Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Китайська група APT під назвою Silver Fox проводить фішингову кампанію з темою податків проти індійських організацій. Початковий електронний лист містить PDF, який перенаправляє жертву на шкідливий домен і запускає завантаження ZIP-файлу. ZIP містить інсталятор NSIS, який встановлює Thunder.exe і шкідливий libexpat.dll, що виконує викрадення DLL, перевірки на аналіз і завантажує зашифрований shellcode. Остаточний етап — це Valley RAT, який отримує конфігурацію зі складної багаторівневої C2 інфраструктури.
Розслідування
Звіт детально розглядає чотири етапи: (1) доставка ZIP через PDF-ловушку, (2) виконання інсталятора NSIS, що встановлює Thunder.exe і libexpat.dll, (3) завантажувач shellcode, згенерований Donut, який впорскує код у explorer.exe, і (4) розгортання Valley RAT з постійністю на основі регістру і модульними плагінами. Аналіз включає статичний і динамічний розгляд бінарних файлів, вибірку доменів C2 і зіставлення з техніками ATT&CK.
Захист
Захисникам слід контролювати підписані двійкові файли, які завантажують непідписані DLL із тимчасових розташувань, записи в реєстрі під HKCUConsole і ненормальне створення пам’яті PAGE_EXECUTE_READWRITE в explorer.exe. Блокування відомих доменів C2 та IP, а також виявлення поведінки з багаторівневим резервним виконанням зменшить екпозицію. Реалізуйте строгий контроль застосунків і виявлення уникання пісочниці, щоб зупинити початковий інсталятор NSIS.
Відповідь
Коли виявлено індикатор, ізолюйте уражену хосту, зберіть волатильну пам’ять для аналізу впорскування процесу і шукайте ключі реєстру та плагіни Valley RAT. Блокуйте всю виявлену C2 інфраструктуру і скидайте скомпроментовані облікові дані. Проведіть повний судовий огляд, щоб виявити будь-які додаткові плагіни або інструменти горизонтального переміщення.
graph TB %% Визначення класів classDef technique fill:#ddeeff classDef file fill:#ffddaa classDef process fill:#ffccbb classDef action fill:#cce5ff %% Вузли – Техніки initial_phishing[“<b>Початковий доступ – T1566.001</b><br/>Фішинг із вкладенням<br/>Жертва відкриває шкідливий PDF «Income-Tax», який перенаправляє на ggwk.cc та ініціює завантаження ZIP”] class initial_phishing technique user_execution[“<b>Виконання користувачем – T1204.002</b><br/>Шкідливий файл<br/>Користувач запускає завантажений ZIP, що містить інсталятор NSIS”] class user_execution technique cmd_scripting[“<b>Виконання – T1059</b><br/>Інтерпретатор команд і скриптів<br/>Скрипт NSIS керує процесом встановлення”] class cmd_scripting technique native_api_1[“<b>Виконання – T1106</b><br/>Нативний API<br/>Інсталятор викликає GetTempPathA, створює тимчасову директорію та записує файли”] class native_api_1 technique shared_modules[“<b>Виконання – T1129</b><br/>Спільні модулі<br/>Інсталятор створює Thunder.exe (підписаний) та шкідливий libexpat.dll”] class shared_modules technique dll_hijack[“<b>Ухилення від захисту – T1574.001</b><br/>Перехоплення порядку пошуку DLL<br/>libexpat.dll розміщено поруч із Thunder.exe, тому він завантажується першим”] class dll_hijack technique proxy_execution[“<b>Ухилення від захисту – T1218</b><br/>Проксі-виконання через системний бінарник<br/>Thunder.exe використовується як проксі для запуску шкідливої DLL”] class proxy_execution technique trusted_proxy[“<b>Ухилення від захисту – T1127</b><br/>Проксі через довірені утиліти розробника<br/>Підписаний Thunder.exe маскує шкідливу активність”] class trusted_proxy technique dll_injection[“<b>Виконання – T1055.001</b><br/>Інʼєкція DLL<br/>libexpat.dll виконує антианаліз і вимикає службу Windows Update”] class dll_injection technique service_execution[“<b>Виконання – T1569.002</b><br/>Виконання служби<br/>Зупиняє службу wuauserv для зменшення видимості”] class service_execution technique sandbox_evasion[“<b>Ухилення від захисту – T1497</b><br/>Ухилення від віртуалізації/пісочниці<br/>Антидебаг та антиsandbox логіка завершує виконання в середовищах аналізу”] class sandbox_evasion technique native_api_2[“<b>Виконання – T1106</b><br/>Нативний API<br/>Використовує VirtualAllocEx і WriteProcessMemory для інʼєкції шелкоду в explorer.exe”] class native_api_2 technique process_hollowing[“<b>Ухилення від захисту – T1055.012</b><br/>Порожнє заповнення процесу<br/>Explorer.exe запускається в призупиненому стані та заміщується шкідливим кодом”] class process_hollowing technique reflective_loading[“<b>Виконання – T1620</b><br/>Рефлексивне завантаження коду<br/>Завантажувач Donut запускає керований payload повністю в памʼяті”] class reflective_loading technique registry_persistence[“<b>Закріплення – T1547.001</b><br/>Ключі автозапуску реєстру / папка Startup<br/>Valley RAT зберігає модулі плагінів у HKCU\\Console\\* як REG_BINARY”] class registry_persistence technique modify_registry[“<b>Закріплення – T1112</b><br/>Модифікація реєстру<br/>Параметри конфігурації (C2, прапори функцій) записуються в реєстр”] class modify_registry technique c2_web[“<b>Командування і керування – T1071.001</b><br/>Веб-протоколи<br/>Основний C2-звʼязок через HTTP/HTTPS”] class c2_web technique c2_raw_tcp[“<b>Командування і керування – T1095</b><br/>Протокол поза прикладним рівнем<br/>Підтримує резервний канал через сирий TCP”] class c2_raw_tcp technique encrypted_channel[“<b>Командування і керування – T1573</b><br/>Зашифрований канал<br/>Увесь C2-трафік і конфігурація зашифровані”] class encrypted_channel technique fallback_channels[“<b>Командування і керування – T1008</b><br/>Резервні канали<br/>Трирівнева ієрархія C2 з автоматичним перемиканням”] class fallback_channels technique keylogging[“<b>Збір даних – T1056.001</b><br/>Перехоплення введення: кейлогінг<br/>Можливість кейлогінгу активується через конфігураційний прапор”] class keylogging technique obfuscation[“<b>Ухилення від захисту – T1027</b><br/>Обфусковані файли або інформація<br/>Payload зберігається зашифрованим у box.ini та розшифровується під час виконання”] class obfuscation technique code_signing[“<b>Ухилення від захисту – T1553.002</b><br/>Підрив контролю довіри: підпис коду<br/>Легітимно підписаний Thunder.exe маскує шкідливу активність”] class code_signing technique appcert_dll[“<b>Ухилення від захисту – T1546.009</b><br/>Виконання за подією: AppCert DLL<br/>Шкідливий libexpat.dll використовує перехоплення DLL для виконання”] class appcert_dll technique %% Вузли – Файли / Процеси file_zip[“<b>Файл</b><br/>Шкідливий ZIP з інсталятором NSIS”] class file_zip file nsis_installer[“<b>Файл</b><br/>Інсталятор NSIS, запущений користувачем”] class nsis_installer file thunder_exe[“<b>Файл</b><br/>Підписаний Thunder.exe, використаний як проксі”] class thunder_exe file libexpat_dll[“<b>Файл</b><br/>Шкідливий libexpat.dll”] class libexpat_dll file box_ini[“<b>Файл</b><br/>Зашифрований конфігураційний payload (box.ini)”] class box_ini file explorer_exe[“<b>Процес</b><br/>explorer.exe (ціль для інʼєкції)”] class explorer_exe process donut_loader[“<b>Файл</b><br/>Рефлексивний завантажувач, згенерований Donut”] class donut_loader file %% Звʼязки – Ланцюг атаки initial_phishing –>|завантажує| file_zip file_zip –>|містить| nsis_installer nsis_installer –>|виконує| user_execution user_execution –>|запускає| cmd_scripting cmd_scripting –>|використовує| native_api_1 native_api_1 –>|записує| shared_modules shared_modules –>|створює| thunder_exe shared_modules –>|створює| libexpat_dll thunder_exe –>|дозволяє| dll_hijack dll_hijack –>|сприяє| proxy_execution proxy_execution –>|використовує| trusted_proxy trusted_proxy –>|завантажує| dll_injection dll_injection –>|вимикає| service_execution service_execution –>|знижує видимість| sandbox_evasion sandbox_evasion –>|продовжує| native_api_2 native_api_2 –>|інʼєктує в| explorer_exe explorer_exe –>|порожньо заповнюється через| process_hollowing process_hollowing –>|запускає| reflective_loading reflective_loading –>|використовує| donut_loader donut_loader –>|встановлює| registry_persistence registry_persistence –>|зберігає| modify_registry modify_registry –>|налаштовує| c2_web c2_web –>|резервно переходить