Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Payload – це сімейство програм-вимагань для Windows, яке шифрує файли за допомогою ChaCha20 та використовує обмін Curve25519 ECDH для кожного файлу, а потім додає .payload розширення до уражених даних. Шкідлива програма зберігає RECOVER_payload.txt записку-вимагач, створює власний лог-файл та застосовує кілька анти-форензичних заходів, включаючи патчинг ETW, видалення VSS-копій, очищення журналів подій та завершення вибраних процесів та служб. Вперше виявлено у лютому 2026 року, група швидко розширила свою базу жертв на кількох континентах, з особливою увагою до логістичних, нерухомих і виробничих організацій. Оператори також покладаються на сайти Tor для спілкування з жертвами та публікації витоків даних.
Розслідування
Аналіз пояснює криптографічний робочий процес програми-вимагання, включаючи створення нової 32-байтової приватної ключі жертви, виведення спільного секрету через Curve25519 та пряме використання цього спільного секрету як ключа шифрування ChaCha20. Шифрування файлів здійснюється через порти завершення I/O та завершується 56-байтовим RC4-зашифрованим нижнім колонтитулом, що містить публічний ключ жертви та постійний FBI маркер. Його анти-форензична поведінка включає патчинг ETW в пам’яті, видалення копій через vssadmin, та видалення журналів подій Windows. Дослідники також знайшли передвизначений список процесів та служб, які програма-вимагач зупиняє, перш ніж запускати шифрування.
Пом’якшення
Захисники повинні слідкувати за MakeAmericaGreatAgain м’ютексом, новоствореними .payload файлами та наявністю RECOVER_payload.txt записки-вимагача. Обмеження виконання vssadmin.exe та блокування відомих Tor адрес, пов’язаних з групою, можуть зменшити ефективність її анти-форензичних і комунікаційних методів. Захист кінцевих точок також повинен виявляти патчинг ETW, підозрілу активність NT API файлового введення/виведення та примусове завершення важливих служб. Підтримання регулярних резервних копій та обмеження залежності від тіньових копій можуть ще більше зменшити вплив на бізнес.
Відповідь
Якщо виявлено програму-вимагач Payload, негайно ізолюйте уражений хост від мережі, збережіть нестійку пам’ять та зберіть відповідні журнали для аналізу. Слідчі повинні виявити та зупинити будь-які залишкові шкідливі процеси, потім пріоритетно відновити з перевірених чистих резервних копій. Якщо резервні копії недоступні, зусилля по відновленню можуть скористатися наданими ключами дешифрування разом з вбудованим RC4-зашифрованим нижнім колонтитулом, щоб спробувати відновити файли. Відповідні індикатори слід поділитися з командами розвідки про загрози, а пов’язану інфраструктуру Tor та будь-які пов’язані активи команд і контролю слід заблокувати.
"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef process fill:#c2f0c2 classDef tool fill:#cccccc classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Nodes action_initial_execution["<b>Дія</b> – <b>T1059 Виконання командного рядка</b>: Програма-вимагач запущена з аргументами командного рядка для керування логуванням, вибору алгоритму шифрування, кількості потоків, фоновим режимом, керуванням м’ютексами, створенням записки-вимагача, завершення процесів/служб, обходу ETW та очищення журналів подій."] class action_initial_execution action op_and1(("AND")) class op_and1 operator tech_T1059["<b>Техніка</b> – T1059: Інтерфейс командного рядка. Виконує програми через аргументи командного рядка."] class tech_T1059 technique tech_T1027["<b>Техніка</b> – T1027: Файли або інформація, які є затемненими. Використовує подвійне кодування Base64, RC4-зашифрований нижній колонтитул та динамічне вирішення NT API для уникнення статичного виявлення."] class tech_T1027 technique tech_T1490["<b>Техніка</b> – T1490: Інгібування відновлення системи. Видаляє всі знімки Volume Shadow Copy через vssadmin.exe."] class tech_T1490 technique tech_T1070_001["<b>Техніка</b> – T1070.001: Очищення журналів подій Windows. Використовує wevtapi.dll для очищення всіх каналів журналів подій."] class tech_T1070_001 technique tech_T1070["<b>Техніка</b> – T1070: Видалення індикаторів на хості (Обхід ETW). Патчити функції ETW у пам’яті, щоб придушити трасування подій."] class tech_T1070 technique tech_T1486["<b>Техніка</b> – T1486: Дані, зашифровані для впливу. Генерує пер-файлові ключі ChaCha20 через Curve25519 ECDH, шифрує файли частинами по 1 МБ, додає розширення .payload та додає RC4-зашифрований нижній колонтитул, що містить публічний ключ жертви та nonce."] class tech_T1486 technique tech_T1489["<b>Техніка</b> – T1489: Зупинка служби. Припиняє резервні копії, бази даних, служби безпеки та процеси, такі як sql.exe та firefox.exe."] class tech_T1489 technique tech_T1564_012["<b>Техніка</b> – T1564.012: Виняток файлів/каталогів. Пропускає шифрування каталогів та файлів