Володар Виплат Намагається Захопити Престол Зловмисного Програмного Забезпечення-Вимагача
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Розслідування
ThreatLabz проаналізував кілька зразків програм-вимагачів, розкривши обернені функції CRC та FNV1, використовувані шкідливим ПЗ, і виявив стійкість через заплановані завдання. Дослідники також задокументували схему шифрування, цільові розширення файлів і загальний потік виконання. Їх аналіз показав вбудований список процесів, пов’язаних із безпекою, які програма-вимагач намагається зупинити за допомогою системних викликів низького рівня перед початком шифрування. Додаткові індикатори, включаючи параметри командного рядка та шаблони розширень файлів, були безпосередньо витягнуті зі зразків для підтримки виявлення та зусиль щодо пошуку.
Зміцнення
Організації повинні запровадити багатофакторну аутентифікацію, навчити користувачів розпізнавати спроби соціальної інженерії та контролювати підозріле використання таких інструментів, як Microsoft Teams та Quick Assist. Захисники також повинні блокувати відомі розширення файлів, пов’язаних з програмами-вимагачами, та розгортати виявлення кінцевих точок, здатних розпізнавати створення запланованих завдань у каталозі Mozilla, а також виклики до SetFileInformationByHandle з FileRenameInfo. Регулярні резервні копії необхідно регулярно підтримувати, а тіньові копії слід захищати для поліпшення варіантів відновлення у разі шифрування.
Відповідь
Якщо виявлено активність Payouts King, негайно ізолюйте уражену систему та зберіть як вміст пам’яті, так і образи диска для криміналістичного аналізу. Слідчі повинні переглянути заплановані завдання на наявність таких імен, як MozillaUpdateTask and MozillaElevateTask, а потім полювати на аргументи командного рядка, захищені митним CRC, і унікальні розширення зашифрованих файлів, пов’язаних зі шкідливим ПЗ. Відновлення повинно зосередитися на відновленні даних з перевірених чистих резервних копій. Команди безпеки повинні також надіслати виявлені хеши зразків на відповідні платформи розвідки загроз, щоб підтримати більш широкі трекінг і захист.
graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef credential fill:#ffccff classDef operator fill:#ff9900 action_phishing[“<b>Дія</b> – <b>T1566.001 Фішинг: цільове фішингове вкладення</b><br/><b>Опис</b>: Електронний лист зі шкідливим вкладенням, що видає себе за ІТ-персонал, може використовувати Teams або Quick Assist для переконання користувача запустити файл.<br/><b>Ідентифікатор техніки</b>: T1566.001”] class action_phishing action action_user_exec[“<b>Дія</b> – <b>T1204.002 Виконання користувачем</b><br/><b>Опис</b>: Жертва відкриває файл, запускаючи ransomware-бінарник.<br/><b>Ідентифікатор техніки</b>: T1204.002”] class action_user_exec action tool_malicious_file[“<b>Інструмент</b> – <b>Шкідливий файл payload</b><br/><b>Опис</b>: Виконуваний файл, доставлений через фішингове вкладення.<br/><b>Тип файлу</b>: .exe або скрипт”] class tool_malicious_file tool process_cmd_shell[“<b>Процес</b> – <b>T1059.003 Windows Command Shell</b><br/><b>Опис</b>: Ransomware створює процеси cmd.exe через pipe redirection.<br/><b>Ідентифікатор техніки</b>: T1059.003”] class process_cmd_shell process action_scheduled_task[“<b>Дія</b> – <b>T1053 Заплановане завдання</b><br/><b>Опис</b>: Створює задачу (\Mozilla\UpdateTask) для персистентності.<br/><b>Ідентифікатор техніки</b>: T1053”] class action_scheduled_task action action_elevate_task[“<b>Дія</b> – <b>T1546 Події тригера виконання</b><br/><b>Опис</b>: Створює задачу (\Mozilla\ElevateTask), що запускає ransomware як SYSTEM.<br/><b>Ідентифікатор техніки</b>: T1546”] class action_elevate_task action defense_obfuscation_dynapi[“<b>Ухилення від захисту</b> – <b>T1027.007 Динамічне вирішення API</b><br/><b>Опис</b>: Хешує API (CRC/FNV1) і резолвить під час виконання.<br/><b>Ідентифікатор техніки</b>: T1027.007”] class defense_obfuscation_dynapi malware defense_evasion_process_kill[“<b>Ухилення від захисту</b> – <b>T1564.011 Ігнорування переривань процесу</b><br/><b>Опис</b>: Завершує AV/захисні процеси через direct syscalls.<br/><b>Ідентифікатор техніки</b>: T1564.011”] class defense_evasion_process_kill malware defense_obfuscation_general[“<b>Ухилення від захисту</b> – <b>T1027 Обфусковані файли або інформація</b><br/><b>Опис</b>: Стекове формування рядків і шифровані секції.