Ланцюг фальшивих установників закінчується інфекцією ValleyRAT
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Троянський інсталятор, що маскується під LINE налаштування месенджера, було виявлено при доставці ValleyRAT пейлоаду. Побудований з використанням NSIS і підписаний підозрілим сертифікатом, дроппер встановлює декілька DLL та INI компонентів для підтримки ін’єкції коду and персистенції. Після цього шкідливе ПЗ з’єднується з двома Hong Kong–розташованими C2 серверами, щоб завантажити додаткові шкідливі бінарії. Атака, схоже, спрямована на користувачів, які говорять китайською мовою, та використовує просунуту тактику, включаючи PoolParty Variant 7 ін’єкцію процесу.
Розслідування
Аналітики Cybereason провели статичний і динамічний аналіз фальшивого інсталятора LINE і підтвердили використання PowerShell, rundll32 і кастомних завантажувачів DLL. Ланцюжок створив артефакти в %AppData% and %LocalAppData%, встановив синхронізацію через м’ютекси, і зареєстрував персистенцію через заплановані завдання , створені через RPC. Після встановлення поведінка включала ін’єкцію в explorer.exe and UserAccountBroker.exe, що узгоджується з протоколом віддаленого доступу з акцентом на прихованість. Телеметрія мережі ідентифікувала дві IP-адреси C2 в Гонконгу, які використовуються для отримання команд і підготовки пейлоаду. Атрибуція була оцінена як узгоджена з активністю Silver Fox і показала кодові збіги з SADBRIDGE.
Пом’якшення
Шукайте NSIS-упакований фальшивий інсталятор і надавайте попередження про підозрілий слід сертифіката , пов’язаний з ланцюгом підписання. Моніторьте створення файлів, що з’являються після встановлення, зміни в реєстрі та спроби додати виключення Windows Defender. Заблокуйте вихідне підключення до визначених C2 IP і застосуйте контролі підпису коду, які відхиляють недійсні або ненадійні сертифікати. Додайте EDR-детекції для шаблонів ін’єкції PoolParty Variant 7-стилю і для створення запланованих завдань, які узгоджуються з RPC-основною персистенцією.
Відповідь
Якщо виявлено підозрілу активність, ізолюйте кінцеву точку, зупиніть шкідливі процеси і видаліть фальшивий інсталятор і всі розгорнуті артефакти. Проведіть повну перевірку на наявність додаткових ValleyRAT модулів, відновіть налаштування Defender (включаючи видалення несанкціонованих виключень) і видаліть створені зловмисником заплановані завдання. Перегляньте останню активність користувачів і хостів на предмет ознак бічного переміщення, після чого передайте на реагування на інциденти для захоплення пам’яті та глибшого судово-медичного збору.
Потік атаки
Детекції
Можливе створення запланованого завдання (через powershell)
Переглянути
Підозріле заплановане завдання (через аудит)
Переглянути
Підозріла шлях виконання Rundll32 Dll (через process_creation)
Переглянути
Підозрілі зміни в налаштуваннях Windows Defender (через powershell)
Переглянути
LOLBAS Regsvr32 (через cmdline)
Переглянути
IOCs (DestinationIP) для виявлення: фальшивий інсталятор: у кінцевому підсумку зараження ValleyRAT
Переглянути
IOCs (HashSha1) для виявлення: фальшивий інсталятор: у кінцевому підсумку зараження ValleyRAT
Переглянути
IOCs (SourceIP) для виявлення: фальшивий інсталятор: у кінцевому підсумку зараження ValleyRAT
Переглянути
Виявлення фальшивого інсталятора з використанням виключень Windows Defender і запланованих завдань [Windows Powershell]
Переглянути
Виконання симуляції
Передумови: телеметрія та перевірка базового стану повинні пройти.
Обґрунтування: цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та наратив повинні безпосередньо відображати визначені TTP і націлюються на генерацію точної телеметрії, очікуваної логікою виявлення.
-
Атака та команди:
Атакуючий, який вже скомпрометував обліковий запис з низькими привілеями, бажає встановити пейлоад на скомпрометований хост, уникаючи сканування антивірусом. Атакуючий:- Використовує PowerShell для додавання виключень Windows Defender, що охоплюють весь C: диск, що забезпечує невидимість будь-яких шкідливих бінарів, які там розміщені, для Defender.
- У тієї ж сесії PowerShell, реєструє заплановане завдання, яке запускає прихований пейлоад ( ) кожного разу, коли запускається конкретний легітимний процес (наприклад,
) кожного разу, коли запускається конкретний легітимний процес (наприклад,) every time a specific legitimate process (e.g.,explorer.exe), забезпечуючи персистенцію. - Оскільки обидві дії поєднуються в одній командній лінії, телеметрія відповідає умові відбору
selection1 і selection2правила Sigma, викликаючи сповіщення.
-
Скрипт тестування регресії:
# ------------------------------------------------- # Імітація фальшивого інсталятора – запускає правило Sigma # ------------------------------------------------- # 1. Визначте шлях виключення (цілий диск C:) $exclusion = "C:" # 2. Визначте деталі запланованого завдання $taskName = "UpdateScheduler" $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1" $trigger = New-ScheduledTaskTrigger -AtLogOn # 3. Поєднайте команди в одну команду PowerShell $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force" # 4. Виконуйте об'єднану команду Invoke-Expression $combined -
Команди очищення:
# ------------------------------------------------- # Очищення – видалення виключення та запланованого завдання # ------------------------------------------------- # Видаліть виключення Defender для C: Remove-MpPreference -ExclusionPath "C:" # Видаліть заплановане завдання Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false