StealC та Amadey: розбір інформаційних крадіїв та послуг за ними
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
У звіті розглядається діяльність StealC, платформи infostealer-as-a-service, та Amadey, завантажувача malware-as-a-service. Кіберзлочинці використовують ці інструменти для збору конфіденційних облікових даних, сесійних файлів cookie та даних, пов’язаних з криптовалютою, що дозволяє здійснювати подальші операції, такі як атаки з вимаганням. Екосистема загроз покладається на маніпуляцію веб-трафіком, отруєння SEO та фішингові кампанії для компрометації некерованих пристроїв.
Розслідування
Підрозділ цифрових розслідувань Microsoft, працюючи з Європолом, провів скоординоване втручання проти більш ніж 200 шкідливих доменів та IP-адрес командування і управління, пов’язаних зі StealC і Amadey. Розслідувачі використовували Microsoft Copilot для аналізу зразків шкідливого програмного забезпечення, дешифрування вбудованих рядків і виявлення зашитої команди та управління інфраструктурою. Операція призвела до знищення та призупинення значної частини інфраструктури, що підтримує акторів загроз.
Зменшення загроз
Захисники повинні увімкнути захист на базі хмарних сервісів та захист від втручання в Microsoft Defender, щоб допомогти блокувати нові та розвиваючі варіанти. Застосування правил зменшення поверхні атаки також може зменшити вплив на загальні шляхи інфекцій, такі як маніпуляційний веб-трафік. Крім того, організації повинні зміцнити захист ідентифікаторів та належну гігієну облікових даних, щоб обмежити вплив вкрадених сесійних токенів та компрометованих облікових записів.
Відповідь
Коли цю активність виявлено, організації повинні пріоритетизувати захист ідентифікаторів та швидке обмеження, щоб запобігти використанню вкрадених облікових даних для руху в бічному напрямку. Дослідники повинні уважно вивчити можливі сценарії обходу MFA, викликані викраденням сесійних файлів cookie. Компрометовані кінцеві точки слід швидко ізолювати, а телеметрію автентифікації слід відстежувати на наявність незвичної активності за участю дійсних облікових даних користувачів.
"flowchart TD step_initial_access{"Початковий доступ: T1189 – Компрометація через Drive-by & T1674 – Впровадження введення (ClickFix)"} step_persistence_amadey["Постійність: T1037.004 – Заплановане завдання & T1059.003 – Командна оболонка Windows (Завантажувач Amadey)"] rules_for_step_persistence_amadey("<b>Назва правила</b>: MsiExec Запущено від процесу оболонки (через cmdline)<br/><b>ID правила</b>: d59d37c0-fc3c-4374-ba67-318edd591d19") step_credential_harvesting["Доступ до облікових даних: T1555.003 – Облікові дані з веб-браузерів, T1114.002 – Віддалений збір електронної пошти & T1552.008 – Повідомлення чату (StealC Infostealer)"] step_stealth["Ухилення від захисту: T1070.010 – Переміщення шкідливих програм (Виконання з PowerShell cradle)"] step_exfiltration["Експільтрація: T1041 – Експільтрація через канал C2 (Передача даних RC4/Base64)"] step_initial_access –>|веде до| step_persistence_amadey step_persistence_amadey –>|дозволяє| step_credential_harvesting step_credential_harvesting –>|затем| step_stealth step_stealth –>|веде до| step_exfiltration step_persistence_amadey -.->|виявлено за| rules_for_step_persistence_amadey "
Атака
Виявлення
Можливе використання затримки часу для відкладеної реалізації (через cmdline)
Переглянути
Завантаження або завантаження через Powershell (через cmdline)
Переглянути
MsiExec Запущено від процесу оболонки (через cmdline)
Переглянути
Створення запланованих завдань для стійкості шкідливих програм Amadey [Журнал безпеки Microsoft Windows]
Переглянути
Виявлення виконання шкідливого програмного забезпечення StealC та ін’єкції процесів [Створення процесу Windows]
Переглянути
## Виконання симуляції
Передумова: Перевірка телеметрії та базовий тест перед запуском повинні бути успішно пройдені.
Підстава: У цьому розділі викладено точний опис виконання технік атаки супротивника (TTP), які розроблені для спрацювання правила виявлення. Команди та наративи МАЮТЬ безпосередньо відображати виявлені TTP і прагнути створити саме ту телеметрію, яку очікує логіка виявлення. Абстрактні або нерелевантні приклади призведуть до помилкових діагнозів.
-
Сценарій атаки та команди: Супротивник успішно скинув злобний виконуваний файл під назвою
StealC.exe. Щоб обійти виявлення на основі простих підписів і спробувати приховати свою рутину впорскування, шкідливе програмне забезпечення спроектоване таким чином, щоб викликати свої внутрішні функції, передаючи підпроцесу ім’я потрібних Windows API як аргументи командного рядка. Це імітує підхід “Жити-на-рахунок-системи”, де сам командний рядок містить показники наміру виконатиCreateProcessAзCREATE_SUSPENDEDі згодом використовуєVirtualAllocExandWriteProcessMemoryдля впорскування. -
Сценарій регресійного тестування:
# Сценарій симуляції для ініціації правила Sigma шляхом імітації очікуваних рядків командного рядка # Примітка: Це імітує присутність рядків, а не фактичне виконання API. $malwareName = "StealC.exe" $payloadArgs = "CreateProcessA CREATE_SUSPENDED VirtualAllocEx WriteProcessMemory" Write-Host "[+] Початок симуляції: Виконання $malwareName з рядками впорскування..." -ForegroundColor Cyan # Ми створюємо фіктивний файл з ім'ям StealC.exe, щоб задовольнити частину 'Image' правила виявлення New-Item -Path ".$malwareName" -ItemType "File" -Force | Out-Null # Виконуємо фіктивний файл зі специфічними рядками, потрібними для логіки виявлення # У реальному сценарії це було б виконання шкідливих програм. Start-Process -FilePath ".$malwareName" -ArgumentList $payloadArgs -WindowStyle Hidden Write-Host "[+] Команда симуляції відправлена." -ForegroundColor Green -
Команди очищення:
# Очищення: Видалення фіктивного файлу шкідливої програми, створеного під час симуляції Remove-Item -Path ".StealC.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Очищення завершено: StealC.exe видалено." -ForegroundColor Yellow