Передові техніки атак Kimsuky: JSONPing, підробка Webex і новий варіант HttpSpy

Резюме

Kimsuky використовував сторінки соціальної інженерії, які підробляють програмне забезпечення безпеки та зустрічі Webex, щоб доставити багатоступеневий HttpSpy RAT. Кампанія впровадила зараження на основі JSONP, назване JSONPing, і розділила завантаження на інсталятор, завантажувач і основний модуль. Показники включають спільні RC4 ключі, XAMPP сертифікати та перекривання інфраструктури з попередніми кампаніями.

Розслідування

Команда проаналізувала фальшиві сторінки встановлення, зберегла бінарні програми-дропери, витягла RC4 ключі та реконструювала трьохступеневий ланцюг виконання від nos-setup.exe/astx-setup.exe через MemLoader.dll, engine.dat та cacheMon.dat до кінцевого модуля HttpSpy. Мережева активність показала запити GET на локальні порти та C2 URL-адреси.

Пом’якшення

Організації повинні блокувати підозрілі домени та IP, відключати виконання файлів скриптів з невідомих джерел, контролювати створення regsvr32 та запланованих завдань, а також забезпечувати перевірку підпису коду. Перш ніж натиснути, перевірте посилання на зустрічі Webex і використовуйте TLS перевірку для виявлення трафіку JSONPing.

Реагування

Виявити наявність визначених бінарних файлів, ключів реєстру Run, запланованих завдань і мережевих індикаторів. Карантинуйте уражені хости, відкликайте скомпрометовані сертифікати підпису коду та проводьте судово-медичний аналіз для завантажень і механізмів збереження.

Виконавче резюме

• Ідентифікатор тестового випадку: TC-20260529-A7Z3Q
• TTP:
  • T1005 (Дані з локальної системи)
  • T1010 (Виявлення вікна програми)
  • T1012 (Запит реєстру)
  • T1027.009 (Обфусковані файли або інформація: Вбудовані завантаження)
  • T1027.010 (Обфусковані файли або інформація: Додаткове місце у бінарниках)
  • T1027.013 (Обфусковані файли або інформація: Видалення індикаторів з інструментів)
  • T1036.004 (Маскування: Маскування завдання або сервісу)
  • T1041 (Експільтрація через командний і контрольний канал)
  • T1053.005 (Заплановане завдання/робота: заплановане завдання)
  • T1055.001 (Інʼєкція в процес: Інʼєкція динамічно підключеної бібліотеки)
  • T1057 (Виявлення процесу)
  • T1059.003 (Інтерпретатор команд і скриптів: Windows Command Shell)
  • T1059.007 (Інтерпретатор команд і скриптів: JavaScript)
  • T1070.004 (Видалення індикаторів на хості: Видалення файлів)
  • T1070.006 (Видалення індикаторів на хості: Видалення ключів реєстру)
  • T1070.009 (Видалення індикаторів на хості: Очищення журналу подій Windows)
  • T1071.001 (Протокол прикладного рівня: Веб-протоколи)
  • T1082 (Виявлення системної інформації)
  • T1083 (Виявлення файлів і директорій)
  • T1090 (Проксі)
  • T1113 (Захоплення екрану)
  • T1132.001 (Кодування даних: Стандартне кодування)
  • T1134.002 (Маніпуляція з маркерами доступу: Створення і використання маркера оточення)
  • T1140 (Деобфускація/декодування файлів або інформації)
  • T1204.002 (Виконання користувачем: Зловмисний файл)
  • T1497.001 (Викриття віртуалізації/пісочниці: Системні перевірки)
  • T1547.001 (Виконання при завантаженні або вході в систему: Ключі реєстру запуску / Папка запуску)
  • T1566 (Фішинг)
  • T1573.001 (Зашифрований канал: Симетричне шифрування)
  • T1620 (Примусове завантаження коду)
• Резюме логіки правила виявлення: Виявляє команду PowerShell, яка запускає regsvr32.exe з прихованим вікном для завантаження DLL із C:ProgramData каталогу.
• Мова/Формат правила виявлення: Sigma (YAML)
• Цільове середовище безпеки:
  • OS: Windows 10 / Windows Server 2019 (події створення процесів)
  • Журналювання: Windows Sysmon (ID події 1) і Windows Security Event Log (ID події 4688)
  • Стек безпеки: SIEM, яке споживає правила Sigma (наприклад, Azure Sentinel, Splunk, Elastic) з охопленням EDR (Microsoft Defender для Endpoint)
• Рейтинг стійкості (1-5): 3
• Обґрунтування: Правило тісно пов’язує regsvr32.exe виконання з певним шаблоном запуску PowerShell, який ефективний проти описаної техніки. Однак, противники можуть ухилятися, використовуючи альтернативні механізми завантаження (наприклад, rundll32, PowerShell -EncodedCommand), перейменовуючи regsvr32.exe, або виконуючи DLL за допомогою примусового завантаження без виклику regsvr32. Тому середній рівень стійкості.
• Ключові висновки: Правило спрацьовує надійно, коли виконується точна команда PowerShell‑regsvr32; благодійне використання regsvr32.exe без оболонки PowerShell не викликає сповіщення.
• Рекомендація: Доповніть правило додатковими шаблонами (наприклад, виявлення regsvr32.exe викликаного прямо, моніторинг завантажень DLL з нетипових шляхів і виявлення закодованих команд PowerShell) для підвищення стійкості до 4-5.

