Еволюція інструментарію UAC-0226 від WinRAR ADS до віддзеркалюючого завантаження GIFTEDCROOK
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисник UAC-0226 поліпшив свій ланцюг доставки, використовуючи уразливість обходу шляху WinRAR разом з альтернативними потоками даних NTFS для безшумного встановлення наполегливості. Кампанія покладається на багатостадійний завантажувач PowerShell, щоб розгортати відображений PE без заголовків, відомий як GIFTEDCROOK. Шкідливе програмне забезпечення призначене для збору облікових даних браузера, даних конфігурації VPN і конфіденційних документів із скомпрометованих систем.
Розслідування
Аналіз розкладає складний потік виконання, побудований навколо зараженого архіву WinRAR, PDF-приманки та прихованого файлу LNK, розміщеного в папці автозагрузки Windows. Дослідники ідентифікували процедуру користувацького адитивного декодування та вдосконалений відображуваний завантажувач, що мапує DLL безпосередньо в пам’ять. Телеметрія також показала, що завантажувач відправляє статус виконання на свій сервер командування та контролю через настроєну 16-байтну структуру.
Пом’якшення
Організації повинні пріоритизувати оновлення WinRAR для вирішення вразливостей обходу шляху. Забезпечення суворої політики виконання PowerShell та моніторинг незвичної активності альтернативних потоків даних NTFS можуть допомогти зірвати ранні стадії компрометації. Командам безпеки варто також звертати увагу на несанкціоновані файли, що з’являються в папках автозагрузки, і підозрілу поведінку виділеної пам’яті, таку як NtAllocateVirtualMemory.
Відповідь
Якщо виявлена така активність, негайно ізолюйте уражені хости, щоб запобігти подальшому витоку даних. Перевірте C:ProgramData каталог на наявність підозрілих файлів без розширень і перегляньте папку автозавантаження користувача на наявність несанкціонованих ярликів LNK. Проведіть форензіку пам’яті для ідентифікації відображених DLL, а також перевірте журнали мережі на зв’язок з виявленою інфраструктурою командування і контролю.
Потік атаки
Виявлення
Можлива відкладена поведінка виконання (через cmdline)
Переглянути
Ймовірна операція самовидалення шкідливого програмного забезпечення або приховування помилок stderr (через cmdline)
Переглянути
Можливість виконання через приховані командні рядки PowerShell (через cmdline)
Переглянути
Мінімізований запуск командного рядка, що запускає прихований процес PowerShell [Створення процесу Windows]
Переглянути
Виявити виконання PowerShell для кампанії UAC-0226 [Windows Powershell]
Переглянути
Виконання симуляції
Передумови: Телеметрія та перевірка базової лінії повинні були пройдені.
Обґрунтування: Цей розділ деталізує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та наратив повинні безпосередньо відображати виявлені TTP та орієнтуватися на створення очікуваної телеметрії за допомогою логіки виявлення. Абстрактні або непов’язані приклади можуть призвести до неправильної діагностики.
-
Наратив і команди атаки: Супротивник має на меті розгорнути вантаж стилера. Щоб мінімізувати слідовність і уникнути взаємодії користувача, вони розміщують вантаж у
C:ProgramDataWC3. Потім вони викликають PowerShell з набором прапорців ‘living-off-the-land’, щоб обійти політику виконання і приховати вікно від користувача. Команда використовуєiex(Invoke-Expression) для виконання команди, яка ссилається на підготовлений файл, імітуючи поведінку відображеного завантаження кампанії UAC-0226. -
Скрипт регресійного тестування:
# 1. Налаштування: Створити конкретний каталог, використовуваний у правилі виявлення $targetDir = "C:ProgramDataWC3" if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force } # 2. Створити файл-заглушку вантажу для задоволення вимог шляху $dummyFile = "$targetDirpayload.ps1" "Write-Output 'Simulated Malicious Payload'" | Out-File -FilePath $dummyFile -Encoding ascii # 3. Виконати шкідливий ланцюг команд (це повинно запустити правило) # Використовуємо Start-Process, щоб забезпечити захоплення командного рядка як нового процесу Start-Process powershell.exe -ArgumentList "-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command ""iex (Get-Content $dummyFile)""" -WindowStyle Hidden Write-Host "[+] Симуляція команди виконана. Перевірте ваш SIEM на наявність сповіщення." -
Команди очищення:
# Видалити каталог і файли-заглушки, створені під час симуляції Remove-Item -Path "C:ProgramDataWC3" -Recurse -Force -ErrorAction SilentlyContinue Write-Host "[+] Очистка завершена."