Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники використовують засоби створення вебсайтів на основі ШІ для створення переконливих фішингових сторінок, що імітують бразильські банківські бренди. Ці сторінки застосовують техніку ClickFix, яка використовує фальшиві перевірки CAPTCHA та повідомлення про відновлення системи, щоб переконати жертв виконати шкідливі команди PowerShell. Результатом є доставка SmartRAT, троянської програми на базі PowerShell, розробленої для віддаленого доступу та викрадення фінансової інформації.
Розслідування
Zscaler ThreatLabz виявила кілька доменів кейлогінгу та проаналізувала весь ланцюжок зараження, спостерігаючи за коментарями та скриптами, згенерованими ШІ, розробленими для протидії інспекції. Розслідування також виявило слабкість в AI-збудованій панелі команд та управління, яка дозволяла автентифікаційний обхід можливий через клієнтську сторону localStorage маніпуляцію. Дослідники також декодували протокол зв’язку SmartRAT та задокументували його використання в AES-CBC шифруванні.
Захист
Організаціям слід розгорнути веб-фільтрацію для блокування відомих доменів кейлогінгу та шкідливих доменів. Захист кінцевих точок слід налаштувати для виявлення та обмеження підозрілої активності PowerShell і несанкціонованого створення запланованих завдань. Зусилля для підвищення обізнаності користувачів також повинні навчити співробітників розпізнавати соціальну інженерію в стилі ClickFix, включаючи фальшиві сині екрани, повідомлення про відновлення або підказки CAPTCHA.
Відповідь
Якщо виявлена активність SmartRAT, негайно ізолюйте уражені кінцеві точки, щоб зупинити трафік команд та контролю і обмежити подальші переміщення. Проведіть судово-медичний аналіз для визначення методу стійкості, чи є він на основі послуг або на основі запланованих завдань, та шукайте відповідні артефакти, такі як msedgeupdate.txt. Перевірте журнали веб-проксі на наявність трафіку до виявленої інфраструктури і ініціюйте скидання облікових записів для всіх уражених користувачів.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef technique fill:#ccffcc %% Initial Access and Execution Phase action_phishing["<b>Дія</b> – <b>T1566 Фішинг</b><br/>Зловмисники використовують кейлогінгові домени та згенеровані ШІ вебсайти для заманювання жертв."] class action_phishing action action_clickfix["<b>Дія</b> – <b>T1204.004 Виконання користувача: Зловмисний копіювання та вставка</b><br/>Обманює користувачів на вставлення зловмисної<br/>команди PowerShell у вікно запуску Windows."] class action_clickfix action action_ingress["<b>Дія</b> – <b>T1105 Перенос інструменту входу</b><br/>Завантажує прихований дроппер з ім’ям st.txt<br/>з віддаленого IP 64.95.13.238."] class action_ingress action tool_dropper["<b>Інструмент</b> – <b>Назва</b>: st.txt<br/><b>Опис</b>: Прихований дроппер, що використовується для<br/>сприяння доставці основного шкідливого ПО."] class tool_dropper tool %% Malware Execution and Persistence Phase malware_smartrat["<b>Шкідливе ПО</b> – <b>Назва</b>: SmartRAT<br/><b>Опис</b>: Основний RAT, що використовується для<br/>спостереження та крадіжки фінансових даних."] class malware_smartrat malware action_user_exec_file["<b>Дія</b> – <b>T1204.002 Виконання користувача: Зловмисний файл</b><br/>Запускає основне шкідливе ПО SmartRAT."] class action_user_exec_file action action_gather_info["<b>Дія</b> – <b>T1592.001/002 Збір інформації про цільовий хост</b><br/>Збирає інформацію про апаратне забезпечення, програми та OS<br/>для генерації унікального ідентифікаційного токена."] class action_gather_info action action_persistence_service["<b>Дія</b> – <b>T1543.003 Створення або модифікація системного процесу: Служба Windows</b><br/>Створює службу Windows з ім’ям<br/>MicrosoftEdgeUpdateCore для стійкості."] class action_persistence_service action action_persistence_registry["<b>Дія</b> – <b>Стійкість через ключі запуску реєстру</b><br/>Використовує ключі запуску реєстру для підтримки доступу."] class action_persistence_registry action action_priv_esc["<b>Дія</b> – <b>T1548 Привілейоване підвищення</b><br/>Запитує підвищення прав UAC для запуску<br/>служби з системними привілеями."] class action_priv_esc action %% Command and Control and Exfiltration Phase action_c2["<b>Дія</b> – <b>T1071 Команди та управління</b><br/>Використовує необроблені TCP-сокети на нестандартному<br/>порту 51888 для зв’язку."] class action_c2 action action_exfiltrate["<b>Дія</b> – <b>T1041 Експлікація через канал C2</b><br/>Краде фінансові