RAT на базі Rebex з Telegram, що націлений на В’єтнам
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисний CHM файл, доставлений у ZIP архіві, встановлює небезпечне середовище виконання Python разом із C++ DLL, яка розшифровує вбудоване навантаження. Це навантаження встановлює стійкість через захоплення оболонки Winlogon, заплановане завдання та зловживання MSBuild, а потім запускає Telegram RAT на базі .NET. Шкідливе програмне забезпечення взаємодіє з ботом Telegram, використовуючи заздалегідь закодований токен, і підтримує виконання команд, заміну токенів та завантаження файлів. Кампанія була сфотографована, націлена на жертв у В’єтнамі, і в даний час не має виявлень на VirusTotal.
Розслідування
Аналіз файлу CHM виявив скрипт, який декомпілював архів, очистив PYTHONHOME, і запустив перейменований виконуваний файл Python із скомпільованим байткод файлом. Байткод потім завантажив DLL, що розшифровувала зашифрований DOCX блоб, вилучила додаткові компоненти і записала їх у тимчасові місця. DLL створив записи реєстру, запланував завдання під назвою Doubt, і виконав MSBuild XML файл для завантаження другої DLL, яка зрештою розгорнула Telegram RAT на базі .NET. RAT покладається на заздалегідь закодовані облікові дані бота Telegram для командного управління.
Захист
Оборонці повинні блокувати виконання CHM файлів з ненадійних джерел і обмежувати використання hh.exe, msbuild.exe, та PowerShell для непідписаних або підозрілих скриптів. Моніторинг повинен бути зосереджений на модифікаціях реєстру Winlogon Shell незвичайні створення запланованих завдань та нові скинуті DLL у тимчасових каталогах. Організації також повинні інспектувати трафік API Telegram через проксі-контроль і забезпечувати доступ з мінімальними привілеями для кінцевих користувачів.
Реакція
Команди безпеки повинні ідентифікувати та ізолювати уражені хости, зібрати летючу інформацію та вилучити шкідливі DLL та скрипти для аналізу. Значення Winlogon Shell та заплановане завдання повинні бути видалені, скинуті файли – видалені, а змінені параметри реєстру повернені до відомого гарного стану. Будь-які викриті токени бота Telegram слід негайно замінити, і оборонці повинні продовжувати моніторинг на додаткову активність командного контролю. Рекомендується повне судово-експертне розслідування, щоб визначити, чи були дані викрадені.
Потік атаки
Виявлення
Можливі точки стійкості [ASEPs – Hive Software/NTUSER] (через registry_event)
Перегляд
Вимкнення використовується для примусового зупинки або перезавантаження системи (через cmdline)
Перегляд
LOLBAS HH – Підозрілі аргументи виконуваної програми HTML Help (через cmdline)
Перегляд
Підозрілі двійкові файли/скрипти у розташуванні автозапуску (через file_event)
Перегляд
Можливе виконання шляхом запису файлу з розширенням Microsoft Compiled HTML Help (.chm) (через file_event)
Перегляд
Можливе зловживання Telegram як канала командного управління (через dns_query)
Перегляд
ІоС (HashSha256) для виявлення: Rebex-основний Telegram RAT, націлений на В’єтнам
Перегляд
Виконання CHM файлу, що привело до шкідливої діяльності [створення процесу в Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базової лінії повинна бути пройдена.
Обґрунтування: Цей розділ деталізує точне виконання техніки супротивника (TTP), розробленої для активації правила виявлення. Команди та текст точно відображають виявлені TTP і мають на меті згенерувати очікувану телеметрію для логіки виявлення.
-
Наратива та команди атаки
-
Доставка: Зловмисник доставляє шкідливий
.chmфайл (названийUpdateHelp.chm) потерпілому. -
Декомпіляція: Жертва (або зловмисний скрипт) запускає
hh.exeз прапором-decompileщоб витягнути вбудоване навантаження:hh.exe -decompile C:TempPayloads C:UsersPublicUpdateHelp.chmЦе генерує подію створення процесу яку спостерігає правило (
hh.exe+-decompile). -
Виконання навантаження – перейменований інтерпретатор: Всередині витягнутих файлів є перейменований інтерпретатор Python (
_pJifgWSwPi.exe). Зловмисник запускає його черезcmd.exeщоб зберегти низький профіль:cmd.exe /c "C:TempPayloads_pJifgWSwPi.exe -c "import os; os.system('whoami')""Це задовольняє умову правила.
cmd.exeПідписаний проксі – Msbuild: -
Навантаження Python записує шкідливий файл, а потім викликає
файл, а потім викликаєдля його виконання, досягаючи стійкості або подальшого виконання коду:msbuild.exeСценарій тесту регресіїСценарій тесту регресії
-
-
#============================================================= # Симуляція атаки на основі CHM – активує Sigma Rule #============================================================= # Змінні $chmPath = “C:UsersPublicUpdateHelp.chm” $outFolder = “C:TempPayloads” $renamedPy = “_pJifgWSwPi.exe” $projFile = “malicious.proj” # 1. Переконайтеся, що існує вихідна папка New-Item -ItemType Directory -Force -Path $outFolder | Out-Null # 2. Симуляція декомпіляції файлу CHM Write-Host “[*] Декомпіляція CHM…” hh.exe -decompile $outFolder $chmPath # 3. Розмістіть копію python.exe (або будь-якого безпечного exe) як перейменований інтерпретатор Copy-Item -Path “$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe” ` -Destination “$outFolder$renamedPy” -Force # 4. Виконайте перейменований інтерпретатор через cmd.exe Write-Host “[*] Запуск перейменованого інтерпретатора через cmd.exe…” cmd.exe /c “`”$outFolder$renamedPy`” -c `”Write-Host ‘Симульоване навантаження виконано’`”” # 5. Створіть тривіальний проект msbuild, який виводить повідомлення $projContent = @” <Проект ToolsVersion=’4.0′ xmlns=’http://schemas.microsoft.com/developer/msbuild/2003′> <Цільове завдання Name=’Build’> <Повідомлення Текст=’Msbuild виконано шкідливий проект’ Важливість=’Висока’/> </Цільове завдання> </Проект> “@ Set-Content -Path “$outFolder$projFile” -Value $projContent -Encoding ASCII # 6. Запустіть msbuild.exe на шкідливому проекті Write-Host “[*] Виконання msbuild.exe…” msbuild.exe “$outFolder$projFile” /target:Build Write-Host “[+] Симуляція завершена.”
Команди очищення -
Cleanup Commands
# Зупиніть будь-які процеси, що залишились (якщо все ще працюють) Get-Process -Name "_pJifgWSwPi","hh","msbuild","cmd" -ErrorAction SilentlyContinue | Stop-Process -Force # Видаліть генеровані файли та папки Remove-Item -Recurse -Force -Path "C:TempPayloads" # За бажанням видаліть файл CHM, якщо він був створений для тесту Remove-Item -Force -Path "C:UsersPublicUpdateHelp.chm" -ErrorAction SilentlyContinue Write-Host "[+] Очищення завершено."