SOC Prime Bias: Високий

03 Jun 2026 16:38 UTC
newspaper icon AttackIQ

Емуляція Вимагачів Gentlemen Пояснення

Author Photo
SOC Prime Team linkedin icon Стежити
Емуляція Вимагачів Gentlemen Пояснення
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Група-вимагач Gentlemen активна з липня 2025 року і використовує модель подвоєнного вимагання, поєднуючи шифрування файлів з крадіжкою даних та вимаганням через сайт витоків. Шкідливе програмне забезпечення написане на Go, підтримує середовища Windows, Linux та ESXi, і використовує заздалегідь визначений парольний аргумент під час процесу шифрування. Оператори також спираються на широку розвідку, зловживання об’єктами політик групи та легітимними інструментами, такими як WinSCP, для переміщення та ексфільтрації даних у зашифрованій формі.

Дослідження

AttackIQ опублікував емуляцію, яка відтворює тактики, техніки та процедури, описані кількома постачальниками безпеки, що охоплює початковий доступ, стійкість, ухилення від захисту, виявлення, бічний рух та вплив. Емуляція включає поведінку, таку як створення запланованих завдань, ключів Run у реєстрі, шкідливих сервісів, змін правил брандмауера та видалення тіньових копій томів.

Захист

Захисникам слід стежити за підозрілою активністю PowerShell, несподіваним створенням запланованих завдань, змінами в реєстрі, пов’язаними з нульовими сесіями та виключеннями Microsoft Defender, а також спробами ввімкнути SMBv1. Сегментація мережі та контроль доступу за принципом мінімальних привілеїв можуть допомогти обмежити здатність групи пересуватися бічною експлуатацією через спільні ресурси.

Реакція

Якщо виявлена активність, пов’язана з Gentlemen, ізолюйте уражену систему негайно, зберіть волатильні докази, збережіть зразок програми-вимагача та пов’язані артефакти реєстру і почніть процедури реагування на інцидент для відновлення тіньових копій та журналів подій з резервних копій, де можливо. Також слід провести повне судове розслідування для виявлення крадіжки облікових даних і будь-якого бічного переміщення через середовище.

graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef builtin fill:#dddddd %% Action nodes act_system_info[“<b>Дія</b> – <b>T1082 Розвідка системної інформації</b><br/>Збір версії ОС, імені хоста та інших системних даних”] class act_system_info action act_persistence[“<b>Дія</b> – Персистентність”] class act_persistence action act_scheduled_task[“<b>Дія</b> – <b>T1053.005 Заплановане завдання</b><br/>Створення задачі, що запускається при старті системи”] class act_scheduled_task action act_registry_run[“<b>Дія</b> – <b>T1547.001 Ключі автозапуску / Run-реєстр</b><br/>Додавання Run-ключа в HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run”] class act_registry_run action act_windows_service[“<b>Дія</b> – <b>T1543.003 Служба Windows</b><br/>Створення нової служби через sc.exe”] class act_windows_service action act_defense_evasion[“<b>Дія</b> – Ухилення від захисту”] class act_defense_evasion action act_disable_defender[“<b>Дія</b> – <b>T1562.001 Вимкнення або зміна засобів захисту</b><br/>Вимкнення захисту в реальному часі Windows Defender”] class act_disable_defender action act_add_exclusions[“<b>Дія</b> – <b>T1562.001 Вимкнення або зміна засобів захисту</b><br/>Додавання виключень через Set-MpPreference”] class act_add_exclusions action act_enable_firewall[“<b>Дія</b> – Увімкнення необмеженого мережевого виявлення”] class act_enable_firewall action act_discovery[“<b>Дія</b> – Фаза розвідки”] class act_discovery action act_ad_domain[“<b>Дія</b> – <b>T1482 Розвідка довіри домену</b><br/>Отримання AD-інформації через Get-ADDomain”] class act_ad_domain action act_ad_computers[“<b>Дія</b> – <b>T1018 Розвідка віддалених систем</b><br/>Перелік комп’ютерів домену через Get-ADComputer”] class act_ad_computers action act_wmi_info[“<b>Дія</b> – <b>T1082 Розвідка системної інформації</b><br/>Збір даних через WMI”] class act_wmi_info action act_file_enum[“<b>Дія</b> – <b>T1083 Розвідка файлів і директорій</b><br/>Перелік файлів через FindFirstFileW/FindNextFileW”] class act_file_enum action act_volume_disc[“<b>Дія</b> – <b>T1680 Розвідка локального сховища</b><br/>Перелік томів через Win32_Volume та Get-PSDrive”] class act_volume_disc action act_network_share[“<b>Дія</b> – <b>T1049 Розвідка мережевих ресурсів</b><br/>Виявлення SMB-шар через WNetOpenEnum/WNetEnumResource”] class act_network_share action act_lateral_movement[“<b>Дія</b> – Латеральне переміщення”] class act_lateral_movement action act_create_share[“<b>Дія</b> – <b>T1021 Віддалені сервіси</b><br/>Створення прихованого SMB-шару через net share”] class act_create_share action act_modify_acls[“<b>Дія</b> – <b>T1222.001 Розвідка груп дозволів</b><br/>Надання повних анонімних прав через icacls”] class act_modify_acls action act_null_session[“<b>Дія</b> – <b>T1556.009 Маніпуляція токенами доступу</b><br/>Зміна NullSessionShares та анонімних параметрів реєстру”] class act_null_session action act_copy_payload[“<b>Дія</b> – Копіювання ransomware-пейлоаду на віддалений хост”] class act_copy_payload action act_execute_wmi[“<b>Дія</b> – <b>T1047 WMI</b><br/>Віддалене виконання через WMI/WMIC”] class act_execute_wmi action act_impact[“<b>Дія</b> – Фаза впливу”] class act_impact action act_delete_shadow[“<b>Дія</b> – <b>T1490 Блокування відновлення системи</b><br/>Видалення тіньових копій через vssadmin і wmic”] class act_delete_shadow action act_clear_logs[“<b>Дія</b> – <b>T1070.001 Очищення журналів Windows</b><br/>Видалення логів через wevtutil.exe”] class act_clear_logs action act_encrypt_files[“<b>Дія</b> – <b>T1486 Шифрування даних для впливу</b><br/>Шифрування файлів (XChaCha20) і захист ключів (Curve25519)”] class act_encrypt_files action %% Connections act_system_info –>|призводить до| act_persistence act_persistence –>|створює| act_scheduled_task act_persistence –>|створює| act_registry_run act_persistence –>|створює| act_windows_service act_persistence –>|призводить до| act_defense_evasion act_defense_evasion –>|використовує| act_disable_defender act_defense_evasion –>|використовує| act_add_exclusions act_defense_evasion –>|використовує| act_enable_firewall act_defense_evasion –>|призводить до| act_discovery act_discovery –>|включає| act_ad_domain act_discovery –>|включає| act_ad_computers act_discovery –>|включає| act_wmi_info act_discovery –>|включає| act_file_enum act_discovery –>|включає| act_volume_disc act_discovery –>|включає| act_network_share act_discovery –>|призводить до| act_lateral_movement act_lateral_movement –>|створює| act_create_share act_lateral_movement –>|змінює| act_modify_acls act_lateral_movement –>|змінює| act_null_session act_lateral_movement –>|копіює| act_copy_payload act_lateral_movement –>|виконує| act_execute_wmi act_execute_wmi –>|призводить до| act_impact act_impact –>|включає| act_delete_shadow act_impact –>|включає| act_clear_logs act_impact –>|включає| act_encrypt_files

Потік атаки

Виявлення

Можливі точки сталості [ASEPs – Реєстр програм/NTUSER Hive] (через registry_event)

Команда SOC Prime
03 червня 2026 року

Переглянути

Можливе віддалене керування службою терміналів (через registry_event)

Команда SOC Prime
03 червня 2026 року

Переглянути

Можливе системне перерахування (через cmdline)

Команда SOC Prime
03 червня 2026 року

Переглянути

Можливе виявлення мережевих ресурсів (через cmdline)

Команда SOC Prime
03 червня 2026 року

Переглянути

Можливе перерахування адміністративних облікових записів або груп (через cmdline)

Команда SOC Prime
03 червня 2026 року

Переглянути

Підозріла активність VSSADMIN (через cmdline)

Команда SOC Prime
03 червня 2026 року

Переглянути

Створення або видалення тіньової копії через Powershell, CMD або WMI (через cmdline)