до| c2_raw_tcp c2_raw_tcp –>|захищено через| encrypted_channel encrypted_channel –>|підтримує| fallback_channels fallback_channels –>|передає| keylogging keylogging –>|записує введення| obfuscation obfuscation –>|захищає| code_signing code_signing –>|маскує| appcert_dll appcert_dll –>|виконується через| dll_hijack %% Стилізація class initial_phishing,user_execution,cmd_scripting,native_api_1,shared_modules,dll_hijack,proxy_execution,trusted_proxy,dll_injection,service_execution,sandbox_evasion,native_api_2,process_hollowing,reflective_loading,registry_persistence,modify_registry,c2_web,c2_raw_tcp,encrypted_channel,fallback_channels,keylogging,obfuscation,code_signing,appcert_dll technique class file_zip,nsis_installer,thunder_exe,libexpat_dll,box_ini,donut_loader file class explorer_exe process
Потік атаки
Виявлення
Можливі точки збереження [ASEPs – Реєстр/Вулик NTUSER] (через подію реєстру)
Перегляд
Підозрілий командний і контрольний запит за незвичайним доменом верхнього рівня (TLD) (через DNS)
Перегляд
Підозрілий процес без аргументів (через командний рядок)
Перегляд
Індикатори (SourceIP) для виявлення: Silver Fox націлює Індію, використовуючи фішингові приманки з темою податків
Перегляд
Індикатори (HashSha256) для виявлення: Silver Fox націлює Індію, використовуючи фішингові приманки з темою податків
Перегляд
Індикатори (DestinationIP) для виявлення: Silver Fox націлює Індію, використовуючи фішингові приманки з темою податків
Перегляд
Виявлення викрадення DLL через Thunder.exe і впорскування процесу у Explorer.exe [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Телеметрія та перевірка базового профілю повинні бути пройдені.
Мотивація: У цьому розділі докладно описано точне виконання техніки супротивника (TTP), призначеної для ініціації правила виявлення. Команди і наратив повинні прямо відображати ідентифіковані TTP і прагнути генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або не пов’язані приклади призведуть до невірних діагнозів.
-
Наратив атаки та команди:
Супротивник надає шкідливий DLL разом з встановленим “Thunder.exe” жертві%TEMP%каталог. Щоб уникнути підозри користувача, навантаження запускається через вже запущенуexplorer.exeпроцес, використовуючи WindowsShellExecuteAPI, що призводить до події створення процесу деexplorer.exeз’являється як батько. ШкідливийThunder.exeпізніше завантажує шкідливий DLL (викрадення DLL) та впорскує shellcode уexplorer.exeпроцес (впорскування процесу), досягаючи виконання коду з токеном користувача. -
Скрипт регресійного тестування:
# ------------------------------------------------- # Скрипт регресії для ініціювання виявлення Sigma # ------------------------------------------------- # 1. Підготувати підроблений Thunder.exe (копія notepad.exe) $tempDir = "$env:TEMP" $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe" Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force # 2. (Опціонально) Скинути шкідливий DLL поруч із ним для імітації викрадення $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll" # Для демонстрації ми просто створюємо пустий файл; у реальному тесті це був би оброблений DLL. New-Item -Path $malDll -ItemType File -Force | Out-Null # 3. Запустити Thunder.exe через explorer.exe, використовуючи ShellExecute (імітується з Start-Process -Verb RunAs) $explorer = (Get-Process -Name explorer).Id # Використовувати PowerShell для запуску процесу з explorer як батьком (вимагає низькорівневого API; тут ми приближаємо) Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null # 4. Зачекати короткий період, щоб дозволити генерувати логи Start-Sleep -Seconds 5 # 5. Очищення (виконується в наступному розділі) -
Команди очищення:
# ------------------------------------------------- # Очищення після симуляції # ------------------------------------------------- # Видалити підроблений Thunder.exe та фіктивний DLL з %TEMP% Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue # Опційно завершити будь-які залишкові процеси Thunder.exe Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force