Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Ця загроза зосереджена на високорозвиненому багатоступеневому завантажувачу, який маскується під легітимне програмне забезпечення Panasonic. Шкідливе ПЗ використовує Alibaba OSS для доставки навантажень та залежить від зашифрованих носіїв зображень, які використовують характерний формат п’ятибайтового трейлера EOF. Його фінальна стадія розгортає бекдор Sauron, який підтримує стійкість через створення сервісів та цільові зміни в реєстрі.
Розслідування
Аналітики провели як статичний, так і динамічний аналіз, виявивши послідовність операцій бокового завантаження, що включають двійкові файли під брендами програмного забезпечення Tencent і Philips. Розслідування виявило багатошарову рутину дешифрування із використанням інкрементного XOR і RC4, а також створення запланованого завдання через механізми RPC. Судова експертиза пам’яті та телеметрія з пісочниці допомогли реконструювати повний шлях виконання, від початкового обгортки в тематиці Panasonic до фінального бекдора Sauron.
Мітигація
Організації повинні стежити за несанкціонованим плануванням завдань через RPC і підозрілим створенням запланованих завдань через NdrClientCall3. Сильний дозволений список додатків може допомогти блокувати виконання неприпустимих бокових завантажуваних DLL. Захисники також повинні спостерігати за несподіваним видаленням тіньових копій обсягів та підозрілими змінами в реєстрі під HKCUSOFTWARE.
Відповідь
Якщо ця активність виявлена, ізолюйте уражені системи негайно, щоб зупинити подальше латеральне переміщення або комунікацію командного та керівного каналу. Проведіть аналіз пам’яті, щоб ідентифікувати впроваджені модулі та визначити поточний етап завантажувального ланцюга. Логи мережі також повинні бути перевірені на наявність трафіку до інфраструктури Alibaba OSS та відомих IP-адрес командного та контрольного каналів, які були визначені під час тріажу.
graph TB %% Class Definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef evasion fill:#ccffcc classDef persistence fill:#ffff99 %% Node Definitions %% Initial Access and Execution exec_user_malicious[“<b>Дія</b> – <b id=’T1204.002’>Виконання користувачем: Шкідливий файл</b><br/><b>Файл</b>: ainstaller-86533005.exe<br/><b>Опис</b>: Користувач виконує троянізований виконуваний файл<br/>замаскований під програмне забезпечення Panasonic для сповіщення ПК.”] class exec_user_malicious action %% Obfuscation and Masquerading obf_files[“<b id=’T1027’>Затемнені файли або інформація</b><br/><b>Техніка</b>: Багатошарові буфери стадій<br/><b>Механізм</b>: Спеціальне кодування XOR/RC4<br/><b>Екстракція</b>: П’ятирозрядний трейлер EOF з носіїв зображень.”] class obf_files malware mask_file_type[“<b id=’T1036.008’>Маскування: Маскування типу файлу</b><br/><b>Опис</b>: Використання розширень зображень (gif, jpg, png, db)<br/>для приховування зашифрованих навантажень.”] class mask_file_type evasion %% Proxy Execution proxy_sys_bin[“<b id=’T1218’>Виконання проксі через системні двійкові файли</b><br/><b>Ціль 1</b>: Tencent UxEnhanceHost завантажує UxEnhance64.dll<br/><b>Ціль 2</b>: Philips/Speech Processing Solutions хост завантажує XPSPLOG.dll”] class proxy_sys_bin action %% Persistence persist_sched_task[“<b id=’T1053.005’>Заплановане завдання/робота: Заплановане завдання</b><br/><b>Модуль</b>: VirtuOne<br/><b>Механізм</b>: Виклики RPC до Планувальника завдань через \pipeatsvc<br/><b>Ціль</b>: Створити приховані повторювані завдання.”] class persist_sched_task persistence %% Defense Evasion evade_def_impair[“<b id=’T1685’>Порушення оборони</b><br/><b>Дія</b>: Патчинг ntdll.dll!NtTraceEvent”] class evade_def_impair evasion