Команда SOC Prime
03 червня 2026 року

Переглянути

Підозрілі зміни в налаштуваннях Windows Defender (через powershell)

Команда SOC Prime
03 червня 2026 року

Переглянути

Можливі перевірки для ухилення (через powershell)

Команда SOC Prime
03 червня 2026 року

Переглянути

Індикатори компрометації (HashSha256) для виявлення: Емуляція програм-вимагачів Gentlemen

Правила SOC Prime AI
03 червня 2026 року

Переглянути

Виявлення активності Gentlemen Ransomware [Windows Powershell]

Правила SOC Prime AI
03 червня 2026 року

Переглянути

Виконання симуляції

Передумова: Перевірка телеметрії та базової лінії повинна бути пройдена.

Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для виклику правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати ідентифіковані TTP і націлюватися на генерування точної телеметрії, очікуваної детекторами.

Історія атаки та команди

Противник, який отримав низькопривілейований доступ до виконання на сервері Windows, приєднаному до домену, бажає підготувати середовище до розгортання програм-вимагачів. Вони використовують вбудовані команди PowerShell для:

  1. Вимкнення захисту в реальному часі (Set-MpPreference).
  2. Відкрити порти брандмауера (Enable-NetFirewallRule).
  3. Увімкнути додаткові функції Windows (Import-Module ServerManager + Enable-WindowsOptionalFeature).
  4. Збір інформації про домен (Get-ADDomain, Get-ADComputer).
  5. Перерахування системних деталей (Get-WmiObject Win32_ComputerSystem, Get-PSDrive).
  6. Копіювання шкідливих навантажень на віддалений ресурс (Copy-Item).

Кожен крок виконується в окремому процесі PowerShell, щоб забезпечити, що командний рядок кожного процесу містить один з рядків, за яким слід Sigma, тим самим генеруючи необхідну телеметрію.

Сценарій регресійного тестування

# -------------------------------------------------
# Сценарій симуляції – виклик правила виявлення програм-вимагачів Gentlemen
# -------------------------------------------------
# ПРИМІТКА: Виконуйте це на ізольованому хості Windows, який не є у виробництві.

# 1. Вимкніть реальний моніторинг Windows Defender
powershell.exe -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

# 2. Увімкніть правило для брандмауера (наприклад, дозвольте вхідні SMB)
powershell.exe -Command "Enable-NetFirewallRule -DisplayGroup 'File and Printer Sharing'"

# 3. Встановіть модуль Server Manager і увімкніть функцію Windows
powershell.exe -Command "Import-Module ServerManager; Enable-WindowsOptionalFeature -Online -FeatureName TelnetClient -NoRestart"

# 4. Перерахування інформації домену AD
powershell.exe -Command "Get-ADDomain | Out-Null"

# 5. Перелік комп'ютерів AD (виявлення)
powershell.exe -Command "Get-ADComputer -Filter * | Select-Object Name | Out-Null"

# 6. Запит WMI для системних деталей
powershell.exe -Command "Get-WmiObject Win32_ComputerSystem | Out-Null"

# 7. Показати поточні PS-диски
powershell.exe -Command "Get-PSDrive | Out-Null"

# 8. Копіювати тестовий файл на віддалений ресурс для імітації бокового руху
#    (Замініть REMOTE-SERVERShare на досяжний SMB-ресурс у вашій лабораторії)
$dummy = "$env:TEMPdummy.txt"
"test" | Out-File -FilePath $dummy -Encoding ASCII
powershell.exe -Command "Copy-Item -Path '$dummy' -Destination '\REMOTE-SERVERSharedummy.txt'"

# Видалення тестового файлу локально
Remove-Item $dummy -Force

Команди для очищення

# -------------------------------------------------
# Сценарій очищення – відновлення хоста до передтестового стану
# -------------------------------------------------
# Повторно увімкніть захист у реальному часі Windows Defender
Set-MpPreference -DisableRealtimeMonitoring $false

# Вимкніть правило для брандмауера, додане вище (якщо все ще присутнє)
Disable-NetFirewallRule -DisplayGroup 'File and Printer Sharing'

# Видаліть тестовий файл з віддаленого ресурсу (потребує дозволу на запис)
Remove-Item -Path 'REMOTE-SERVERSharedummy.txt' -Force -ErrorAction SilentlyContinue

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно