Внутрішній огляд SafePay: Аналіз нової централізованої групи програм-вимагателів
Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
SafePay – це нещодавно з’явилася операція програми-вимагача, яка працює як жорстко контрольована, центральна група, а не типовий екосистема програми-вимагача як послуга. Актори слідують стратегії подвійного здирництва, інсценуючи конфіденційні дані перед шифруванням та загрожуючи їх публікацією через веб-сайт на основі Tor. Доставка зазвичай включає рідну бібліотеку DLL для Windows, із виконанням та поширенням, підтриманими широко доступними утилітами для життя в межах системи. У спостережуваних випадках хронологія від початку до кінця є агресивною, часто стискаючи початковий доступ через шифрування всієї системи у приблизно 24-годинне вікно.
Розслідування
Дослідники повідомляють, що SafePay часто забезпечує вхід через відкриті облікові записи VPN або RDP із використанням вкрадених або вгаданих облікових даних, а в деяких сценаріях зловживає неправильно налаштованими розгортаннями FortiGate, особливо у середовищах без MFA. Для збереження доступу оператори спостерігалися при розгортанні бекдорів, таких як QDoor, та використанні легального інструментарію віддаленого адміністрування, включаючи ScreenConnect, щоб змішатися з нормальною IT-активністю. Бічний рух зазвичай здійснюється через PsExec та WinRM, тоді як виявлення комп’ютерів та загальних ресурсів підтримується спеціальним утилітом PowerShell (ShareFinder.ps1). Перед шифруванням навантаження виконує «предздирницькі» дії, призначені для максимізації впливу та ускладнення відновлення: вона видаляє тіньові копії, змінює налаштування конфігурації завантаження та завершує жорстко закодований набір процесів та служб, пов’язаних із безпекою.
Мітигація
Вимагайте MFA для всіх шляхів віддаленого доступу та знижуйте ризик в межах фаєрволу шляхом обмеження аутентифікації локальних облікових записів та зменшення адміністративного впливу. Моніторте аномальне використання PsExec, WinRM, regsvr32 та rundll32 – особливо у послідовностях, що відповідають віддаленому виконанню та інсценуванню. Налаштуйте виявлення кінцевих точок, щоб показати завершення звичайного інструментарію безпеки, видалення тіньових копій та зміни налаштувань BCD/завантаження. Зменшуйте можливості виконання шляхом блокування або жорсткого контролю завантаження непідписаних DLL та запровадження політики контролю додатків на кінцевих точках та серверах.
Реакція
Коли виявлені індикатори SafePay, ізолюйте уражені системи негайно, захопіть мінливу пам’ять та збережіть відповідні журнали аутентифікації, кінцевих точок та мережі. Визначте та заблокуйте пов’язану командно-контрольну інфраструктуру, потім завершіть зловмисні процеси та видаліть механізми збереження доступу. Спробуйте заходи відновлення, такі як відновлення тіньових копій, де це можливо, але припускайте, що крадіжка даних могла статися, і перевірте обсяг ексфільтрації. Проведіть повне судово-медичне розслідування, щоб визначити уражені дані та виконайте повідомлення зацікавлених сторін та кроки ескалації, узгоджені з процедурами реагування на подвійне здирництво.
“graph TB %% Class definitions classDef technique fill:#99ccff classDef tool fill:#ffcc99 classDef operator fill:#ff9900 %% Зрозуміло Initial Access tech_valid_accounts[“<b>Техніка</b> – T1078 Дійсні облікові записи<br />Супротивники використовують вкрадені або зламані паролі, щоб увійти в VPN або RDP”] class tech_valid_accounts technique tech_brute_force[“<b>Техніка</b> – T1110 Перебір<br />Відгадування паролів для отримання дійсних облікових даних”] class tech_brute_force technique tool_vpn[“<b>Інструмент</b> – VPN шлюз”] class tool_vpn tool tool_rdp[“<b>Інструмент</b> – Служба RDP”] class tool_rdp tool op_and_access((“І”)) class op_and_access operator %% Виконання tech_regsvr32[“<b>Техніка</b> – T1218.010 Regsvr32<br />Завантаження шкідливого DLL через реєстрацію”] class tech_regsvr32 technique tech_rundll32[“<b>Техніка</b> – T1218.011 Rundll32<br />Виконання коду з DLL”] class tech_rundll32 technique tech_powershell[“<b>Техніка</b> – T1059.001 PowerShell<br />Запуск команд PowerShell після розгортання”] class tech_powershell technique tech_cmd[“<b>Техніка</b> – T1059.003 Промпт команд<br />Виконання інструкцій командного рядка Windows”] class tech_cmd technique op_and_execution((“І”)) class op_and_execution operator %% Стійкість tech_boot_autostart[“<b>Техніка</b> – T1547.010 Виконання автозавантаження на старті або вході<br />DLL зареєстровано з Regsvr32 для стійкості”] class tech_boot_autostart technique tech_appinit[“<b>Техніка</b> – T1546.010 DLL AppInit<br />Завантаження шкідливого DLL при запуску системи”] class tech_appinit technique op_and_persistence((“І”)) class op_and_persistence operator %% Відкриття tech_share_discovery[“<b>Техніка</b> – T1135 