Кампанія StrikeShark доставляє Cobalt Strike через SharkLoader
Detection stack
- AIDR
- Alert
- ETL
- Query
Підсумок
StrikeShark – це нова виявлена кампанія загроз, яка використовує спеціальний завантажувач шкідливого ПЗ під назвою SharkLoader для доставки маяків Cobalt Strike. Операція спирається на кілька методів початкового доступу, включаючи експлуатацію програм з виходом в інтернет та доставку на основі завантажувачів. Шкідливе ПЗ також використовує розвинені методи ухилення, такі як побічне завантаження DLL та підключення API, щоб уникнути захисних механізмів.
Розслідування
В ході розслідування було виявлено інфекції SharkLoader в декількох країнах і секторах промисловості, включаючи дипломатичні установи та організації з розробки програмного забезпечення. Дослідники простежили весь ланцюжок вторгнення, від експлуатації вразливостей, таких як ProxyLogon, до виконання кінцевого навантаження Cobalt Strike. Також описано технічне застосування «Perfect DLL Hijacking» і складне підключення API, призначене для зменшення виявлення.
Пом’якшення
Організації повинні пріоритетизувати виправлення систем з виходом в інтернет, особливо Microsoft Exchange, SharePoint та відкритих мережевих пристроїв. Впровадження потужних можливостей виявлення та реагування на кінцевих точках може допомогти виявити підозрілі побічні завантаження DLL та несанкціоноване створення запланованих завдань. Команди безпеки повинні також відстежувати аномальні батьківсько-дочірні процеси, як-то svchost.exe запускає несподівані процеси.
Реагування
Якщо виявлено цю активність, негайно ізолюйте уражені системи, щоб зупинити подальший латеральний рух та командно-контрольний трафік. Проведіть повне судово-медичне розслідування, щоб визначити початкову точку доступу та загальний обсяг компрометації. Скиньте облікові дані для всіх потенційно уражених облікових записів, особливо привілейованих користувачів, і перевірте Active Directory на несанкціоновані зміни або новопризначені членства в групах.
Потік атаки
Виявлення
Підозріла активність Ntdsutil (через командний рядок)
Переглянути
Можлива спроба перерахування користувачів/груп (через powershell)
Переглянути
Можливе перерахування або маніпуляція облікових записів або груп (через командний рядок)
Переглянути
Можливе виявлення конфігурації мережі системи (через командний рядок)
Переглянути
Можливе перерахування системи (через командний рядок)
Переглянути
Можливе перерахування служб (через командний рядок)
Переглянути
Підозріле заплановане завдання під системним користувачем (через командний рядок)
Переглянути
Можливі точки постійності [ASEPs – Hive Software/NTUSER] (через registry_event)
Переглянути
Виконання системних процесів з нетипових шляхів (через створення процесу)
Переглянути
Перерахування мережевих і системних даних у кампанії StrikeShark [Журнал безпеки Windows]
Переглянути
Виявлення використання SharkLoader’s SystemSettings.exe та перерахування Active Directory [Створення процесу в Windows]
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базова перевірка перед виконанням повинні бути пройдені.
Обґрунтування: У цьому розділі розглядається точне виконання техніки супротивника (TTP), призначене для активації правила виявлення. Команди та опис повинні безпосередньо відображати ідентифіковані TTP і мати на меті генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.
-
Опис атаки та команди: Супротивник має намір закріпитися, використовуючи методи підпису кампанії SharkLoader. Спочатку нападник імітує побічний продукт завантаження DLL, запустивши перейменовану версію легітимного виконуваного файлу як
SystemSettings.exe. Як тільки процес запущено, нападник намагається отримати ситуаційну обізнаність, перераховуючи доменне середовище. Щоб імітувати спостережуваний TTP, нападник використовує PowerShell для запиту Active Directory на користувачів та комп’ютерні об’єкти, що є звичайним кроком під час розвідки доменного компрометування. -
Скрипт тесту регресії:
# Скрипт симуляції для виявлення SharkLoader та перерахування AD Write-Host "[*] Початок симуляції..." -ForegroundColor Cyan # 1. Імітація виконання процесу SharkLoader через SystemSettings.exe # Ми використовуємо notepad.exe як проксі для імітації поведінки завантаженого двійкового файлу Start-Process "notepad.exe" -ArgumentList "/c "Це імітований SystemSettings.exe"" -WindowStyle Hidden # Примітка: У реальному середовищі файл буде називатися SystemSettings.exe. # Для цього тесту ми імітуємо створення процесу. # 2. Імітація зловмисного перерахування служби Active Directory Write-Host "[*] Імітація перерахування AD..." -ForegroundColor Yellow # Використовуючи стандартні командлети, які саме шукає правило Get-ADUser -Filter * | Select-Object -First 5 Get-ADComputer -Filter * | Select-Object -First 5 Get-ADGroup -Filter * | Select-Object -First 5 Write-Host "[+] Команди симуляції виконані." -ForegroundColor Green -
Команди очищення:
# Скрипт очищення для забезпечення відсутності залишкових процесів Stop-Process -Name "notepad" -ErrorAction SilentlyContinue Write-Host "[*] Очистка завершена." -ForegroundColor Cyan