SOC Prime Bias: Критичний

16 Jan 2026 13:25 UTC

Як справжні завантаження програм можуть приховувати віддалені бекдори

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Як справжні завантаження програм можуть приховувати віддалені бекдори
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисники використовують сайт для завантаження RustDesk, що імітує оригінал (rustdesk.work), який доставляє троянську уставку: легітимна установка RustDesk укомплектована шкідливим завантажувачем, який названо Winos4.0. При виконанні цей дроппер встановлює logger.exe and Libserver.exe, а потім завантажує бекдор в пам’ять щоб зменшити артефакти на диску. Імплант встановлює командно-контрольний зв’язок до 207.56.13.76 через TCP/5666, що забезпечує постійний віддалений доступ. Ця активність обумовлена соціальною інженерією та імітацією бренду, а не вразливістю програмного забезпечення RustDesk.

Розслідування

Аналітики отримали шкідливий бінарний файл rustdesk-1.4.4-x86_64.exe та спостерігали, як він записує легітимний встановлювач RustDesk плюс озброєний logger.exe на диск. Цей logger.exe компонент породжує Libserver.exe, який потім організує WinosStager DLL-ки та велике навантаження в пам’яті без збереження цих модулів на диск. Телеметрія мережі підтвердила вихідні комунікації до 207.56.13.76:5666, оцінено як канал К2 кампанії. Дослідники витягнули ключові IOC, включаючи сфабрикований домен (rustdesk.work), імена файлів, що залишаються, та пов’язані хеша файлів.

Пом’якшення

Настройте практику перевіреного отримання програмного забезпечення та завантажуйте RustDesk лише з офіційного джерела (rustdesk.com). Застосовуйте дозволювальний список застосунків (або еквівалентні контролі), щоб запобігти виконанню ненадійних бінарних файлів, зокрема “установчих” файлів з директорій для запису користувачами. Контролюйте і обмежуйте вихідний трафік на TCP/5666, та додайте виявлення/правила блокування для з’єднань з rustdesk.work. Заблокуйте 207.56.13.76 і зловмисний домен через DNS, проксі та файрволи.

Реагування

Створіть виявлення для виконання logger.exe and Libserver.exe, та попереджайте про будь-які мережеві з’єднання з 207.56.13.76:5666. Проактивно шукайте на кінцевих точках троянську установку (і наявні SHA-256 індикатори) та підтвердить, чи RustDesk було встановлено з не затверджених джерел. Якщо компрометація підтверджена, ізолюйте постраждалі хости, зупиніть шкідливий процес, усуньте пов’язані артефакти та змініть потенційно скомпрометовані облікові дані (особливо будь-які облікові записи, використані під час встановлення або подальших віддалених сеансів).

Потік атак

Виявлення

Файл журналу RustDesk був створений (через file_event)

Команда SOC Prime
15 січня 2026

Можлива активність Командно-Контроль за допомогою програми віддаленого доступу через спробу з’єднання домену (через dns)

Команда SOC Prime
15 січня 2026

Альтернативне програмне забезпечення для віддаленого доступу/управління (через creation процесу)

Команда SOC Prime
15 січня 2026

IOC (SourceIP) для виявлення: Як справжні завантаження програмного забезпечення можуть ховати віддалені бекдори

Правила SOC Prime AI
15 січня 2026

IOC (HashSha256) для виявлення: Як справжні завантаження програмного забезпечення можуть ховати віддалені бекдори

Правила SOC Prime AI
15 січня 2026

IOC (DestinationIP) для виявлення: Як справжні завантаження програмного забезпечення можуть ховати віддалені бекдори

Правила SOC Prime AI
15 січня 2026

Виявлення мережевої активності Winos4.0 через шкідливий сервер командно-контроль [Мережеве з’єднання Windows]

Правила SOC Prime AI
15 січня 2026

Троянський встановлювач RustDesk з бекдором Winos4.0 [Створення процесу у Windows]

Правила SOC Prime AI
15 січня 2026

Виконання симуляції

Передумова: повинен пройти перевірку базових показників попереднього польоту.

Пояснення: Цей розділ деталізує точне виконання техніки супротивника (TTP), розробленої для виклику правила виявлення. Команди та описові частини МАЮТЬ безпосередньо відображати визначені TTP, щоб генерувати саме ту телеметрію, яку очікує логіка виявлення.