дані через<br/>встановлений з’єднання C2."] class action_exfiltrate action %% Post-Exploitation and Evasion Phase action_video_capture["<b>Дія</b> – <b>T1125 Відеозапис</b><br/>Виконує потокове передавання екрану для спостереження."] class action_video_capture action action_input_tracking["<b>Дія</b> – <b>T1056 Слідкування за ввідними даними</b><br/>Використовує кейлогінг для моніторингу вводу користувача."] class action_input_tracking action action_mfa_interception["<b>Дія</b> – <b>T1111 Перехоплення багатофакторної аутентифікації</b><br/>Використовує фальшиві накладки для викрадення токенів MFA."] class action_mfa_interception action action_masquerading["<b>Дія</b> – <b>T1036 Маскування</b><br/>Використовує дублікатні імена файлів як msedge.txt для уникнення виявлення."] class action_masquerading action action_file_deletion["<b>Дія</b> – <b>T1070.004 Видалення індикаторів: Видалення файлів</b><br/>Використовує команду деінсталяції для зменшення<br/>слідів судової експертизи."] class action_file_deletion action %% Connection Flow action_phishing –>|веде до| action_clickfix action_clickfix –>|веде до| action_ingress action_ingress –>|звантажує| tool_dropper tool_dropper –>|виконує| action_user_exec_file action_user_exec_file –>|запускає| malware_smartrat malware_smartrat –>|виконує| action_gather_info malware_smartrat –>|встановлює| action_persistence_service malware_smartrat –>|встановлює| action_persistence_registry malware_smartrat –>|намагається| action_priv_esc action_priv_esc –>|дає можливість| action_c2 action_c2 –>|використовується для| action_exfiltrate action_c2 –>|використовується для| action_video_capture action_c2 –>|використовується для| action_input_tracking action_c2 –>|використовується для| action_mfa_interception malware_smartrat –>|використовує| action_masquerading malware_smartrat –>|виконує| action_file_deletion
Потік атак
Виявлення
Можливі точки стійкості [ASEPs – РЕЄСТР/NTUSER ] (через registry_event)
Перегляд
Завантаження або вивантаження через Powershell (через cmdline)
Перегляд
Виклик підозрілих методів .NET з Powershell (через powershell)
Перегляд
Виклик підозрілих функцій Windows API з Powershell (через powershell)
Перегляд
Підозрілі файли в профілі публічного користувача (через file_event)
Перегляд
Виявлення виконання PowerShell SmartRAT через PowerShell ScriptBlockText [Windows Sysmon]
Перегляд
Стійкість SmartRAT через заплановане завдання та модифікацію реєстру [Windows Процес ств.]
Перегляд
Виявлення команди та технік PowerShell, які використовує SmartRAT [Windows Powershell]
Перегляд
## Виконання Симуляції
Передумова: Перевірка телеметрії та базової лінії пройшли успішно.
Підґрунтя: У цьому розділі детально описується точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та розповіді повинні безпосередньо відображати виявлені TTPs та спрямовані на генерування точної телеметрії, яку очікує виявлення. Абстрактні або не пов’язані приклади призведуть до помилкового діагнозу.
-
Послідовність дій та команди атаки: Супротивник успішно отримав початковий доступ через фішингову кампанію (T1566) і зараз намагається встановити стійкість. Щоб інтегруватися з легітимною системною активністю, атакуючий використовує підхід “Living-off-the-Land”, виконуючи зловмисну команду, яка маскується під процес оновлення Microsoft Edge (T1036). Атакуючий виконує інструкцію командного рядка, яка містить рядок
msedgeupdate.txtдля активації симульованого механізму стійкості, що в реальному світі включало б створення запланованого завдання або служби. -
Скрипт тесту на регресію:
# Скрипт симуляції стійкості SmartRAT # Цей скрипт генерує специфічну телеметрію командного рядка, необхідну для активації правила виявлення. $TargetString = "msedgeupdate.txt" $FakePath = "C:UsersPublicDocuments$TargetString" # Створення підробленого файлу, щоб створити команду реалістичною New-Item -Path $FakePath -ItemType File -Force | Out-Null Write-Host "[+] Симуляція стійкості SmartRAT через командний рядок: $TargetString" -ForegroundColor Cyan # Виконання команди, що активує логіку виявлення Start-Process cmd.exe -ArgumentList "/c echo 'Симуляція активності SmartRAT з $TargetString' > $FakePath" -WindowStyle Hidden Write-Host "[+] Команда симуляції виконана." -ForegroundColor Green -
Команди для очищення:
# Очищення підробленого файлу, створеного під час симуляції Remove-Item -Path "C:UsersPublicDocumentsmsedgeupdate.txt" -Force -ErrorAction SilentlyContinue Write-Host "[+] Очищення завершено." -ForegroundColor Yellow