Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники використовують підроблені запрошення на зустрічі в Zoom для доставки шкідливого завантажувача VBS, який встановлює ConnectWise ScreenConnect, легітимний інструмент для віддаленого доступу. Шкідливе навантаження VBS завантажує MSI ScreenConnect із інфраструктури під контролем нападника та запускає його з директорії TEMP жертви. Після установки засобу віддаленого доступу зловмисники отримують постійний доступ до системи, що дозволяє крадіжку облікових даних, розвідку і доставку подальшого шкідливого ПО, наприклад, програм-вимагачів.
Розслідування
Cofense виявили фішингові електронні листи, які перенаправляли жертв на підроблену сторінку Zoom, де пропонувалося встановити фальшиве оновлення. Це оновлення доставляло файл VBS під назвою _zoommeeting_Zoom_Installer_64_bit.exe.vbs, який містив жорстко задане URL-адреса, що вказує на шкідливу IP-адресу, яка розміщує ScreenConnect.ClientSetup.msi інсталятор. Скрипт потім запускав MSI через Windows Script Host у прихованому вікні, щоб уникнути привернення уваги.
Пом’якшення
Організації повинні розгортати засоби безпеки електронної пошти, які можуть виявляти та блокувати фішингові приманки з темою Zoom, вимагати багатофакторну аутентифікацію для інструментів віддаленого доступу та обмежувати запуск VBS-скриптів з директорій, доступних для запису користувачам. Захисники повинні також моніторити мережевий трафік на наявність зв’язку з відомими шкідливими доменами та IP-адресами і застосовувати список дозволених додатків для контролю легітимного програмного забезпечення для віддаленого адміністрування.
Реакція
Якщо така активність виявлена, негайно ізолюйте уражену кінцеву точку, видаліть шкідливий файл VBS і будь-які встановлені компоненти ScreenConnect, а також змініть скомпрометовані облікові дані. Слідчі повинні потім виконати судову експертизу, щоб визначити, чи було розгорнуто додаткове шкідливе ПО або чи були ексфільтровані дані. Політики віддаленого доступу також повинні бути переглянуті та укріплені, і контент для виявлення повинен бути оновлений з урахуванням виявлених індикаторів компрометації.
graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef process fill:#ffcc99 action_email_spoof[“<b>Дія</b> – <b>T1672 Підміна електронної пошти</b><br/><b>Опис</b>: Зловмисник надсилає лист, що виглядає як офіційний Zoom.”] class action_email_spoof action action_phishing[“<b>Дія</b> – <b>T1566 Фішинг</b><br/><b>Опис</b>: Лист містить шкідливе посилання на підроблену сторінку Zoom.”] class action_phishing action action_user_exec_link[“<b>Дія</b> – <b>T1204.001 Виконання користувачем: шкідливе посилання</b><br/><b>Опис</b>: Жертва переходить за посиланням на клоновану сторінку Zoom.”] class action_user_exec_link action action_masquerade_file[“<b>Дія</b> – <b>T1036.008 Маскування типу файлу</b><br/><b>Опис</b>: Сайт пропонує завантажити VBS-скрипт, замаскований під інсталятор Zoom.”] class action_masquerade_file action action_user_exec_vbs[“<b>Дія</b> – <b>T1204 Виконання користувачем</b><br/><b>Опис</b>: Жертва запускає VBS файл (завантажувач).”] class action_user_exec_vbs action action_download_rat[“<b>Дія</b> – <b>T1219 Засоби віддаленого доступу</b><br/><b>Опис</b>: VBS встановлює клієнт ScreenConnect.”] class action_download_rat action action_persistence[“<b>Дія</b> – <b>T1133 Зовнішні віддалені сервіси</b><br/><b>Опис</b>: ScreenConnect реєструється як служба Windows для постійного доступу.”] class action_persistence action tool_vbs[“<b>Інструмент</b> – Zoom_Installer_64_bit.exe.vbs<br/><b>Опис</b>: VBS-скрипт для завантаження додаткових даних.”] class tool_vbs tool tool_screenconnect[“<b>Інструмент</b> – ConnectWise ScreenConnect Client<br/><b>Опис</b>: Програма віддаленого доступу.”] class tool_screenconnect tool process_download[“<b>Процес</b> – Завантаження MSI ScreenConnect<br/><b>Опис</b>: Отримання файлу ScreenConnect.ClientSetup.msi.”] class process_download process action_email_spoof –>|веде_до| action_phishing action_phishing –>|веде_до| action_user_exec_link action_user_exec_link –>|веде_до| action_masquerade_file action_masquerade_file –>|веде_до| action_user_exec_vbs action_user_exec_vbs –>|використовує| tool_vbs tool_vbs –>|завантажує| process_download process_download –>|встановлює| tool_screenconnect tool_screenconnect –>|активує| action_download_rat action_download_rat –>|надає| action_persistence