Відкриття мережевих спільних ресурсів<br />ShareFinder.ps1 перераховує SMB ресурси”] class tech_share_discovery technique %% Бічний рух tech_psexec[“<b>Техніка</b> – T1021.002 PsExec<br />Виконання команд через SMB адміністративні загальні ресурси”] class tech_psexec technique tech_rdp_lm[“<b>Техніка</b> – T1021.001 Віддалені служби RDP<br />Використання RDP для бічного руху”] class tech_rdp_lm technique tech_deploy_tools[“<b>Техніка</b> – T1072 Інструменти розгортання програмного забезпечення<br />Використання утиліт розгортання для запуску команд на віддалених хостах”] class tech_deploy_tools technique op_and_lateral((“І”)) class op_and_lateral operator %% Ухилення від захисту tech_service_stop[“<b>Техніка</b> – T1489 Зупинка сервісів<br />Зупинка антивірусних або сервісів резервного копіювання”] class tech_service_stop technique tech_inhibit_recovery[“<b>Техніка</b> – T1490 Пригнічення відновлення системи<br />Видаляє VSS знімки та редагує конфігурацію завантаження”] class tech_inhibit_recovery technique tech_cmstp[“<b>Техніка</b> – T1548.002 Обхід UAC через CMSTP<br />Використовує CMSTP для запуску коду з підвищеними правами”] class tech_cmstp technique op_and_evasion((“І”)) class op_and_evasion operator %% Збір та ексфільтрація tech_winrar[“<b>Техніка</b> – T1560.001 Архівація через WinRAR<br />Створює зашифровані архіви .rar з зібраними даними”] class tech_winrar technique tech_lateral_transfer[“<b>Техніка</b> – T1570 Латеральна передача інструментів<br />Переміщення файлів архіву між скомпрометованими хостами”] class tech_lateral_transfer technique tech_ingress_transfer[“<b>Техніка</b> – T1105 Передача інструментів при вході<br />Завантаження архівів на зовнішній сервер”] class tech_ingress_transfer technique op_and_collection((“І”)) class op_and_collection operator %% Вплив tech_encrypt_impact[“<b>Техніка</b> – T1486 Зашифровані дані для впливу<br />Шифрує файли з використанням AES/ChaCha20 і зберігає ключі з RSA/x25519”] class tech_encrypt_impact technique %% Командування і контроль tech_encrypted_c2[“<b>Техніка</b> – T1573.001 Зашифрований канал Симетричне шифрування<br />Захищає трафік C2 за допомогою шифрування”] class tech_encrypted_c2 technique %% Підключення потоку %% Потік початкового доступу tech_brute_force u002du002d>|веде до| tech_valid_accounts tech_valid_accounts u002du002d>|використовує| tool_vpn tech_valid_accounts u002du002d>|використовує| tool_rdp tech_valid_accounts u002du002d>|дозволяє| op_and_access op_and_access u002du002d>|веде до| tech_regsvr32 op_and_access u002du002d>|веде до| tech_rundll32 op_and_access u002du002d>|веде до| tech_powershell op_and_access u002du002d>|веде до| tech_cmd op_and_access u002du002d>|дозволяє| op_and_execution op_and_execution u002du002d>|дозволяє| tech_boot_autostart op_and_execution u002du002d>|дозволяє| tech_appinit op_and_execution u002du002d>|дозволяє| op_and_persistence op_and_persistence u002du002d>|веде до| tech_share_discovery tech_share_discovery u002du002d>|дозволяє| op_and_lateral op_and_lateral u002du002d>|використовує| tech_psexec op_and_lateral u002du002d>|використовує| tech_rdp_lm op_and_lateral u002du002d>|використовує| tech_deploy_tools op_and_lateral u002du002d>|дозволяє| op_and_evasion op_and_evasion u002du002d>|використовує| tech_service_stop op_and_evasion u002du002d>|використовує| tech_inhibit_recovery op_and_evasion u002du002d>|використовує| tech_cmstp op_and_evasion u002du002d>|дозволяє| op_and_collection op_and_collection u002du002d>|використовує| tech_winrar op_and_collection u002du002d>|використовує| tech_lateral_transfer op_and_collection u002du002d>|використовує| tech_ingress_transfer op_and_collection u002du002d>|веде до| tech_encrypt_impact tech_encrypt_impact u002du002d>|підтримує| tech_encrypted_c2 “
Потік атаки
Виявлення
Підозріле виконання Bcdedit (через cmdline)
Перегляд
Можлива підготовка PowerShell до шифрування (RunAs + Запобігання відновленню) (через powerShell)
Перегляд
Можливий бічний рух через PsExec або подібні інструменти (через audit)
Перегляд
Виконання команди WMI за допомогою Windows Remote Management (через cmdline)
Перегляд
Підозріла активність VSSADMIN (через cmdline)
Перегляд
PsExec запущений родительським процесом в публічних папках (через створення процесу)
Перегляд
Індикатори компрометації (Emails) для виявлення: Внутрішня частина SafePay: Аналіз нової централізованої групи-вимагача
Перегляд
Виконання SafePay за допомогою PsExec та виконання DLL [Створення процесу Windows]
Перегляд
Початковий доступ SafePay через скомпрометовані облікові дані та неправильно налаштований FortiGate [Фаєрвол]
Перегляд
Зашифровані файли програми-вимагача SafePay з розширенням .safepay [Подія файлу Windows]
Перегляд
Виконання симуляції
Передумови: Перевірка телеметрії та базових показників повинна бути пройдена.
