Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
ResokerRAT – це новий виявлений троянський програмний засіб для віддаленого доступу, який використовує API ботів Telegram для командного керування та управління. Він залишається в системі через значення реєстру Run і містить можливості підвищення привілеїв, захоплення скріншотів, блокування Диспетчера завдань та ослаблення контролю UAC. Щоб зменшити видимість, він виконує PowerShell у прихованому вікні та намагається завершити роботу загальновідомих інструментів аналізу. Виявлення може здійснюватися через його м’ютекс, основні модифікації реєстру та діяльність C2 на основі Telegram.
Розслідування
Аналіз Resoker підкреслює створення м’ютекса, логіку анти-налагодження та агресивне припинення процесів, спрямоване на засоби безпеки та аналізу. Шкідливе програмне забезпечення встановлює клавіатурний хук, приймає визначений набір команд, надісланих через Telegram, та змінює значення реєстру для відключення Диспетчера завдань та роз’якшення поведінки UAC. Подальші навантаження можуть бути отримані шляхом прихованого виконання PowerShell, що підтримує модульне розширення після початкового компромісу.
Пом’якшення
Слідкуйте за відомим м’ютексом і попереджайте про зміни в реєстрі, пов’язані з DisableTaskMgr і ключами, що стосуються UAC. Обмежте або заблокуйте вихідний доступ до кінцевих точок API Telegram, де це можливо, і впровадьте контроль за застосунками для запобігання несанкціонованого виконання PowerShell. Виявлення на основі хостів, яке сигналізує про поведінку клавіатурного хуку та підозрілу активність PowerShell у прихованих вікнах, може додатково зменшити вплив.
Відповідь
Якщо програмне забезпечення виявлено, ізолюйте хост, зупиніть шкідливий процес і видаліть елемент збереження Run-key. Збережіть несталі докази (значення м’ютекса, індикатори бота Telegram/C2, телеметрію командного рядка) і проведіть повну криміналістичну перевірку для виявлення додаткових навантажень або механізмів збереження. Поверніть зміни реєстру, що впливають на Диспетчер завдань і UAC, змініть облікові дані на випадок крадіжок і знову застосуйте політику виконання з найменшими привілеями, щоб запобігти повторенню.
"graph TB %% Class definitions classDef action fill:#ffcc99 classDef technique fill:#99ccff classDef persistence fill:#ffd699 classDef command_and_control fill:#ffdd99 %% Node definitions action_execution["<b>Дія</b> – <b>T1059.001 PowerShell</b>: Виконання прихованої команди PowerShell через Resoker.exe<br/><b>Техніка</b>: Використання PowerShell для виконання команд"] class action_execution action tech_hide_window["<b>Техніка</b> – <b>T1564.003 Приховане вікно</b>: Виконання команд у прихованому вікні для уникнення користувацької видимості"] class tech_hide_window technique action_process_enum["<b>Дія</b> – <b>T1057 Виявлення процесу</b>: Перелік запущених процесів та завершення аналізу інструментів"] class action_process_enum action action_keylogging["<b>Дія</b> – <b>T1056.001 Клавіатурний хук</b>: Встановлення глобального низькоуровневого клавіатурного хуку для перехоплення вводу"] class action_keylogging action persistence_run_key["<b>Збереження</b> – <b>T1037.005 Рунові ключі реєстру</b>: Створення запису реєстру HKCU Run для автозапуску"] class persistence_run_key persistence defense_disable_taskmgr["<b>Техніка</b> – <b>T1562.001 Вимкнення Диспетчера завдань</b>: Встановлення значення реєстру DisableTaskMgr на 1"] class defense_disable_taskmgr technique action_screen_capture["<b>Дія</b> – <b>T1113 Захоплення екрану</b>: Захоплення екрану через PowerShell і збереження PNG файлів"] class action_screen_capture action action_download["<b>Дія</b> – <b>T1059.001 PowerShell</b> та <b>T1202 Непряме виконання команд</b>: Завантаження додаткових файлів за допомогою прихованих команд PowerShell"] class action_download action c2_telegram["<b>Командування та управління</b> – <b>T1102.002 Веб-сервіс</b> та <b>T1102.003 Односпрямовані повідомлення</b>: Спілкування з нападником через Telegram Bot API через HTTPS"] class c2_telegram command_and_control %% Взаємозв’язки, що показують потік атаки action_execution –>|використовує| tech_hide_window action_execution –>|викликає| action_process_enum action_process_enum –>|завершує| action_keylogging action_process_enum –>|створює| persistence_run_key persistence_run_key –>|підсилює| defense_disable_taskmgr action_process_enum –>|активує| action_screen_capture action_screen_capture –>|викликає| action_download action_download –>|експілютує через| c2_telegram "
Потік атаки
Детекції
Можливе зловживання Telegram як каналом командування та управління (через dns_query)
Перегляд
Можливі точки збереження [ASEPs – Software/NTUSER Hive] (через registry_event)
Перегляд
Завантаження або передача через Powershell (через cmdline)
Перегляд
Індикатори компрометації (DestinationIP) для виявлення: Resoker: троянський програмний засіб для віддаленого доступу з основою на Telegram
Перегляд
Індикатори компрометації (HashMd5) для виявлення: Resoker: троянський програмний засіб для віддаленого доступу з основою на Telegram
Перегляд
Індикатори компрометації (SourceIP) для виявлення: Resoker: троянський програмний засіб для віддаленого доступу з основою на Telegram
Перегляд
Виявлення виконання ResokerRAT [Створення процесу Windows]
Перегляд
Виявити приховане виконання PowerShell для захоплення екрану [Windows PowerShell]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базових налаштувань повинна була пройти успішно.
Пояснення: У цьому розділі детально описано точне виконання техніки атаки (TTP), призначене для запуску правила детекції. Команди і наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP та мати на меті створити точну телеметрію, очікувану детекційною логікою.
-
Нарис атаки та команди:
Супротивник, що отримав доступ до робочої станції Windows, бажає захопити робочий стіл користувача, не викликаючи візуальних підказок. Він запускає PowerShell з параметром-WindowStyle Hiddenвключає зборки .NETSystem.Windows.FormsandSystem.Drawingзахоплює основний екран за допомогою методуCopyFromScreen, і записує растрове зображення у тимчасовий файл. Команда складена в єдину лінію для того, щоб весь рядок з’явився в журналі блоків скриптів PowerShell, що відповідає всім чотирьом селекторам детекції. -
Регресійний тест-скрипт:
# Безшумне захоплення екрану – відтворює телеметрію детекції $psCommand = @" Add-Type -AssemblyName System.Windows.Forms Add-Type -AssemblyName System.Drawing $bounds = [System.Windows.Forms.Screen]::PrimaryScreen.Bounds $bitmap = New-Object System.Drawing.Bitmap $bounds.Width, $bounds.Height $graphics = [System.Drawing.Graphics]::FromImage($bitmap) $graphics.CopyFromScreen($bounds.Location, [System.Drawing.Point]::Empty, $bounds.Size) $output = "C:Tempscreenshot.png" $bitmap.Save($output, [System.Drawing.Imaging.ImageFormat]::Png) Write-Host "Скріншот збережений в $output" "@ # Виконати прихований PowerShell з складеною командою powershell -WindowStyle Hidden -Command $psCommand -
Команди очищення:
# Видалити скріншот та всі залишкові об'єкти Remove-Item -Path "C:Tempscreenshot.png" -ErrorAction SilentlyContinue