Середовище і контекст симуляції

• TTP під тестом:

  • T1055.001: Ін’єкція в процес – Інʼєкція динамічно підключеної бібліотеки (зловмисне DLL завантажене через regsvr32.exe)
  • T1059.003: Інтерпретатор команд і скриптів – Windows Command Shell (PowerShell використовується для приховування виконання)
  • T1027.009 / T1027.010 / T1027.013: Обфусковані файли або інформація (обфускація імені DLL, приховане вікно)

• Контекст TTP та актуальність:

  • T1055.001: Зловмисник використовує regsvr32.exe для завантаження зловмисного DLL (mTSTCv8.mdxm) у процес з довірою, обходячи обмеження білого списку додатків.
  • T1059.003: PowerShell запускає regsvr32 команду з -windowstyle hidden щоб уникнути призначеного користувачу сповіщення та моніторингу інтерфейсу елемента на кінцевій точці.
  • TTP Обфускації: Застосування нестандартного розширення DLL (.mdxm) та приховане вікно – це класичні техніки ухиляння, які правило намагається виявити.

• Цільове середовище:

  • OS: Windows 10 Enterprise (збірка 1909)
  • Журналювання: Sysmon налаштований з типовим набором правил (захоплення ProcessCreate, ImageLoaded) плюс Windows Security Event Log 4688 увімкнено.
  • Стек безпеки: Azure Sentinel (простір для аналізу журналів) збирання журналів Sysmon/Windows; Microsoft Defender для Endpoint для сповіщень на хості.

Телеметрія та базова перевірка на передполітному етапі

Обґрунтування: Перед симуляцією атаки ми повинні підтвердити, що цільовий хост налаштований для генерації необхідних журналів, що ці журнали збираються SIEM та що правило виявлення не спрацьовує на благодійній діяльності.

• 1. Інструкції з налаштування телеметрії:

  • Встановіть Sysmon (v13 або пізніше) з наступним фрагментом конфігурації (збереженим як sysmon-config.xml):

    <Sysmon schemaversion="4.70">
      <EventFiltering>
        <ProcessCreate onmatch="include">
          <Image condition="is">regsvr32.exe</Image>
        </ProcessCreate>
      </EventFiltering>
    </Sysmon>

    Запустіть: sysmon -i -accepteula -c sysmon-config.xml

  • Переконайтеся, що Windows Security Auditing увімкнено для “Audit Process Creation” (Політика: Конфігурація комп'ютера → Налаштування Windows → Налаштування безпеки → Конфігурація розширеної політики аудиту → Системні політики аудиту → Детальне відстеження → Аудит створення процесів – встановлений на Успіх).

