Завантажувач в пам’яті встановлює ScreenConnect
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
ThreatLabz виявила багатоступеневий ланцюг атаки, який починається з фальшивого завантаження Adobe Acrobat Reader і завершується розгортанням легітимного інструменту віддаленого доступу ScreenConnect. Операція покладається на сильно обфусцирований VBScript-завантажувач, який викликає команду PowerShell для отримання коду на мові C# з Google Drive, компілює його безпосередньо в пам’яті та запускає завантажувач .NET без збереження кінцевого навантаження на диск. Цей завантажувач потім застосовує маскування процесів, змінює структури PEB і зловживає автоматично підвищеними об’єктами COM для отримання вищих привілеїв перед встановленням ScreenConnect на жертву.
Розслідування
Дослідники описали, як VBScript збирає свої команди через обфускацію Chr(), в той час як PowerShell отримує та компілює навантаження цілком в пам’яті, щоб мінімізувати артефакти на диску. Завантажувач .NET в пам’яті потім використовує рефлексію для виконання вбудованого зібрання. Додатковий аналіз показав, що шкідливе програмне забезпечення викликає NtAllocateVirtualMemory, переписує поля PEB для імітації winhlp32.exe і використовує автоматичне підвищення COM для обходу управління обліковими записами користувачів і продовження виконання з підвищеними привілеями.
Пом’якшення
Захисники повинні блокувати доступ до шкідливих доменів завантаження і застосовувати суворі контролі до виконання PowerShell і VBScript. Команди безпеки повинні також відстежувати підозріле створення об’єктів COM, несподіване втручання в PEB та інші ознаки зловживання виконанням у пам’яті. Доступ до легітимних засобів віддаленого адміністрування, таких як ScreenConnect, слід суворо обмежувати затвердженими користувачами та довіреними робочими процесами, щоб зменшити ризик несанкціонованої установки.
Відповідь
Якщо ця активність виявлена, негайно ізолюйте уражену систему, зупиніть шкідливі процеси та видаліть будь-які компоненти ScreenConnect, встановлені як частина вторгнення. Проведіть криміналістичний аналіз, спрямований на артефакти пам’яті для відновлення доказів ланцюга безфайлового виконання. Скиньте потенційно відкриті облікові дані, перевірте журнали на зловживання авто-підвищенням COM і оновіть детекції для виявлення виявлених шаблонів командного рядка, поведінки завантажувача і пов’язаних конвенцій іменування файлів.
graph TB classDef action fill:#99ccff classDef builtin fill:#ffcc99 classDef file fill:#ccffcc action_user_exec[“<b>Дія</b> – T1204.002 Виконання користувачем: шкідливий файл<br/>Фішингова сторінка Adobe”] class action_user_exec action file_vbscript[“<b>Файл</b> – Acrobat_Reader_V112_6971.vbs”] class file_vbscript file action_vbscript_interpret[“<b>Дія</b> – T1059.005 VBScript виконання”] class action_vbscript_interpret action tool_powershell[“<b>Інструмент</b> – PowerShell”] class tool_powershell builtin action_powershell_exec[“<b>Дія</b> – T1059.001 PowerShell виконання”] class action_powershell_exec action file_staging[“<b>Файл</b> – Google Drive (staging)”] class file_staging file action_reflective_loading[“<b>Дія</b> – T1620 рефлективне завантаження”] class action_reflective_loading action action_process_injection[“<b>Дія</b> – T1055.002 інʼєкція процесу”] class action_process_injection action action_masquerade[“<b>Дія</b> – T1564.010 маскування процесу”] class action_masquerade action action_appdomain_hijack[“<b>Дія</b> – T1574.014 захоплення AppDomain”] class action_appdomain_hijack action action_rat_install[“<b>Дія</b> – T1219 встановлення RAT”] class action_rat_install action tool_screenconnect[“<b>Інструмент</b> – ScreenConnect”] class tool_screenconnect builtin action_user_exec –>|downloads| file_vbscript file_vbscript –>|executes| action_vbscript_interpret action_vbscript_interpret –>|launches| tool_powershell tool_powershell –>|executes| action_powershell_exec action_powershell_exec –>|downloads| file_staging action_powershell_exec –>|compiles| action_reflective_loading action_reflective_loading –>|loads| action_process_injection action_process_injection –>|modifies| action_masquerade action_masquerade –>|enables| action_appdomain_hijack action_appdomain_hijack –>|facilitates| action_rat_install action_rat_install –>|installs| tool_screenconnect
Потік атаки
Виявлення
Альтернативне програмне забезпечення віддаленого доступу/управління (через систему)
Перегляд
Можливі індикатори обфускації Powershell (через powershell)
Перегляд
Виклик підозрілих .NET класів/методів з командного рядка Powershell (через створення процесу)
Перегляд
Підозріле використання CURL (через cmdline)
Перегляд
Можливе введення/виведення даних / C2 через сторонні сервіси / інструменти (через cmdline)
Перегляд
Альтернативне програмне забезпечення віддаленого доступу/управління (через аудит)
Перегляд
Можлива спроба встановлення програмного забезпечення RMM за допомогою інсталятору MsiInstaller (через журнали застосувань)
Перегляд
LOLBAS WScript / CScript (через створення процесу)
Перегляд
Індикатори компрометації (HashMd5) для виявлення: Завантажувач у пам’яті скидає ScreenConnect
Перегляд
Обхід ExecutionPolicy PowerShell з шкідливим завантаженням [Windows Powershell]
Перегляд
Установка ScreenConnect через msiexec і ShellExec [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Телеметрія та запуск перевірки базової лінії повинні бути пройдені.
