Dragon Boss залишає більш ніж 25 000 кінцевих точок відкритими
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Потенційно небажана програма, підписана Dragon Boss Solutions, зловживала законним процесом оновлення для тихого завантаження та запуску MSI і PowerShell-накопичувачів, які відключали антивірусний захист і встановлювали стійкість через підписки на події WMI і заплановані завдання. Оскільки оновлювач спілкувався з незареєстрованими доменами, які могли бути зайняті будь-ким, програмне забезпечення фактично створювало ланцюгову можливість для доставки довільного коду. Дослідники спостерігали, як понад 25 000 кінцевих точок зверталися до цієї інфраструктури, включаючи системи в кількох секторах з високою цінністю.
Розслідування
Huntress виявила артефакти стійкості на основі WMI та сплеск у створенні запланованих завдань, потім відстежила активність назад до підписаного виконуваного файлу з назвою RaceCarTwo.exe який запускав MSI-інсталятор. Інсталятор витягував PowerShell-скрипт під назвою ClockRemoval.ps1, який завершував процеси антивірусу, блокував доступ до доменів оновлення АВ, додавав виключення Microsoft Defender та повторно встановлював себе для підтримки. Дослідники також виявили, що незареєстровані домени, включаючи chromsterabrowser.com, використовуються як основне джерело оновлень, що означає, що будь-яка зовнішня сторона могла б зареєструвати ці домени і доставляти свої власні навантаження.
Пом’якшення
Щоб зупинити подальші зловживання, дослідницька команда зареєструвала викриті домени і прийняла їх, ефективно перекриваючи шкідливий шлях оновлення. Вони також задокументували пов’язані підписки на події WMI, заплановані завдання і зміни реєстру, щоб захисники могли виявляти і видаляти уражені компоненти. Організаціям слід блокувати відомі домени і моніторити специфічні назви завдань і активність WMI, пов’язані з цією кампанією, щоб зменшити ризик подальших компрометацій.
Реакція
Команди з безпеки повинні виявляти створення запланованих завдань, таких як ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogon, та RemoveClockPeriodic. Попередження також повинні запускатися на підписках на події WMI, які містять MbRemoval or MbSetup. Захисники повинні моніторити виконувані файли, підписані Dragon Boss Solutions, шукати наявність ClockRemoval.ps1 в директоріях WMILoad, переглядати файли хостів на наявність записів, що блокують домени постачальників антивірусів, і розслідувати неочікувані виключення Windows Defender в постраждалих системах.
Потік атаки
Виявлення
Підозріле виконання Taskkill (через командний рядок)
Перегляд
Виконання PowerShell у підозрілому каталозі з використанням політики обходу виконання (через командний рядок)
Перегляд
LOLBAS Schtasks (через командний рядок)
Перегляд
LOLBAS MsiExec Spawn Shell (через командний рядок)
Перегляд
IOC (HashSha256) для виявлення: Коли PUP набувають зубів: Dragon Boss Solutions залишив відкриті двері на понад 25,000+ кінцевих точках
Перегляд
Зміна політики виконання PowerShell від Dragon Boss Solutions [Windows PowerShell]
Перегляд
Виявлення шкідливих виконань від Dragon Boss Solutions LLC [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Телеметрія і перевірка базового стану повинні пройти.
Причина: У цьому розділі детально описується точне виконання техніки противника (ТТП), розробленої для спрацьовування правила виявлення. Команди та розповідь МАЮТЬ точно відповідати виявленим ТТП і бути спрямованими на генерування саме тієї телеметрії, яку очікує логіка виявлення.
-
Опис атаки та команди:
Зловмисник отримав легітимний RaceCarTwo.exe підписаний Dragon Boss Solutions LLC. Вони використовують довірений статус файлу, щоб обійти списки дозволених застосунків. Спочатку вони розгортають шкідливий MSI (Setup.msi), який викидає привілейований сервіс та встановлює заплановане завдання для досягнення T1546.016. Далі вони виконують скрипт PowerShell (ClockRemoval.ps1) щоб відключити або деінсталювати продукт AV кінцевої точки, відображаючи T1059.001. Обидві дії виконуються з одного процесу, що забезпечує, щоб правило виявлення бачило точні шаблони командного рядка.-
Розгортання шкідливого MSI:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "Setup.msi" ` -Wait -
Виконання скрипта відключення AV через PowerShell:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "ClockRemoval.ps1" ` -Wait
-
-
Скрипт регресійного тестування:
Скрипт нижче автоматизує два кроки в одному запуску, відтворюючи саме ту телеметрію, яку очікує правило Sigma.# ------------------------------------------------- # Імітація ланцюга шкідливих виконань DragonBoss # ------------------------------------------------- $binaryPath = "C:Program FilesDragonBossRaceCarTwo.exe" # 1. Встановлення шкідливого MSI Write-Host "[*] Розгортання шкідливого MSI (Setup.msi)…" Start-Process -FilePath $binaryPath -ArgumentList "Setup.msi" -Wait # 2. Виконання скрипта відключення AV через той же бінарний файл Write-Host "[*] Виконання ClockRemoval.ps1 через той же бінарний файл…" Start-Process -FilePath $binaryPath -ArgumentList "ClockRemoval.ps1" -Wait Write-Host "[+] Імітація завершена. Перевірте сповіщення в SIEM." -
Команди очищення:
Видаліть будь-які артефакти, створені під час симуляції, щоб відновити хост до його стану перед тестом.# ------------------------------------------------- # Очищення для симуляції DragonBoss # ------------------------------------------------- # Видалення встановленого продукту MSI (замінийте ProductCode на фактичний GUID) $productCode = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" try { Write-Host "[*] Видалення шкідливого MSI..." msiexec /x $productCode /quiet /norestart } catch { Write-Warning "MSI видалення не вдалося або продукт відсутній." } # Видалення скрипта PowerShell, якщо він був записаний на диск MSI $scriptPath = "$env:ProgramDataClockRemoval.ps1" if (Test-Path $scriptPath) { Write-Host "[*] Видалення ClockRemoval.ps1..." Remove-Item $scriptPath -Force } Write-Host "[+] Очищення завершено."