  • Забезпечте, щоб збірник подій перенаправляв Event ID 4688 (Створення процесу) та Sysmon Event ID 1 до Azure Sentinel через агента збору журналів.

• 2. Перевірка збору та базової відповідності:

  • Дія (Благодійна телеметрія): Виконайте допустимий regsvr32 виклик, що не not включає PowerShell або приховані вікна (наприклад, зареєструйте DLL Microsoft).

    # Благодійна реєстрація DLL Windows (без прихованого вікна)
    regsvr32.exe /s C:WindowsSystem32shdocvw.dll

  • Запит перевірки (збір): В Azure Sentinel (KQL) підтвердить, що благодійна подія була зібрана, проте not не відповідала правилу.

    // Перевірте збір благодійного виконання regsvr32
    Event
    | where SourceSystem == "Security" and EventID == 4688
    | where Process == "regsvr32.exe"
    | where CommandLine !contains "powershell.exe"
    | project TimeGenerated, Computer, Process, CommandLine, EventID

    Набір результатів повинен включати благодійну подію, а сповіщення правила Sigma повинно залишатися мовчазним.

Виконання симуляції

Пререквізит: Перевірка збору телеметрії та базової відповідності перед симуляцією повинна бути пройдена.

Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для активації правила виявлення. Команди та наратив МУСЯТЬ безпосередньо відображати визначені TTP та намагатися генерувати точну телеметрію, яку очікує логіка виявлення.

• Опис атаки та команди:
  Зловмисник отримав спеціальне DLL (mTSTCv8.mdxm), що містить відбровкуваний завантажувач для другого етапу навантаження. Щоб уникнути інтерактивного виконання, зловмисник створює однорядковий PowerShell-скрипт, який запускає regsvr32.exe з прапором тиші, ховаючи консоль PowerShell ( /s ). DLL знаходиться у). DLL знаходиться у). The DLL resides in C:ProgramData для змішування з легітимними програмними даними. Кроки виконання:

  1. Скопіюйте зловмисну DLL до C:ProgramDatamTSTCv8.mdxm.
  2. Запустити PowerShell (прихований), що виконує regsvr32.exe /s C:ProgramDatamTSTCv8.mdxm.
  3. Прихований процес PowerShell створює regsvr32.exe, який завантажує DLL у свій процес-простір, тим самим отримуючи виконання коду з використанням довіреного бінарного файлу.

• Скрипт регресійного тесту:

  # ==============================
  #  Регресійний тест: Regsvr32 через PowerShell (зазана DLL)
  # ==============================
  # 1. Розгорніть зловмисну DLL (симульовано з відомою благодійною DLL для безпеки)
  $dllPath = "C:ProgramDatamTSTCv8.mdxm"
  Copy-Item -Path "$env:SystemRootSystem32windows.storage.dll" -Destination $dllPath -Force
  
  # 2. Виконайте PowerShell прихований запуск, що шукає правло Sigma
  $psCommand = "powershell.exe -WindowStyle Hidden regsvr32.exe /s `"$dllPath`""
  Start-Process -FilePath "powershell.exe" -ArgumentList "-WindowStyle Hidden", "regsvr32.exe", "/s", "`"$dllPath`"" -NoNewWindow
  
  # Optional: Зачекайте кілька секунд, щоб процес з'явився в логах
  Start-Sleep -Seconds 5
  
  # 3. Створіть маркер події на консолі для перевірки тесту
  Write-Host "[*] Виконання регстр32 запущено через прихований PowerShell."

• Очистка команд:

  # Видаліть симульовану зловмисну DLL
  Remove-Item -Path "C:ProgramDatamTSTCv8.mdxm" -Force -ErrorAction SilentlyContinue
  
  # Закрийте всі залишені процеси regsvr32.exe (якщо є)
  Get-Process -Name regsvr32 -ErrorAction SilentlyContinue | Stop-Process -Force
  
  Write-Host "[*] Очищення завершено."