  • Опис атаки та команди:

    1. Доставка та виконання: Зловмисник доставляє троянський установник RustDesk (rustdesk-1.4.4-x86_64.exe) через фішингове повідомлення. Файл зберігається до %TEMP% і виконується з підвищеними правами.
    2. Вивантаження навантаження: При виконанні установник викладає два шкідливих бінарних файли —logger.exe and Libserver.exe— у ту ж директорию і негайно запускає їх як дочірні процеси.
    3. Постійність (T1546.016): logger.exe записує запису Run‑key (HKCUSoftwareMicrosoftWindowsCurrentVersionRun) вказуючи на себе, щоб забезпечити постійність після перезавантаження.
    4. Кодовий ін’єкція (T1574.005 / T1055.005): Libserver.exe вводить рефлексивну DLL у explorer.exe щоб отримати виконання з високими привілеями і відкриває зворотну оболонку до К2 зловмисника.
    5. Ухилення (Маскування – T1036.011): Всі бінарні файли зберігають назву “RustDesk”, щоб поєднатися з легітимним програмним забезпеченням.
  • Регресійний тестовий скрипт: Скрипт нижче автоматизує кроки 1-3, створюючи три потрібні події створення процесу. Він використовує PowerShell для копіювання попередньо підготовлених шкідливих бінарних файлів (симулюючи безпечними замінниками для безпеки) та запускає їх із правильними відносинами батько-дитина.

    # -------------------------------------------------
    # Скрипт для симуляції – Троянський Встановлювач RustDesk
    # -------------------------------------------------
    # Передумова: Два добропорядних замінних виконуваних файлів, поміщених у C:Malware (named logger.exe & Libserver.exe)
    #   В реальному тесті червоної команди це будуть фактичні шкідливі навантаження.
    # -------------------------------------------------
    
    $installerPath = "$env:TEMPrustdesk-1.4.4-x86_64.exe"
    $payloadDir    = "$env:TEMPrustdesk_payload"
    $loggerPath    = "$payloadDirlogger.exe"
    $libserverPath = "$payloadDirLibserver.exe"
    
    # 1. Розгорнути фіктивний встановлювач (просто копія доброзичливого виконуваного файлу)
    Write-Host "[*] Розгортання фальшивого встановлення RustDesk..."
    New-Item -ItemType Directory -Path $payloadDir -Force | Out-Null
    Copy-Item -Path "C:WindowsSystem32notepad.exe" -Destination $installerPath -Force
    
    # 2. Симулюйте вивантаження навантаження – копіюйте замінники бінарних файлів
    Write-Host "[*] Вивантаження навантажень..."
    Copy-Item -Path "C:Malwarelogger.exe" -Destination $loggerPath -Force
    Copy-Item -Path "C:MalwareLibserver.exe" -Destination $libserverPath -Force
    
    # 3. Виконати встановлювач (створює батьківський процес)
    Write-Host "[*] Виконання встановлювача..."
    $installer = Start-Process -FilePath $installerPath -PassThru
    
    # 4. Запустити logger.exe як дитину встановлювача
    Write-Host "[*] Запуск logger.exe (дитина встановлювача)..."
    Start-Process -FilePath $loggerPath -ArgumentList "--parent $($installer.Id)" -NoNewWindow
    
    # 5. Запустити Libserver.exe як дитину встановлювача
    Write-Host "[*] Запуск Libserver.exe (дитина встановлювача)..."
    Start-Process -FilePath $libserverPath -ArgumentList "--parent $($installer.Id)" -NoNewWindow
    
    Write-Host "[+] Симуляція завершена. Перевірте сигнали в SIEM."
  • Команди очищення: Видаліть тимчасові файли і заверште всі залишкові процеси.

    # -------------------------------------------------
    # Скрипт очищення – Видалення артефактів симуляції
    # -------------------------------------------------
    $installerPath = "$env:TEMPrustdesk-1.4.4-x86_64.exe"
    $payloadDir    = "$env:TEMPrustdesk_payload"
    
    Write-Host "[*] Зупинка запущених процесів..."
    Get-Process -Name "logger","Libserver","rustdesk-1.4.4-x86_64" -ErrorAction SilentlyContinue |
        Stop-Process -Force
    
    Write-Host "[*] Видалення файлів..."
    Remove-Item -Path $installerPath -Force -ErrorAction SilentlyContinue
    Remove-Item -Recurse -Force -Path $payloadDir -ErrorAction SilentlyContinue
    
    Write-Host "[+] Очищення завершено."