Натисніть, Встановіть, Уразливий: Нова Хвиля Атак із Темою Zoom
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники використовують підроблені запрошення на зустрічі в Zoom для доставки шкідливого завантажувача VBS, який встановлює ConnectWise ScreenConnect, легітимний інструмент для віддаленого доступу. Шкідливе навантаження VBS завантажує MSI ScreenConnect із інфраструктури під контролем нападника та запускає його з директорії TEMP жертви. Після установки засобу віддаленого доступу зловмисники отримують постійний доступ до системи, що дозволяє крадіжку облікових даних, розвідку і доставку подальшого шкідливого ПО, наприклад, програм-вимагачів.
Розслідування
Cofense виявили фішингові електронні листи, які перенаправляли жертв на підроблену сторінку Zoom, де пропонувалося встановити фальшиве оновлення. Це оновлення доставляло файл VBS під назвою _zoommeeting_Zoom_Installer_64_bit.exe.vbs, який містив жорстко задане URL-адреса, що вказує на шкідливу IP-адресу, яка розміщує ScreenConnect.ClientSetup.msi інсталятор. Скрипт потім запускав MSI через Windows Script Host у прихованому вікні, щоб уникнути привернення уваги.
Пом’якшення
Організації повинні розгортати засоби безпеки електронної пошти, які можуть виявляти та блокувати фішингові приманки з темою Zoom, вимагати багатофакторну аутентифікацію для інструментів віддаленого доступу та обмежувати запуск VBS-скриптів з директорій, доступних для запису користувачам. Захисники повинні також моніторити мережевий трафік на наявність зв’язку з відомими шкідливими доменами та IP-адресами і застосовувати список дозволених додатків для контролю легітимного програмного забезпечення для віддаленого адміністрування.
Реакція
Якщо така активність виявлена, негайно ізолюйте уражену кінцеву точку, видаліть шкідливий файл VBS і будь-які встановлені компоненти ScreenConnect, а також змініть скомпрометовані облікові дані. Слідчі повинні потім виконати судову експертизу, щоб визначити, чи було розгорнуто додаткове шкідливе ПО або чи були ексфільтровані дані. Політики віддаленого доступу також повинні бути переглянуті та укріплені, і контент для виявлення повинен бути оновлений з урахуванням виявлених індикаторів компрометації.
Потік Атаки
Виявлення
Можливий шкідливий файл VBS з подвійним розширенням (через cmdline)
Перегляд
LOLBAS WScript / CScript (через process_creation)
Перегляд
Альтернативне програмне забезпечення для віддаленого доступу / керування (через process_creation)
Перегляд
Альтернативне програмне забезпечення для віддаленого доступу / керування (через систему)
Перегляд
Альтернативне програмне забезпечення для віддаленого доступу / керування (через аудит)
Перегляд
Можлива спроба установки програмного забезпечення RMM за допомогою MsiInstaller (через журнали застосунків)
Перегляд
Підозріле завантаження файлу через прямий IP (через проксі)
Перегляд
IOCs (HashSha256) для виявлення: Натисніть, Встановіть, Скомпрометовано: Нова хвиля атак, спрямованих на Zoom
Перегляд
IOCs (HashMd5) для виявлення: Натисніть, Встановіть, Скомпрометовано: Нова хвиля атак, спрямованих на Zoom
Перегляд
IOCs (SourceIP) для виявлення: Натисніть, Встановіть, Скомпрометовано: Нова хвиля атак, спрямованих на Zoom
Перегляд
IOCs (DestinationIP) для виявлення: Натисніть, Встановіть, Скомпрометовано: Нова хвиля атак, спрямованих на Zoom
Перегляд
Виявлення виконання ScreenConnect та шкідливого інсталятора Zoom [Створення процесу в Windows]
Перегляд
Виконання симуляції
Необхідна умова: Телеметрія та базове перевіряння попереднього польоту повинні бути успішно пройдені.
Обґрунтування: Цей розділ детально висвітлює точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та розповідь ПОВИННІ безпосередньо відображати виявлені TTP та прагнути генерувати точну телеметрію, очікувану логікою виявлення.
План атаки та команди
- Початкова доставка: Жертва отримує фішинговий електронний лист із заголовком “Zoom Meeting – Install Update”. Прикріплений файл — це VBS-скрипт із назвою
_zoommeeting_Zoom_installer_64_bit.exe.vbs. - Виконання: Користувач двічі клацає файл VBS, який викликає cscript.exe для виконання скрипта. Скрипт скидає два навантаження в
%TEMP%:ScreenConnect.ClientSetup.msi– шкідливий інсталятор інструменту віддаленого доступу.- Друга двері PowerShell (не є частиною цього правила).
- Установка: Скрипт VBS мовчазно запускає msiexec.exe для установки
ScreenConnect.ClientSetup.msiз/quiet. Це створює нову подію створення процесу, якаЗображеннязакінчується наScreenConnect.ClientSetup.msi, задовольняючи умову правила.
Тестовий сценарій регресії
# --------------------------------------------------------------
# Сценарій симуляції – тригери "ScreenConnect.ClientSetup.msi"
# та "_zoommeeting_Zoom_installer_64_bit.exe.vbs"
# --------------------------------------------------------------
# 1. Приготуйте навантаження (у реальному тесті це могли б бути шкідливі файли)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null
# Файли-пустишки для емуляції шкідливих імен (хеші можуть бути додані пізніше)
$msiPath = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"
# Створіть пусті файли-заповнювачі (замість них використайте реальні навантаження для живого тесту)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS дроппер – записує MSI на диск та запускає його
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII
# 2. Виконайте VBS дроппер (це в свою чергу запустить msiexec)
cscript.exe //B //Nologo $vbscript
Write-Host "`n[+] Симуляцію виконано – детекція повинна спрацювати зараз." -ForegroundColor Green
Команди для очищення
# --------------------------------------------------------------
# Очищення – видаляє артефакти, створені симуляцією
# --------------------------------------------------------------
$payloadDir = "$env:TEMPZoomPhish"
# Зупиніть будь-які залишкові процеси msiexec, запущені тестом
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force
# Видаліть тимчасові файли та директорії
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue
Write-Host "`n[+] Очищення завершено." -ForegroundColor Yellow