Пояснення: Цей розділ деталізує точне виконання техніки противника (TTP), розробленої для запуску правила виявлення. Команди та наративи ПОВИННІ безпосередньо відображати виявлені TTP та мають на меті створити точну телеметрію, очікувану логікою виявлення.
-
Наратив атаки та команди:
Атака отримала MSI ScreenConnect (часто доставляється через вкладення фішингу). Щоб уникнути взаємодії з користувачем, вони використовують довіренийmsiexec.exeбінарний файл для виконання тихої установки. Вони також демонструють альтернативнийShellExec.exeпроксі, який просто переадресовує аргументи доmsiexec. Обидві команди вбудовують буквальний рядок “ScreenConnect” у командний рядок, що задовольняє умову правила.-
Скопіювати MSI на хост жертви (симулює T1025).
-
Виконати тиху установку через
msiexec:msiexec.exe /i "C:TempScreenConnect.msi" /quiet /norestart -
Виконати ту ж установку через
ShellExec.exe(якщо присутня на хості):ShellExec.exe /i "C:TempScreenConnect.msi" /quiet /norestart
Ці дії створюють записи Windows Event 4688, де
Зображенняis*msiexec.exeor*ShellExec.exeandCommandLineмістить “ScreenConnect”, викликаючи спрацьовування правила Sigma. -
-
Сценарій регресійного тестування:
#============================================================= # Імітація установки ScreenConnect – запускає правило Sigma #============================================================= $msiPath = "C:TempScreenConnect.msi" # Переконайтеся, що MSI існує (заповнювач – у реальному тесті спочатку скиньте файл) if (-Не (Test-Path $msiPath)) { Write-Error "MSI ScreenConnect не знайдено на $msiPath" exit 1 } # 1. Тиха установка за допомогою msiexec Write-Host "[*] Встановлюю ScreenConnect через msiexec..." Start-Process -FilePath "$env:SystemRootSystem32msiexec.exe" -ArgumentList "/i `"$msiPath`" /quiet /norestart" -Wait -NoNewWindow # 2. Тиха установка за допомогою ShellExec (якщо існує) $shellExec = "$env:ProgramFilesScreenConnectShellExec.exe" if (Test-Path $shellExec) { Write-Host "[*] Встановлюю ScreenConnect через ShellExec..." Start-Process -FilePath $shellExec ` -ArgumentList "/i `"$msiPath`" /quiet /norestart" ` -Wait -NoNewWindow } else { Write-Warning "ShellExec.exe не знайдено; пропускаємо другу установку." } Write-Host "[+] Імітація завершена. Перевірте ваш SIEM на наявність оповіщень." -
Команди очищення:
# Видалити ScreenConnect (використовує зареєстрований ідентифікатор продукту; налаштуйте за необхідності) $productGuid = (Get-ItemProperty "HKLM:SoftwareMicrosoftWindowsCurrentVersionUninstall*" | Where-Object { $_.DisplayName -like "*ScreenConnect*" }).PSChildName if ($productGuid) { Write-Host "[*] Видаляю ScreenConnect (GUID: $productGuid)..." & "$env:SystemRootSystem32msiexec.exe" /x $productGuid /quiet /norestart } else { Write-Warning "Ідентифікатор продукту ScreenConnect не знайдено; може знадобитися ручне очищення." } # Видалити скопійований файл MSI Remove-Item -Path "C:TempScreenConnect.msi" -Force -ErrorAction SilentlyContinue Write-Host "[+] Очищення завершено."