Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Кампанія, спостережена у квітні 2026 року, використовувала фішингові електронні листи з шкідливими файлами LNK або завантаженнями виконуваних файлів, розміщеними на Google Cloud Storage. Доставлене шкідливе ПО встановлювало драйвер ядра під назвою PoisonX разом із модульною RAT на ім’я 10FXRAT, дозволяючи зловмисникам отримувати привілеї рівня ядра, вимикати засоби безпеки та приховувати шкідливу активність. Пізніші варіанти також пристосували тактики BYOVD через легітимні підписані драйвери, такі як EneIo64.sys and procexp.sys. Активність спостерігалася, спрямованою на організації в Японії та Китаї.
Розслідування
Звіт описує весь ланцюжок виконання, починаючи з завантажувача на основі LNK, який викликає curl.exe, а потім переходячи до компонентів PXDropper, що розгортають драйвер PoisonX та модулі 10FXRAT. Він також описує процедури IOCTL, які використовуються для завершення процесів, пов’язаних з безпекою, і приховування мережевого трафіку. Дослідники задокументували перевірки антианалізу, зміни в реєстрі, створення сервісів і методи стійкості, а також перелічили жорстко закодовані IP-адреси командних серверів, пов’язаних з операцією.
Захист
Захисники повинні стежити за несподіваною активністю встановлення драйверів, особливо драйверів, які не підписані або підозріло підписані, та за створенням сервісів із випадковими назвами, схожими на HID-файли. Виявлення також має охоплювати зміни в реєстрі, які додають виключення Microsoft Defender або відключають служби Defender. Виїздний трафік до виявлених діапазонів IP-адрес командних серверів повинен бути заблокований, а моніторинг мережі повинен шукати значення 0x58463031 в TCP-пакетах.
Реакція
У разі виявлення цієї активності, негайно ізолюйте уражену кінцеву точку, відвантажте драйвер PoisonX, де це можливо, і завершите всі процеси 10FXRAT. Відновіть змінені налаштування реєстру, увімкніть захисти Microsoft Defender і замініть модифіковані файли чистими версіями з надійних джерел. Слід провести повне судово-медичне розслідування для виявлення механізмів стійкості та перевірки трафіку до відомих серверів командного керування.
"graph TB %% Визначення класу classDef action fill:#ffcc99 classDef tool fill:#99ff99 classDef malware fill:#ff9966 classDef process fill:#ccccff %% Вузли email["<b>Інструмент</b> – <b>Назва</b>: Фішинговий електронний лист<br/><b>Опис</b>: Цілеспрямований лист із шкідливим посиланням на Google Cloud Storage"] class email tool initial_access_phishing["<b>Дія</b> – <b>T1566.002 Фішинг-посилання</b><br/>Зловмисник відправляє електронний лист, що містить посилання на шкідливий файл LNK або EXE"] class initial_access_phishing action lNK_file["<b>Інструмент</b> – <b>Назва</b>: Зловмисний ярлик LNK<br/><b>Опис</b>: Ярлик, що запускає curl.exe для отримання дроппера"] class lNK_file tool curl_download["<b>Процес</b> – <b>Назва</b>: curl.exe<br/><b>Дія</b>: Завантажує навантаження PXDropper з віддаленого сервера"] class curl_download process pxdropper["<b>Шкідливе ПО</b> – <b>Назва</b>: PXDropper<br/><b>Опис</b>: Дроппер, що встановлює стійкість і готує підвищення привілеїв"] class pxdropper malware persistence_service["<b>Дія</b> – <b>T1547.009 Модифікація ярликів</b><br/>Створює або змінює ярлик для автоматичного запуску"] class persistence_service action registry_run["<b>Дія</b> – <b>T1547.001 Ключі реєстру для автоматичного запуску / Папка автозавантаження</b><br/>Додає запис реєстру для автоматичного виконання"] class registry_run action service_creation["<b>Дія</b> – <b>T1543.003 Створення або зміна системного процесу: Служба Windows</b><br/>Встановлює службу Windows для запуску дроппера при завантаженні"] class service_creation action priv_esc_exploit["<b>Дія</b> – <b>T1068 Експлуатація для підвищення привілеїв</b><br/>Використовує вразливість для завантаження підписаного драйвера"] class priv_esc_exploit action driver_install["<b>Шкідливе ПО</b> – <b>Назва</b>: Драйвер PoisonX<br/><b>Опис</b>: Підписаний драйвер ядра, завантажений як служба (BYOVD)"] class driver_install malware