Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
AhnLab виявив фішингову кампанію, що поширює шкідливі файли LNK, замасковані під повідомлення про безпечну пошту від великого корейського постачальника кредитних карток. При відкритті цей ярлик запускає HTA через mshta.exe і PowerShell, завантажуючи підключені наповнювачі, які змінюються в залежності від того, чи увімкнено Windows Defender. Якщо Defender активний, зловмисники використовують curl для отримання зашифрованих файлів, які згодом розпаковуються та виконуються. Якщо Defender вимкнено, ланцюг змінюється на пряме завантаження DLL і додаткову діяльність завантажувача. Результуюче шкідливе ПЗ підтримує крадіжку інформації, запис натискань клавіш, збирання даних з буфера обміну та функціональні можливості бекдору.
Розслідування
Розслідування показало, що початковий файл LNK запускає mshta.exe, що виконує HTA, який містить обфускацію VBScript. Цей HTA завантажує pipe.zip, який містить скрипти кодування Base64 з назвами 1.log, 1.ps1, і 2.log, всі з яких декодуються та виконуються в пам’яті. Коли Defender не активний, шкідливе ПЗ натомість завантажує user.txt and sys.log, розшифровує sys.log у sys.dll, і виконує його через rundll32. Аналіз розшифрованого user.txt виявив три URL-адреси Google Drive, використані для завантаження додаткових шкідливих файлів, у тому числі notepad.log, net, і app, які зберігаються під %LOCALAPPDATA%.
Міри захисту
Рекомендовані заходи захисту включають перевірку легітимності вкладень електронної пошти, попередження автоматичного виконання файлів LNK і моніторинг підозрілого використання mshta.exe and curl. Служби безпеки також повинні шукати та видаляти файли, такі як 1.log, 1.ps1, 2.log, notepad.log, net, і app з %TEMP% and %LOCALAPPDATA%. Крім того, захисники повинні перевірити систему на наявність несподіваних змін у реєстрі та забезпечити включення і належну конфігурацію Windows Defender або іншої платформи захисту кінцевих точок.
Реакція
Якщо виявлено цю активність, негайно ізолюйте уражену систему, припиніть будь-які mshta.exe, curl, або rundll32 процеси, що виконують невідомі файли, і зберігайте шкідливі артефакти для криміналістичного огляду. Виконайте повне сканування системи, скиньте будь-які потенційно розкриті облікові дані та контролюйте подальшу активність бекдору, пов’язану з notepad.log. Вміст виявлення також повинен бути оновлений з використаними індикаторами компрометації, і засоби безпеки електронної пошти повинні бути посилені для блокування подібних фішингістських заманювальних заходів у майбутньому.
"graph TB %% Class definitions classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nodes initial_user_exec["<b>Technika</b> – <b>T1204.002 User Execution: Малвізований файл</b><br/>Жертва відкриває .lnk, замаскований під безпечну електронну пошту від кредитної компанії."] class initial_user_exec action exec_mshta["<b>Technika</b> – <b>T1218.005 System Binary Proxy Execution: Mshta</b><br/>LNK запускає PowerShell, який запускає mshta.exe для отримання віддаленого HTA, що містить обфускований VBScript."] class exec_mshta action exec_powershell["<b>Technika</b> – <b>T1059.001 Command and Scripting Interpreter: PowerShell</b><br/>PowerShell завантажує додаткові навантаження через curl."] class exec_powershell action masquerade["<b>Technika</b> – <b>T1036.008 Masquerading: Masquerade File Type</b><br/>Файл LNK маскується під безпечну пошту."] class masquerade action obfuscate["<b>Technika</b> – <b>T1027 Obfuscated Files or Information</b><br/>Навантаження зашифровані AES, кодування Base64u2011; LNK підсумовує іконки."] class obfuscate action sandbox_evasion["<b>Technika</b> – <b>T1497.002 Virtualization/Sandbox Evasion: User Activity Based Checks</b><br/>Шкідливе ПЗ перевіряє статус Windows Defender."] class sandbox_evasion action cond_defender["<b>Оператор</b> – AND умова на основі статусу Defender"] class cond_defender operator defender_on["<b>Умова</b> – Defender увімкнено"] class defender_on action defender_off["<b>Умова</b> – Defender вимкнено"] class defender_off action download_pipe["<b>Дія</b> – Завантаження pipe.zip, дешифрування та екстракція 1.log, 1.ps1, 2.log."] class download_pipe action cred_access["<b>Technika</b> – <b>T1539 Browser Session Hijacking</b>, <b>T1185 Web Session Cookie</b>, <b>T1555.003 Credentials from Web Browsers</b><br/>Скрипти виконують доступ до облікових даних."] class cred_access action collection["<b>Technika</b> – <b>T1056.001 Input Capture: Keylogging</b> та <b>T1115 