShell для копіювання попередньо підготовлених шкідливих бінарних файлів (симулюючи безпечними замінниками для безпеки) та запускає їх із правильними відносинами батько-дитина.

    # -------------------------------------------------
# Скрипт для симуляції – Троянський Встановлювач RustDesk
# -------------------------------------------------
# Передумова: Два добропорядних замінних виконуваних файлів, поміщених у C:Malware (named logger.exe & Libserver.exe)
#   В реальному тесті червоної команди це будуть фактичні шкідливі навантаження.
# -------------------------------------------------

$installerPath = "$env:TEMPrustdesk-1.4.4-x86_64.exe"
$payloadDir    = "$env:TEMPrustdesk_payload"
$loggerPath    = "$payloadDirlogger.exe"
$libserverPath = "$payloadDirLibserver.exe"

# 1. Розгорнути фіктивний встановлювач (просто копія доброзичливого виконуваного файлу)
Write-Host "[*] Розгортання фальшивого встановлення RustDesk..."
New-Item -ItemType Directory -Path $payloadDir -Force | Out-Null
Copy-Item -Path "C:WindowsSystem32notepad.exe" -Destination $installerPath -Force

# 2. Симулюйте вивантаження навантаження – копіюйте замінники бінарних файлів
Write-Host "[*] Вивантаження навантажень..."
Copy-Item -Path "C:Malwarelogger.exe" -Destination $loggerPath -Force
Copy-Item -Path "C:MalwareLibserver.exe" -Destination $libserverPath -Force

# 3. Виконати встановлювач (створює батьківський процес)
Write-Host "[*] Виконання встановлювача..."
$installer = Start-Process -FilePath $installerPath -PassThru

# 4. Запустити logger.exe як дитину встановлювача
Write-Host "[*] Запуск logger.exe (дитина встановлювача)..."
Start-Process -FilePath $loggerPath -ArgumentList "--parent $($installer.Id)" -NoNewWindow

# 5. Запустити Libserver.exe як дитину встановлювача
Write-Host "[*] Запуск Libserver.exe (дитина встановлювача)..."
Start-Process -FilePath $libserverPath -ArgumentList "--parent $($installer.Id)" -NoNewWindow

Write-Host "[+] Симуляція завершена. Перевірте сигнали в SIEM."

  • Команди очищення: Видаліть тимчасові файли і заверште всі залишкові процеси.

    # -------------------------------------------------
# Скрипт очищення – Видалення артефактів симуляції
# -------------------------------------------------
$installerPath = "$env:TEMPrustdesk-1.4.4-x86_64.exe"
$payloadDir    = "$env:TEMPrustdesk_payload"

Write-Host "[*] Зупинка запущених процесів..."
Get-Process -Name "logger","Libserver","rustdesk-1.4.4-x86_64" -ErrorAction SilentlyContinue |
    Stop-Process -Force

Write-Host "[*] Видалення файлів..."
Remove-Item -Path $installerPath -Force -ErrorAction SilentlyContinue
Remove-Item -Recurse -Force -Path $payloadDir -ErrorAction SilentlyContinue

Write-Host "[+] Очищення завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам почати і забезпечити негайну користь, заплануйте зустріч з експертами SOC Prime.

Приєднатися безкоштовно