Обґрунтування: Цей розділ деталізує точне виконання техніки противника (TTP), розробленої для виклику правила виявлення. Команди та розповідь МАЮТЬ безпосередньо відображати ідентифіковані TTP та прагнути генерувати точну телеметрію, яку очікує логіка виявлення.
-
Розповідь та команди атаки:
Суперник з обліковими даними адміністратора домену компрометує проміжну машину та використовує PsExec щоб запустити віддаленуcmd.exeна вторинному хості (TARGET_IP). Відразу після встановлення віддаленої оболонки, нападник передає зловмисну DLL (malicious.dll) на віддалений хост і завантажує його за допомогою regsvr32.exe (альтернативно rundll32.exe) для виконання навантаження програми-вимагача. Послідовність генерує дві різні події створення процесу, які відповідають праву Sigma: процес PsExec з точним командним рядком і наступний процес завантажувача DLL. -
Скрипт регресійного тестування:
# ------------------------------------------------------------------------- # Симуляція програми-вимагача SafePay – PsExec + Regsvr32 # ------------------------------------------------------------------------- # Передумови: # - PsExec.exe у поточній директорії або в PATH # - Зловмисна DLL з назвою malicious.dll розміщена в тій самій папці # - Дійсні облікові дані адміністратора домену (замініть заповнювачі) # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" # <--- ЗМІНІТЬ НА СВІЙ ЦІЛЬОВИЙ АДРЕС $username = "DomainAdmin" # <--- ЗМІНІТЬ НА ДІЙСНОГО КОРИСТУВАЧА $password = "Password123!" # <--- ЗМІНІТЬ НА ДІЙСНИЙ ПАРОЛЬ $dllPath = "$PSScriptRootmalicious.dll" # 1) Виконайте віддалений cmd.exe за допомогою PsExec Write-Host "[*] Запуск віддаленого cmd.exe через PsExec..." $psexecArgs = "$targetIP -u $username -p $password cmd.exe" & .PsExec.exe $psexecArgs Start-Sleep -Seconds 5 # дайте віддаленій сесії час на запуск # 2) Скопіюйте зловмисну DLL на віддалений хост (використовуючи SMB) Write-Host "[*] Копіювання зловмисної DLL на віддалений хост..." $destPath = "$targetIPC$Tempmalicious.dll" Copy-Item -Path $dllPath -Destination $destPath -Force # 3) Завантажте DLL через regsvr32 (це генерує другу подію) Write-Host "[*] Завантаження зловмисної DLL із regsvr32..." $regsvrArgs = "/s $destPath" & regsvr32.exe $regsvrArgs Write-Host "[+] Симуляція завершена. Перевірте SIEM на наявність сповіщень." -
Команди очистки:
# ------------------------------------------------------------------------- # Очистка для симуляції SafePay # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" $dllRemote = "$targetIPC$Tempmalicious.dll" # Видалити зловмисну DLL з віддаленого хоста Write-Host "[*] Видалення зловмисної DLL з віддаленого хоста..." Remove-Item -Path $dllRemote -Force -ErrorAction SilentlyContinue # За необхідності завершити будь-які залишкові процеси regsvr32/rundll32 Get-Process -Name regsvr32, rundll32 -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*$targetIP*"} | Stop-Process -Force Write-Host "[+] Очистка завершена."