Clipboard Data</b><br/>Збирає натискання клавіш і вміст буфера обміну."] class collection action download_sys["<b>Дія</b> – Завантаження user.txt та sys.log, дешифрування sys.dll."] class download_sys action load_rundll["<b>Technika</b> – <b>T1218.011 Signed Binary Proxy Execution: Rundll32</b><br/>Завантажує sys.dll через rundll32."] class load_rundll action persistence_appinit["<b>Technika</b> – <b>T1546.010 Event Triggered Execution: AppInit DLLs</b><br/>sys.dll використовується для стійкості/ухилення."] class persistence_appinit action command_control["<b>Technika</b> – <b>T1219 Remote Access Tools</b><br/>notepad.log надає можливість віддаленого виконання команд, фільтрації файлів та подальшого збору даних."] class command_control action clipboard_phish["<b>Technika</b> – <b>T1204.004 Malicious Copy and Paste</b><br/>Техніки фішингового копіювання з буфера обміну."] class clipboard_phish action %% З’єднання initial_user_exec –>|призводить до| exec_mshta exec_mshta –>|виконує| exec_powershell exec_powershell –>|активує| masquerade masquerade –>|активує| obfuscate obfuscate –>|активує| sandbox_evasion sandbox_evasion –>|ініціює| cond_defender cond_defender –>|якщо Defender увімкнено| defender_on cond_defender –>|якщо Defender вимкнено| defender_off defender_on –>|завантажує| download_pipe download_pipe –>|містить| cred_access cred_access –>|активує| collection defender_off –>|завантажує| download_sys download_sys –>|завантажує| load_rundll load_rundll –>|встановлює| persistence_appinit persistence_appinit –>|активує| command_control command_control –>|використовує| clipboard_phish "
Потік атаки
Виявлення
Можливе виконання через короткий скрипт (через cmdline)
Перегляд
Підозріла поведінка ухилення LOLBAS MSHTA за допомогою виявлення пов’язаних команд (через створення процесів)
Перегляд
Можливе проникнення/втеча даних/С2 через сторонні послуги/інструменти (через проксі)
Перегляд
Можливе проникнення/втеча даних/С2 через сторонні послуги/інструменти (через dns)
Перегляд
Виконання Rundll32 з sys.dll у вимкнутих середовищах Windows Defender [Створення процесу Windows]
Перегляд
Шкідливий файл LNK з виконанням команди mshta [Windows Powershell]
Перегляд
Виконання симуляції
Умова: Телеметрія та перевірка базової лінії повинна бути пройдена.
-
Сценарій атаки та команди:
Супротивник отримав доступ до кінцевої точки та бажає виконати довільний код, ухиляючись від традиційного контролю додатків. Вони створюють шкідливий файл HTA, що містить обфускацію VBScript, яка, коли відображається, записує резервний варіант PowerShell на диск. Щоб запустити HTA, вони використовують ярлик Windows (.lnk), який викликаєpowershell.exeз командою, яка викликаєmshta.exe. Виконання ярлика ініціює PowerShell →mshtaланцюг, створюючи точну телеметрію, за якою правило стежить. -
Сценарій регресійного тестування:
# ------------------------------------------------- # 1. Створити шкідливий HTA з обфускацією VBScript # ------------------------------------------------- $htaPath = "$env:TEMPevil.hta" $vbscript = @" <script language='VBScript'> ' Шкідливий вантаж VBScript (приклад: записувати файл) Dim fso, f Set fso = CreateObject("Scripting.FileSystemObject") Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True) f.WriteLine "Compromised by ATT&CK" f.Close </script> "@ Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII # ------------------------------------------------- # 2. Створити ярлик (.lnk), що запускає PowerShell → mshta # ------------------------------------------------- $lnkPath = "$env:TEMPlaunch_malicious.lnk" $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) # Команда PowerShell, що запускає mshta з файлом HTA $psCommand = "mshta.exe `"$htaPath`"" $shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" $shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`"" $shortcut.Save() # ------------------------------------------------- # 3. Виконати ярлик для ініціювання виявлення # ------------------------------------------------- Write-Host "Виконання шкідливого ярлика..." & $lnkPath # ------------------------------------------------- # 4. Пауза для збору журналів # ------------------------------------------------- Start-Sleep -Seconds 10 -
Команди очистки:
# Видалити створені артефакти Remove-Item -Path "$env:TEMPevil.hta" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlaunch_malicious.lnk" -Force -ErrorAction SilentlyContinue Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue Write-Host "Прибирання завершено."