evade_selective_excl[“<b id=’T1679’>Вибіркове виключення</b><br/><b>Інструмент</b>: PowerShell<br/><b>Команда</b>: Add-MpPreference -ExclusionPath<br/><b>Ціль</b>: Додати виключення Windows Defender.”] class evade_selective_excl evasion %% Final Stage proxy_rundll32[“<b id=’T1218.011’>Виконання проксі через системні двійкові файли: Rundll32</b><br/><b>Файл</b>: rundll32.dat<br/><b>Експорт</b>: Edge<br/><b>Дія</b>: Встановлює і запускає шкідливий сервіс.”] class proxy_rundll32 action malware_sauron[“<b id=’Шкідливе ПЗ’>Шкідливе ПЗ: Sauron</b><br/><b>Тип</b>: Шкідливий сервіс<br/><b>Можливості</b>: Стійкий бекдор та запуск команд.”] class malware_sauron malware %% Connections %% Flow of execution exec_user_malicious –>|ініціює| obf_files obf_files –>|використовує| mask_file_type mask_file_type –>|веде до| proxy_sys_bin proxy_sys_bin –>|дозволяє| persist_sched_task persist_sched_task –>|сприяє| evade_def_impair persist_sched_task –>|сприяє| evade_selective_excl evade_def_impair –>|готує середовище для| proxy_rundll32 evade_selective_excl –>|готує середовище для| proxy_rundll32 proxy_rundll32 –>|встановлює| malware_sauron
Атака Флоу
Детекції
Виконання системних процесів з нетипових шляхів (через процес_створення)
Перегляд
Підозріле виконання з публічного профілю користувача (через процес_створення)
Перегляд
Підозріла активність VSSADMIN (через командний рядок)
Перегляд
Підозрілі зміни у налаштуваннях Windows Defender (через PowerShell)
Перегляд
Підозрілі файли у публічному профілі користувача (через file_event)
Перегляд
Виявлення мережевих індикаторів ланцюга завантажувача у стилі SilverFox [Підключення до мережі Windows]
Перегляд
Виявлення ланцюга завантажувача в стилі SilverFox із використанням троянізованого виконавчого файлу Panasonic [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Телеметрія і базова перевірка повинні бути пройдені.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), розробленої для запуску правила детекції. Команди та розповідь МАЮТЬ безпосередньо відображати визначені TTP і прагнуть генерувати точну телеметрію, очікувану логікою детекції. Абстрактні або неналежні приклади призведуть до непорозумінь.
-
Оповідання атаки та команди: Противник намагається завантажити вторинний етап завантажувача, використовуючи легітимну хмарну службу для маскування під нормальний трафік. Зловмисник користується однолінійним PowerShell для симуляції завантажувача, виконуючи запит до відомої URL-адреси SilverFox Alibaba OSS:
https://jun616.oss-cn-beijing.aliyuncs.com/tad/payload.exe. Ця дія спрямована на обхід простих фільтрів доменів, покладаючись на репутаціюaliyuncs.comпри цьому використовуючи конкретний шкідливий шлях, визначений у правилі детекції. -
Сценарій регресійного тестування:
# Симуляція мережевого індикатора завантажувача SilverFox # Цей сценарій намагається підключитися до конкретної URL-адреси, яка моніториться правилом Sigma. $targetUrl = "https://jun616.oss-cn-beijing.aliyuncs.com/tad/test_file.txt" Write-Host "[!] Симуляція підключення до мережі SilverFox на: $targetUrl" try { # Використання Invoke-WebRequest для генерації стандартної проксі-телеметрії HTTP $response = Invoke-WebRequest -Uri $targetUrl -Method Get -UseBasicParsing Write-Host "[+] Запит виконано. Код статусу: $($response.StatusCode)" } catch { # Ми очікуємо 404 або помилку підключення, якщо URL фактично не веде до файлу, # але журнал проксі все одно зафіксує спробу підключення. Write-Host "[-] Спроба запиту. Перевірте логи проксі на спробу підключення." } -
Команди очищення:
# Ніяких постійних змін, зроблених цим сценарієм; очищення не вимагається. Write-Host "[*] Очищення після симуляції завершено."