Потік Атаки
Виявлення
Можливий шкідливий файл VBS з подвійним розширенням (через cmdline)
Перегляд
LOLBAS WScript / CScript (через process_creation)
Перегляд
Альтернативне програмне забезпечення для віддаленого доступу / керування (через process_creation)
Перегляд
Альтернативне програмне забезпечення для віддаленого доступу / керування (через систему)
Перегляд
Альтернативне програмне забезпечення для віддаленого доступу / керування (через аудит)
Перегляд
Можлива спроба установки програмного забезпечення RMM за допомогою MsiInstaller (через журнали застосунків)
Перегляд
Підозріле завантаження файлу через прямий IP (через проксі)
Перегляд
IOCs (HashSha256) для виявлення: Натисніть, Встановіть, Скомпрометовано: Нова хвиля атак, спрямованих на Zoom
Перегляд
IOCs (HashMd5) для виявлення: Натисніть, Встановіть, Скомпрометовано: Нова хвиля атак, спрямованих на Zoom
Перегляд
IOCs (SourceIP) для виявлення: Натисніть, Встановіть, Скомпрометовано: Нова хвиля атак, спрямованих на Zoom
Перегляд
IOCs (DestinationIP) для виявлення: Натисніть, Встановіть, Скомпрометовано: Нова хвиля атак, спрямованих на Zoom
Перегляд
Виявлення виконання ScreenConnect та шкідливого інсталятора Zoom [Створення процесу в Windows]
Перегляд
Виконання симуляції
Необхідна умова: Телеметрія та базове перевіряння попереднього польоту повинні бути успішно пройдені.
Обґрунтування: Цей розділ детально висвітлює точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та розповідь ПОВИННІ безпосередньо відображати виявлені TTP та прагнути генерувати точну телеметрію, очікувану логікою виявлення.
План атаки та команди
- Початкова доставка: Жертва отримує фішинговий електронний лист із заголовком “Zoom Meeting – Install Update”. Прикріплений файл — це VBS-скрипт із назвою
_zoommeeting_Zoom_installer_64_bit.exe.vbs. - Виконання: Користувач двічі клацає файл VBS, який викликає cscript.exe для виконання скрипта. Скрипт скидає два навантаження в
%TEMP%:ScreenConnect.ClientSetup.msi– шкідливий інсталятор інструменту віддаленого доступу.- Друга двері PowerShell (не є частиною цього правила).
- Установка: Скрипт VBS мовчазно запускає msiexec.exe для установки
ScreenConnect.ClientSetup.msiз/quiet. Це створює нову подію створення процесу, якаЗображеннязакінчується наScreenConnect.ClientSetup.msi, задовольняючи умову правила.
Тестовий сценарій регресії
# --------------------------------------------------------------
# Сценарій симуляції – тригери "ScreenConnect.ClientSetup.msi"
# та "_zoommeeting_Zoom_installer_64_bit.exe.vbs"
# --------------------------------------------------------------
# 1. Приготуйте навантаження (у реальному тесті це могли б бути шкідливі файли)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null
# Файли-пустишки для емуляції шкідливих імен (хеші можуть бути додані пізніше)
$msiPath = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"
# Створіть пусті файли-заповнювачі (замість них використайте реальні навантаження для живого тесту)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS дроппер – записує MSI на диск та запускає його
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII
# 2. Виконайте VBS дроппер (це в свою чергу запустить msiexec)
cscript.exe //B //Nologo $vbscript
Write-Host "`n[+] Симуляцію виконано – детекція повинна спрацювати зараз." -ForegroundColor GreenКоманди для очищення
# --------------------------------------------------------------
# Очищення – видаляє артефакти, створені симуляцією
# --------------------------------------------------------------
$payloadDir = "$env:TEMPZoomPhish"
# Зупиніть будь-які залишкові процеси msiexec, запущені тестом
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force
# Видаліть тимчасові файли та директорії
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue
Write-Host "`n[+] Очищення завершено." -ForegroundColor Yellow