системи, браузера та відновлення."] class tech_T1564_012 technique process_vssadmin["<b>Процес</b> – vssadmin.exe: Видаляє тіньові копії, щоб видалити точки відновлення."] class process_vssadmin process process_wevtapi["<b>Процес</b> – wevtapi.dll: Очищає канали журналів подій Windows."] class process_wevtapi process process_etw["<b>Процес</b> – Модуль обходу ETW: Патчити функції ETW, щоб придушити трасування."] class process_etw process process_termination["<b>Процес</b> – Завершення служби/процесу: Завершує sql.exe, firefox.exe та інші служби резервного копіювання, бази даних та захисту."] class process_termination process malware_ransomware["<b>Шкідливе ПЗ</b> – Програма-вимагач Payload: Виконує шифрування, створення записки-вимагача та діяльність із прибирання."] class malware_ransomware malware %% З’єднання action_initial_execution –>|призводить до| op_and1 op_and1 –>|використовує| tech_T1059 op_and1 –>|використовує| tech_T1027 op_and1 –>|використовує| tech_T1490 op_and1 –>|використовує| tech_T1070_001 op_and1 –>|використовує| tech_T1070 op_and1 –>|використовує| tech_T1486 op_and1 –>|використовує| tech_T1489 op_and1 –>|використовує| tech_T1564_012 tech_T1490 –>|виконує| process_vssadmin tech_T1070_001 –>|виконує| process_wevtapi tech_T1070 –>|виконує| process_etw tech_T1486 –>|виконано| malware_ransomware tech_T1489 –>|виконує| process_termination "
Потік атаки
Виявлення
Підозріла активність VSSADMIN (через командний рядок)
Перегляд
IOC-и (HashSha256) для виявлення: Behind .payload: In-Depth Technical Analysis of Payload Ransomware
Перегляд
IOC-и (HashSha1) для виявлення: Behind .payload: In-Depth Technical Analysis of Payload Ransomware
Перегляд
IOC-и (HashMd5) для виявлення: Behind .payload: In-Depth Technical Analysis of Payload Ransomware
Перегляд
Виявлення активності Payload Ransomware [Подія файлу Windows]
Перегляд
Виявлення активності Payload Ransomware [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базової лінії повинна бути пройденою.
Обґрунтування: У цьому розділі викладено точне виконання техніки супротивника (TTP), яка призначена для запуску правила виявлення. Команди та наратив МАЮТЬ точно відображати виявлені TTP та повинні генерувати саме ту телеметрію, яку очікує логіка виявлення.
-
Опис атаки та команди:
- Видалення тіньової копії (T1561.001): Атакуючий виконує безмовну команду видалення VSS для знищення всіх попередніх точок відновлення, запобігаючи відновленню файлів жертвами.
- Створення м’ютекса (T1203 – непряма): Payload створює глобальний м’ютекс з назвою “MakeAmericaGreatAgain” для забезпечення виконання однієї копії.
- Завершення процесу (T1203): Програма-вимагач завершує процеси, пов’язані з безпекою, використовуючи
TerminateProcessAPI. - Обхід ETW (T1562.001): Атакуючий запускає дочірній процес з
--bypass-etwфлагом, щоб приглушити трасування подій у Windows.
Всі чотири дії виконуються за допомогою одного скрипта PowerShell, який викликає
cmd.exe /cз точними рядками, які шукає правило Sigma. -
Скрипт регресійного тесту:
# PayloadRansomwareSimulation.ps1 # Мета: Генерація командних рядків, які збігаються з правилами Sigma. # 1. Видалення всіх тіньових копій VSS (тихо) $vssCmd = 'cmd.exe /c vssadmin.exe delete shadows /all /quiet' Write-Host "Виконання видалення VSS..." Invoke-Expression $vssCmd # 2. Створення глобального м'ютексу з ім'ям "MakeAmericaGreatAgain" $mutexName = 'MakeAmericaGreatAgain' $mutex = New-Object System.Threading.Mutex($false, $mutexName) if ($mutex.WaitOne(0)) { Write-Host "М'ютекс [$mutexName] створено." } # 3. Завершення процесу (наприклад, notepad) для симуляції завершення процесу Start-Process notepad Start-Sleep -Seconds 2 $proc = Get-Process -Name notepad -ErrorAction SilentlyContinue if ($proc) { $terminateCmd = "cmd.exe /c taskkill /PID $($proc.Id) /F" Write-Host "Завершення процесу з командою: $terminateCmd" Invoke-Expression $terminateCmd } # 4. Запуск безпечного процесу з флагом обходу ETW $etwBypassCmd = 'cmd.exe /c powershell.exe -NoProfile -WindowStyle Hidden --bypass-etw' Write-Host "Запуск процесу обходу ETW..." Invoke-Expression $etwBypassCmd Write-Host "Симуляція завершена. Усі рядки індикаторів повинні бути присутні у журналах Sysmon." -
Команди для очищення:
# CleanupPayloadRansomwareSimulation.ps1 # Відпустити м'ютекс $mutexName = 'MakeAmericaGreatAgain' $mutex = [System.Threading.Mutex]::OpenExisting($mutexName) -ErrorAction SilentlyContinue if ($null -ne $mutex) { $mutex.ReleaseMutex() $mutex.Close() Write-Host "М'ютекс [$mutexName] відпущено." } # Переконатися, що немає залишкових процесів notepad Get-Process -Name notepad -ErrorAction SilentlyContinue | Stop-Process -Force # Додаткове очищення не потрібне для видалення VSS (його не можна скасувати) – зверніть увагу, що це виконується лише в ізольованій лабораторії. Write-Host "Очищення завершено."
Кінець звіту