kernel_privilege["<b>Дія</b> – <b>T1547.006 Виконання при завантаженні або вході в систему</b><br/>Драйвер ядра надає привілеї рівня SYSTEM"] class kernel_privilege action defense_evasion["<b>Дія</b> – <b>T1497.001 Уникнення віртуалізації / пісочниць</b><br/>Виконує перевірки для середовищ аналізу"] class defense_evasion action rootkit["<b>Дія</b> – <b>T1014 Руткіт</b><br/>Підключає API ядра для приховування процесів і мережевого трафіку"] class rootkit action discovery_process["<b>Дія</b> – <b>T1057 Виявлення процесів</b><br/>Перелічує запущені процеси на хості"] class discovery_process action discovery_security["<b>Дія</b> – <b>T1518.001 Виявлення програмного забезпечення для безпеки</b><br/>Виявляє встановлені засоби безпеки"] class discovery_security action defense_impair["<b>Дія</b> – <b>Погіршення захисту</b><br/>Використовує команди IOCTL драйвера для завершення процесів продуктів безпеки"] class defense_impair action c2_ratat["<b>Шкідливе ПО</b> – <b>Назва</b>: 10FXRAT<br/><b>Опис</b>: Засіб віддаленого доступу, що створює внутрішній SOCKS5 проксі"] class c2_ratat malware c2_communication["<b>Дія</b> – <b>T1219 Засоби віддаленого доступу</b><br/>Встановлює зашифроване C&C з’єднання з атакуючим"] class c2_communication action proxy_setup["<b>Дія</b> – <b>T1090 Проксі</b><br/>Налаштовує внутрішній SOCKS5 тунель для пересилання трафіку"] class proxy_setup action additional_mods["<b>Дія</b> – <b>Додаткові можливості</b><br/>Модульні плагіни забезпечують кейлогінг, крадіжку облікових даних і збирання кріптогаманців"] class additional_mods action %% Зв’язки, що показують потік атаки email –>|доставляє| initial_access_phishing initial_access_phishing –>|надає| lNK_file lNK_file –>|виконує| curl_download curl_download –>|завантажує| pxdropper pxdropper –>|створює| persistence_service persistence_service –>|реєструє| service_creation service_creation –>|запускає| pxdropper pxdropper –>|додає| registry_run pxdropper –>|використовує| priv_esc_exploit priv_esc_exploit –>|встановлює| driver_install driver_install –>|надає| kernel_privilege kernel_privilege –>|включає| rootkit rootkit –>|виконує| defense_evasion rootkit –>|виконує| discovery_process rootkit –>|виконує| discovery_security discovery_process –>|включає| defense_impair pxdropper –>|скидає| c2_ratat c2_ratat –>|використовує| c2_communication c2_communication –>|встановлює| proxy_setup proxy_setup –>|підтримує| additional_mods "
Потік атаки
Виявлення
Підозріле використання CURL (через cmdline)
Переглянути
Можливі точки стійкості [ASEPs – ПЗ/Вулик NTUSER] (через події реєстру)
Переглянути
Вимкнення захисту Windows Defender (через події реєстру)
Переглянути
Можливий зловмисний файл LNK з подвійним розширенням (через cmdline)
Переглянути
Можливість виконання через приховані командні рядки PowerShell (через cmdline)
Переглянути
Виклик підозрілих .NET класів/методів з Powershell (через створення процесу)
Переглянути
Виконання системних процесів з нетипових шляхів (через створення процесу)
Переглянути
Виклик підозрілих .NET методів з Powershell (через powershell)
Переглянути
Підозрілі зміни в налаштуваннях Windows Defender (через powershell)
Переглянути
Домен Google Api Storage був вирішений незвичайним процесом (через dns_query)
Переглянути
IOC (HashSha256) для виявлення: кампанія атаки на базі драйвера PoisonX, націлена на японські організації Частина 2
Переглянути
IOC (HashSha256) для виявлення: кампанія атаки на базі драйвера PoisonX, націлена на японські організації Частина 1
Переглянути
IOC (SourceIP) для виявлення: кампанія атаки на базі драйвера PoisonX, націлена на японські організації
Переглянути
IOC (DestinationIP) для виявлення: кампанія атаки на базі драйвера PoisonX, націлена на японські організації
Переглянути
Виявлення зв’язку C2 для 10FXRAT [З’єднання мережі Windows]
Переглянути
Виявлення 10FXRAT та команд по відключенню сервісів безпеки [Створення процесів Windows]
Переглянути
Стійкість шкідливого ПЗ через Windows Defender та зміни в ключах автозавантаження [Події реєстру Windows]
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базової лінії повинна бути пройденою.