<br/><b>Ідентифікатор техніки</b>: T1027”] class defense_obfuscation_general malware impact_encrypt_files[“<b>Вплив</b> – <b>T1560.003 Архівація кастомним методом</b><br/><b>Опис</b>: AES-256-CTR + RSA-4096 шифрування файлів.<br/><b>Ідентифікатор техніки</b>: T1560.003”] class impact_encrypt_files malware impact_delete_shadows[“<b>Вплив</b> – <b>T1006 Прямий доступ до диска</b><br/><b>Опис</b>: vssadmin delete shadows /all /quiet видаляє shadow copies.<br/><b>Ідентифікатор техніки</b>: T1006”] class impact_delete_shadows malware impact_clear_logs[“<b>Вплив</b> – <b>T1070.001 Очищення журналів Windows</b><br/><b>Опис</b>: Використання EvtClearLog для видалення логів.<br/><b>Ідентифікатор техніки</b>: T1070.001”] class impact_clear_logs malware credential_private_key[“<b>Доступ до облікових даних</b> – <b>T1552.004 Приватні ключі</b><br/><b>Опис</b>: Вбудований RSA приватний ключ шифрує AES ключі.<br/><b>Ідентифікатор техніки</b>: T1552.004”] class credential_private_key credential action_phishing –>|призводить до| action_user_exec action_user_exec –>|виконує| tool_malicious_file tool_malicious_file –>|запускає| process_cmd_shell process_cmd_shell –>|створює| action_scheduled_task action_scheduled_task –>|створює| action_elevate_task action_elevate_task –>|активує| defense_obfuscation_dynapi action_elevate_task –>|активує| defense_evasion_process_kill action_elevate_task –>|активує| defense_obfuscation_general defense_obfuscation_dynapi –>|підтримує| impact_encrypt_files defense_evasion_process_kill –>|підтримує| impact_encrypt_files defense_obfuscation_general –>|підтримує| impact_encrypt_files impact_encrypt_files –>|використовує| credential_private_key impact_encrypt_files –>|спричиняє| impact_delete_shadows impact_encrypt_files –>|спричиняє| impact_clear_logs
Потік атаки
Виявлення
Можливе використання Schtasks або AT для стійкості (через командний рядок)
Перегляд
Підозріла діяльність VSSADMIN (через командний рядок)
Перегляд
Індикатори компрометації (HashSha256) для виявлення: Payouts King прагне зайняти трон програм-вимагачів
Перегляд
Payouts King Ransomware Заплановане завдання для стійкості [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Телеметрія та перевірка попередньої бази має бути пройдена.
Пояснення: У цьому розділі детально описується точне виконання техніки противника (TTP), розробленої для спровокування правила виявлення. Команди і наративи ПОВИННІ безпосередньо відображати TTP-идентифікатор та прагнути створити саме ту ж телеметрію, яка очікується правилами виявлення. Абстрактні або не пов’язані приклади призведуть до помилкового діагнозу.
-
Атакувальний наратив та команди:
Нападник, отримавши початковий доступ, хоче забезпечити запуск програми-вимагача при кожному перезавантаженні системи та отримати привілеї SYSTEM. Вони використовують рідний
schtasks.exeбінарний файл, щоб уникнути додавання сторонніх інструментів. Спочатку вони створюють “UpdateTask”, яке запускає теоретичне навантаження програми-вимагача, а потім негайно створюють і запускають “ElevateTask”, який генерує процес з привілеєм для подальшого розвитків інфекційного ланцюга. Обидва завдання розміщені підMozillaпростором імен, щоб імітувати відомий патерн Payouts King.-
Створення UpdateTask:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" -
Створення ElevateTask:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" -
Виконання ElevateTask негайно:
schtasks.exe /run /tn MozillaElevateTask -
(Необов’язково) Перевірити наявність завдань:
schtasks.exe /query /tn Mozilla* /fo LIST /v
Ці точні командні рядки відповідають
вибірка1andвибірка2пункти правил Sigma, задовольняючиумову: вибірка1 та вибірка2 та не виключення. -
-
Скрипт регресійного тестування:
# Симуляція стійкості Payouts King з запланованих завдань # ------------------------------------------------- # Крок 1: Створіть UpdateTask (стійкість при завантаженні) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" # Крок 2: Створіть ElevateTask (помічник для підвищення привілеїв) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" # Крок 3: Запустіть ElevateTask негайно, щоб згенерувати другий події виявлення schtasks.exe /run /tn MozillaElevateTask # Крок 4: Виведення підтвердження (не вимагається для виявлення, для видимості оператора) Write-Host "Заплановані завдання створені і ElevateTask виконано." -
Команди очищення:
# Видалити завдання, створені для тесту schtasks.exe /delete /tn MozillaElevateTask /f schtasks.exe /delete /tn MozillaUpdateTask /f # Опціонально видалити фіктивне навантаження Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue