Внутрішній огляд SafePay: Аналіз нової централізованої групи програм-вимагателів
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
SafePay – це нещодавно з’явилася операція програми-вимагача, яка працює як жорстко контрольована, центральна група, а не типовий екосистема програми-вимагача як послуга. Актори слідують стратегії подвійного здирництва, інсценуючи конфіденційні дані перед шифруванням та загрожуючи їх публікацією через веб-сайт на основі Tor. Доставка зазвичай включає рідну бібліотеку DLL для Windows, із виконанням та поширенням, підтриманими широко доступними утилітами для життя в межах системи. У спостережуваних випадках хронологія від початку до кінця є агресивною, часто стискаючи початковий доступ через шифрування всієї системи у приблизно 24-годинне вікно.
Розслідування
Дослідники повідомляють, що SafePay часто забезпечує вхід через відкриті облікові записи VPN або RDP із використанням вкрадених або вгаданих облікових даних, а в деяких сценаріях зловживає неправильно налаштованими розгортаннями FortiGate, особливо у середовищах без MFA. Для збереження доступу оператори спостерігалися при розгортанні бекдорів, таких як QDoor, та використанні легального інструментарію віддаленого адміністрування, включаючи ScreenConnect, щоб змішатися з нормальною IT-активністю. Бічний рух зазвичай здійснюється через PsExec та WinRM, тоді як виявлення комп’ютерів та загальних ресурсів підтримується спеціальним утилітом PowerShell (ShareFinder.ps1). Перед шифруванням навантаження виконує «предздирницькі» дії, призначені для максимізації впливу та ускладнення відновлення: вона видаляє тіньові копії, змінює налаштування конфігурації завантаження та завершує жорстко закодований набір процесів та служб, пов’язаних із безпекою.
Мітигація
Вимагайте MFA для всіх шляхів віддаленого доступу та знижуйте ризик в межах фаєрволу шляхом обмеження аутентифікації локальних облікових записів та зменшення адміністративного впливу. Моніторте аномальне використання PsExec, WinRM, regsvr32 та rundll32 – особливо у послідовностях, що відповідають віддаленому виконанню та інсценуванню. Налаштуйте виявлення кінцевих точок, щоб показати завершення звичайного інструментарію безпеки, видалення тіньових копій та зміни налаштувань BCD/завантаження. Зменшуйте можливості виконання шляхом блокування або жорсткого контролю завантаження непідписаних DLL та запровадження політики контролю додатків на кінцевих точках та серверах.
Реакція
Коли виявлені індикатори SafePay, ізолюйте уражені системи негайно, захопіть мінливу пам’ять та збережіть відповідні журнали аутентифікації, кінцевих точок та мережі. Визначте та заблокуйте пов’язану командно-контрольну інфраструктуру, потім завершіть зловмисні процеси та видаліть механізми збереження доступу. Спробуйте заходи відновлення, такі як відновлення тіньових копій, де це можливо, але припускайте, що крадіжка даних могла статися, і перевірте обсяг ексфільтрації. Проведіть повне судово-медичне розслідування, щоб визначити уражені дані та виконайте повідомлення зацікавлених сторін та кроки ескалації, узгоджені з процедурами реагування на подвійне здирництво.
Потік атаки
Виявлення
Підозріле виконання Bcdedit (через cmdline)
Перегляд
Можлива підготовка PowerShell до шифрування (RunAs + Запобігання відновленню) (через powerShell)
Перегляд
Можливий бічний рух через PsExec або подібні інструменти (через audit)
Перегляд
Виконання команди WMI за допомогою Windows Remote Management (через cmdline)
Перегляд
Підозріла активність VSSADMIN (через cmdline)
Перегляд
PsExec запущений родительським процесом в публічних папках (через створення процесу)
Перегляд
Індикатори компрометації (Emails) для виявлення: Внутрішня частина SafePay: Аналіз нової централізованої групи-вимагача
Перегляд
Виконання SafePay за допомогою PsExec та виконання DLL [Створення процесу Windows]
Перегляд
Початковий доступ SafePay через скомпрометовані облікові дані та неправильно налаштований FortiGate [Фаєрвол]
Перегляд
Зашифровані файли програми-вимагача SafePay з розширенням .safepay [Подія файлу Windows]
Перегляд
Виконання симуляції
Передумови: Перевірка телеметрії та базових показників повинна бути пройдена.
Обґрунтування: Цей розділ деталізує точне виконання техніки противника (TTP), розробленої для виклику правила виявлення. Команди та розповідь МАЮТЬ безпосередньо відображати ідентифіковані TTP та прагнути генерувати точну телеметрію, яку очікує логіка виявлення.
-
Розповідь та команди атаки:
Суперник з обліковими даними адміністратора домену компрометує проміжну машину та використовує PsExec щоб запустити віддаленуcmd.exeна вторинному хості (TARGET_IP). Відразу після встановлення віддаленої оболонки, нападник передає зловмисну DLL (malicious.dll) на віддалений хост і завантажує його за допомогою regsvr32.exe (альтернативно rundll32.exe) для виконання навантаження програми-вимагача. Послідовність генерує дві різні події створення процесу, які відповідають праву Sigma: процес PsExec з точним командним рядком і наступний процес завантажувача DLL. -
Скрипт регресійного тестування:
# ------------------------------------------------------------------------- # Симуляція програми-вимагача SafePay – PsExec + Regsvr32 # ------------------------------------------------------------------------- # Передумови: # - PsExec.exe у поточній директорії або в PATH # - Зловмисна DLL з назвою malicious.dll розміщена в тій самій папці # - Дійсні облікові дані адміністратора домену (замініть заповнювачі) # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" # <--- ЗМІНІТЬ НА СВІЙ ЦІЛЬОВИЙ АДРЕС $username = "DomainAdmin" # <--- ЗМІНІТЬ НА ДІЙСНОГО КОРИСТУВАЧА $password = "Password123!" # <--- ЗМІНІТЬ НА ДІЙСНИЙ ПАРОЛЬ $dllPath = "$PSScriptRootmalicious.dll" # 1) Виконайте віддалений cmd.exe за допомогою PsExec Write-Host "[*] Запуск віддаленого cmd.exe через PsExec..." $psexecArgs = "$targetIP -u $username -p $password cmd.exe" & .PsExec.exe $psexecArgs Start-Sleep -Seconds 5 # дайте віддаленій сесії час на запуск # 2) Скопіюйте зловмисну DLL на віддалений хост (використовуючи SMB) Write-Host "[*] Копіювання зловмисної DLL на віддалений хост..." $destPath = "$targetIPC$Tempmalicious.dll" Copy-Item -Path $dllPath -Destination $destPath -Force # 3) Завантажте DLL через regsvr32 (це генерує другу подію) Write-Host "[*] Завантаження зловмисної DLL із regsvr32..." $regsvrArgs = "/s $destPath" & regsvr32.exe $regsvrArgs Write-Host "[+] Симуляція завершена. Перевірте SIEM на наявність сповіщень." -
Команди очистки:
# ------------------------------------------------------------------------- # Очистка для симуляції SafePay # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" $dllRemote = "$targetIPC$Tempmalicious.dll" # Видалити зловмисну DLL з віддаленого хоста Write-Host "[*] Видалення зловмисної DLL з віддаленого хоста..." Remove-Item -Path $dllRemote -Force -ErrorAction SilentlyContinue # За необхідності завершити будь-які залишкові процеси regsvr32/rundll32 Get-Process -Name regsvr32, rundll32 -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*$targetIP*"} | Stop-Process -Force Write-Host "[+] Очистка завершена."