Опис: У цьому розділі детально описується точне виконання техніки нападника (TTP), призначеної для спрацювання правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати виявлені TTP та мати на меті генерувати точну телеметрію, очікувану логікою виявлення.
-
Опис атаки та команди:
Атакуючий спочатку впроваджує користувацьке шкідливе навантаження вusoclient64.exeдля отримання доступу до довіреного процесу (T1574.009). З викраденим процесом вони виконують однорядковий скрипт PowerShell, який додає папку з шкідливим навантаженням до списку виключень Windows Defender (T1564.012). Нарешті, вони відключають основні сервіси безпеки, використовуючи ланцюговий викликcmd.exeякий зупиняє Windows Defender, Центр безпеки Windows та будь-яке стороннє антивірусне ПЗ (T1547.001 забезпечення через порушення сервісу).- Холоуінг процесів / впровадження – симулювати запуск
usoclient64.exeз PowerShell скриптом, що використовує sleep (представляє впроваджений код). - Додати виключення Defender – команда PowerShell, точно відповідаюча рядку правила.
- Зупинити сервіси безпеки –
cmd.exeоднорядковий, що зупиняє сервіси.
- Холоуінг процесів / впровадження – симулювати запуск
-
Скрипт регресійного тестування:
# ------------------------------------------------------------------------- # Скрипт симуляції – активує правило Sigma для поведінки, схожої на 10FXRAT # ------------------------------------------------------------------------- # 1. Симуляція впровадження в usoclient64.exe (заповнювач для холоуінгу процесу) $usoclient = "$env:SystemRootSystem32usoclient64.exe" Write-Host "[*] Запуск usoclient64.exe (симульоване впровадження)..." Start-Process -FilePath $usoclient -ArgumentList "/RunDll32" -WindowStyle Hidden # 2. Команда PowerShell, що додає шлях виключення Defender (відповідає правилу) Write-Host "[*] Додавання шляху виключення Windows Defender..." powershell.exe -NoP -NonI -W Hidden -C "Add-MpPreference -ExclusionPath 'C:TempMalicious'" # 3. Вимкнення сервісів безпеки через cmd (відповідає правилу) Write-Host "[*] Вимкнення сервісів безпеки..." cmd.exe /c "net stop WinDefend /y >nul 2>&1 & net stop wscsvc /y >nul 2>&1 & net stop Sense /y >nul 2>&1" Write-Host "[+] Симуляція завершена. Перевірте попередження в SIEM." -
Команди очищення:
# ------------------------------------------------------------------------- # Очищення – відновлює нормальні параметри безпеки # ------------------------------------------------------------------------- # Видалити виключення Defender powershell.exe -NoP -NonI -W Hidden -C "Remove-MpPreference -ExclusionPath 'C:TempMalicious'" # Перезапустити зупинені сервіси cmd.exe /c "net start WinDefend >nul 2>&1 & net start wscsvc >nul 2>&1 & net start Sense >nul 2>&1" # Опціонально вбити екземпляр usoclient64.exe Get-Process -Name usoclient64 -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "[+] Очищення завершено."