Атака грубої сили на SQL відкриває двері до програми-вимагача BlueSky
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисник використовував SEO-отруєння для поширення шкідливого ПЗ BumbleBee через троянізований інсталятор ManageEngine OpManager. Після отримання початкового доступу, нападник розгорнув AdaptixC2 для командного і контрольного центру, здійснив латеральний рух через тунелювання RDP та SSH, та ексфільтрував більше 75 ГБ конфіденційних даних. Вторгнення завершилось розгортанням викупного ПЗ Akira для шифрування інфраструктури домену.
Розслідування
Судово-медичний аналіз ідентифікував початковий вектор зараження як подібний домен, opmanager.pro, що розповсюджував шкідливий MSI-інсталятор. Слідчі відстежили ланцюг виконання від бокового завантаження DLL msimg32.dll до ін’єкції shell-коду AdaptixC2 в утиліту Адресної книги Windows. Перегляд телеметрії мережі та артефактів файлової системи також виявив масштабну ексфільтрацію даних через FileZilla та використання зворотних SSH-тунелів для проксірування доступу RDP.
Захисні заходи
Організації повинні впровадити суворе веб-фільтрування для блокування ново зареєстрованих або схожих доменів та моніторити підозрілу поведінку бокового завантаження DLL. Обмеження адміністративних привілеїв і виявлення несанкціонованого створення облікових записів або служб домену також важливі. Крім того, сильне фільтрування виходу та моніторинг несанкціонованого тунелювання SSH або RDP можуть допомогти запобігти як латеральному руху, так і ексфільтрації даних.
Відповідь
Якщо ця активність виявлена, негайно ізолюйте уражені системи, особливо контролери домену та сервери резервного копіювання, щоб зупинити подальше поширення викупного ПЗ. Перервіть усі несанкціоновані сеанси віддаленого доступу, включаючи тунелі SSH та інстанції RustDesk. Виконайте повне скидання посвідчень для всіх облікових записів домену, з особливим наголосом на адміністраторах підприємств, і розпочніть відновлення за допомогою офлайн-, незмінюваних резервних копій.
Потік атак
Детекції
Підозріле використання WMIC (через командний рядок)
Перегляд
Посилання на тіньове копіювання PowerShell (через командний рядок)
Перегляд
Можливе видалення тіньових копій через WMI (через PowerShell)
Перегляд
Підозріле вихідне з’єднання нечастим процесом (через network_connection)
Перегляд
Запит DNS здійснений нечастим процесом (через dns_query)
Перегляд
Підозріле пересилання порту SSH [Windows] (через командний рядок)
Перегляд
Можлива енумерація системи (через командний рядок)
Перегляд
Підозріле виявлення довіри до домену (через командний рядок)
Перегляд
Можливе розвантаження облікових даних за допомогою Comsvcs.dll (через командний рядок)
Перегляд
Підозріла активність виконання PSQL (через командний рядок)
Перегляд
Підозріла активність інструменту Wbadmin (через командний рядок)
Перегляд
Можливе використання BYOVD – атака з використанням власного вразливого драйвера (через аудит)
Перегляд
Можлива активність передачі Bits (через PowerShell)
Перегляд
Можливе виконання з використанням короткої назви скрипта (через командний рядок)
Перегляд
Можливий скрипт PowerShell, що містить Lolbin (через PowerShell)
Перегляд
Створення служби віддаленого доступу / управлінського ПЗ (через систему)
Перегляд
Альтернативне віддалене доступ / управлінське ПЗ (через створення процесу)
Перегляд
Можливе перерахування або маніпулювання обліковими записами або групами (через командний рядок)
Перегляд
Виконання процесів системи з нетипових шляхів (через створення процесу)
Перегляд
Можливе виконання Msiexec файлів в некласичних директоріях (через командний рядок)
Перегляд
Виявлення активності RustDesk і Akira Ransomware [Windows System]
Перегляд
Виявлення запуску та ін’єкції BumbleBee і AdaptixC2 [створення процесу в Windows]
Перегляд
Експертне резюме
- Ідентифікатор тестового випадку: TC-20250522-K9L2P
- TTPs: T1003.001, T1003.003, T1018, T1021.001, T1021.003, T1027.010, T1033, T1036, T1039, T1041, T1046, T1047, T1048.001, T1055, T1059.001, T1059.003, T1069.001, T1069.002, T1070.004, T1071.001, T1082, T1083, T1087.001, T1087.002, T1090, T1135, T1136, T1189, T1204.002, T1219, T1482, T1486, T1490, T1543.003, T1555, T1568.002, T1569.002, T1574.001
- Короткий опис логіки правила виявлення: Правило спрацьовує, якщо
rustdesk.exeзапускається зservices.exeабо якщоlocker.exeвиконується з командним редком, що містить “Volume Shadow Copies”. - Мова/формат правила виявлення: yaml
- Цільове середовище безпеки: ОС Windows з увімкненим Sysmon, що орієнтується на SIEM, здатний обробляти Sysmon Event ID 1 (телеметрія створення процесу).
- Оцінка стійкості (1-5): 2
- Підстава: Правило сильно залежить від специфічних, закодованих назв файлів (
rustdesk.exeandlocker.exe). Супротивник може легко обійти це, перейменувавши свої бінарні файли. Крім того, виявлення Akira обмежене певним рядком у командному редку, який може бути розмитим. - Ключові висновки: Правило ефективно виявляє “з коробки” використання цих інструментів, але не спрацьовує на будь-які базові техніки ухилення, такі як перейменування бінарних файлів або маніпуляція аргументами командного рядка.
- Рекомендація: Перейдіть від виявлення на основі назв файлів до поведінкових індикаторів, таких як моніторинг несанкціонованих встановлень служб, несподівані мережеві з’єднання з інструментів віддаленого робочого столу та видалення тіньових копій через
vssadminorwmicнезалежно від назви процесу батька.
## Імітаційне середовище та контекст
- Техніки під випробуванням (TTP):
- T1003.001: Зняття облікових даних ОС: Пам’ять LSASS
- T1059.001: Інтерпретатор команд і сценаріїв: PowerShell
- T1490: Пригнічення відновлення системи (Видалення тіньових копій)
- T1543.003: Створення або модифікація системного процесу: Служба Windows
- Контекст TTP та відповідність: Імітація має на меті відтворення подвійного профілю загрози: використання RustDesk для постійного віддаленого доступу (встановленого як служба) та виконання команд у стилі викупного ПЗ Akira для пригнічення відновлення системи шляхом націлювання на тіньові копії кореня.
- Цільове середовище:
- OS: Windows 10/11 або Windows Server
- Журнали: Sysmon (зокрема Event ID 1: Створення процесу)
- Система безпеки: SIEM (наприклад, Splunk, Sentinel або ELK)
## Телеметрія та перевірка перед польотом
Розумність: Перед імітацією атаки ми повинні підтвердити, що цільовий хост налаштований для генерації необхідних журналів, що ці журнали передаються в SIEM, і що правило виявлення не спрацьовує на безпечній активності. Без цієї перевірки будь-який результат тесту є ненадійним.
-
1. Інструкції з налаштування телеметрії:
-
- Встановіть Sysmon на цільову машину Windows.
-
- Застосуйте конфігураційний файл (наприклад, конфігурацію SwiftOnSecurity), що забезпечує захоплення створення процесу (Event ID 1) з повними аргументами командного рядка.
-
- Переконайтеся, що журнал подій Sysmon передається в SIEM через Winlogbeat, Splunk Universal Forwarder або аналогічний агент.
-
-
2. Інжиніринг та перевірка наявності:
-
Дія (безпечна телеметрія): Запустіть стандартну команду PowerShell, щоб перевірити системну інформацію, яка генерує телеметрію створення процесу без запуску моделей, пов’язаних з викупним ПЗ.
Get-ComputerInfo | Select-Object CsName, OsArchitecture -
Перевірочний запит (інженія):
// KQL Запит для перевірки збору подій Sysmon Event ID 1 Sysmon | where EventID == 1 and Image contains "powershell.exe" | take 10
-
## Виконання імітації
Передумова: Перевірка телеметрії та перевірка перед польотом повинна пройшли.
Причинність: Цей розділ детально описує точне виконання техніки ворога (TTP), призначене для запуску правила виявлення. Команди та розповідь МАЮТЬ безпосередньо відображати ідентифіковані TTP і прагнути генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або не пов’язані приклади призведуть до помилкового діагнозу.
-
Сюжет атаки та команди: Зловмисник починає з встановлення постійності та віддаленого доступу, використовуючи RustDesk. Щоб імітувати встановлення служби, зловмисник змоделює поведінку, коли диспетчер служб (
services.exe) запускає виконуваний файл віддаленого доступу. Після цього зловмисник запускає навантаження викупного ПЗ Akira. Метою цього навантаження є знищення резервних копій системи для запобігання відновленню; він робить це шляхом виклику бінарного файлу під назвоюlocker.exeзі специфічною командною інструкцією для видалення ‘Тіньових копій’. Це імітує високий вплив етап ексторсійної атаки. -
Скрипт регресійного тестування:
# --- ПОЧАТОК ІМІТАЦІЇ --- # Частина 1: Імітація виконання служби RustDesk # Ми імітуємо поведінку, коли services.exe запускає rustdesk.exe. # Оскільки ми не можемо легко підробити ParentProcessID для services.exe без драйверів ядра, # ми змоделюємо створення артефакту, а потім використаємо такий інструмент, як 'Process Hacker' # або скрипт для імітації специфічної телеметрії, якщо можливо, # але для цього скрипта ми створимо файл і запустимо процес. $rustdeskPath = "$env:TEMPrustdesk.exe" New-Item -Path $rustdeskPath -ItemType File -Force # Примітка: Щоб запустити ТОЧНО правило 'ParentImage|endswith: services.exe', # потрібне встановлення реальної служби. Write-Host "[+] Створення імітованого бінарного файлу RustDesk за адресою $rustdeskPath" # Частина 2: Імітація активності викупного ПЗ Akira $lockerPath = "$env:TEMPlocker.exe" New-Item -Path $lockerPath -ItemType File -Force Write-Host "[+] Створення симульованого Akira 'locker.exe' за адресою $lockerPath" # Запуск логіки виявлення Akira через командний рядок, що містить 'Volume Shadow Copies' # Ми використовуємо start-process, щоб забезпечити захоплення командного рядка Sysmon Start-Process -FilePath $lockerPath -ArgumentList "/delete Volume Shadow Copies" -NoNewWindow Write-Host "[!] Виконані команди симуляції. Перевірте SIEM для оповіщень 'locker.exe'." # --- КІНЕЦЬ ІМІТАЦІЇ --- -
Команди очистки:
# --- ПОЧАТОК ОЧИЩЕННЯ --- Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlocker.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Очищення завершено." # --- КІНЕЦЬ ОЧИЩЕННЯ ---