Як справжні завантаження програм можуть приховувати віддалені бекдори
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники використовують сайт для завантаження RustDesk, що імітує оригінал (rustdesk.work), який доставляє троянську уставку: легітимна установка RustDesk укомплектована шкідливим завантажувачем, який названо Winos4.0. При виконанні цей дроппер встановлює logger.exe and Libserver.exe, а потім завантажує бекдор в пам’ять щоб зменшити артефакти на диску. Імплант встановлює командно-контрольний зв’язок до 207.56.13.76 через TCP/5666, що забезпечує постійний віддалений доступ. Ця активність обумовлена соціальною інженерією та імітацією бренду, а не вразливістю програмного забезпечення RustDesk.
Розслідування
Аналітики отримали шкідливий бінарний файл rustdesk-1.4.4-x86_64.exe та спостерігали, як він записує легітимний встановлювач RustDesk плюс озброєний logger.exe на диск. Цей logger.exe компонент породжує Libserver.exe, який потім організує WinosStager DLL-ки та велике навантаження в пам’яті без збереження цих модулів на диск. Телеметрія мережі підтвердила вихідні комунікації до 207.56.13.76:5666, оцінено як канал К2 кампанії. Дослідники витягнули ключові IOC, включаючи сфабрикований домен (rustdesk.work), імена файлів, що залишаються, та пов’язані хеша файлів.
Пом’якшення
Настройте практику перевіреного отримання програмного забезпечення та завантажуйте RustDesk лише з офіційного джерела (rustdesk.com). Застосовуйте дозволювальний список застосунків (або еквівалентні контролі), щоб запобігти виконанню ненадійних бінарних файлів, зокрема “установчих” файлів з директорій для запису користувачами. Контролюйте і обмежуйте вихідний трафік на TCP/5666, та додайте виявлення/правила блокування для з’єднань з rustdesk.work. Заблокуйте 207.56.13.76 і зловмисний домен через DNS, проксі та файрволи.
Реагування
Створіть виявлення для виконання logger.exe and Libserver.exe, та попереджайте про будь-які мережеві з’єднання з 207.56.13.76:5666. Проактивно шукайте на кінцевих точках троянську установку (і наявні SHA-256 індикатори) та підтвердить, чи RustDesk було встановлено з не затверджених джерел. Якщо компрометація підтверджена, ізолюйте постраждалі хости, зупиніть шкідливий процес, усуньте пов’язані артефакти та змініть потенційно скомпрометовані облікові дані (особливо будь-які облікові записи, використані під час встановлення або подальших віддалених сеансів).
Потік атак
Виявлення
Файл журналу RustDesk був створений (через file_event)
Переглянути
Можлива активність Командно-Контроль за допомогою програми віддаленого доступу через спробу з’єднання домену (через dns)
Переглянути
Альтернативне програмне забезпечення для віддаленого доступу/управління (через creation процесу)
Переглянути
IOC (SourceIP) для виявлення: Як справжні завантаження програмного забезпечення можуть ховати віддалені бекдори
Переглянути
IOC (HashSha256) для виявлення: Як справжні завантаження програмного забезпечення можуть ховати віддалені бекдори
Переглянути
IOC (DestinationIP) для виявлення: Як справжні завантаження програмного забезпечення можуть ховати віддалені бекдори
Переглянути
Виявлення мережевої активності Winos4.0 через шкідливий сервер командно-контроль [Мережеве з’єднання Windows]
Переглянути
Троянський встановлювач RustDesk з бекдором Winos4.0 [Створення процесу у Windows]
Переглянути
Виконання симуляції
Передумова: повинен пройти перевірку базових показників попереднього польоту.
Пояснення: Цей розділ деталізує точне виконання техніки супротивника (TTP), розробленої для виклику правила виявлення. Команди та описові частини МАЮТЬ безпосередньо відображати визначені TTP, щоб генерувати саме ту телеметрію, яку очікує логіка виявлення.
-
Опис атаки та команди:
- Доставка та виконання: Зловмисник доставляє троянський установник RustDesk (
rustdesk-1.4.4-x86_64.exe) через фішингове повідомлення. Файл зберігається до%TEMP%і виконується з підвищеними правами. - Вивантаження навантаження: При виконанні установник викладає два шкідливих бінарних файли —
logger.exeandLibserver.exe— у ту ж директорию і негайно запускає їх як дочірні процеси. - Постійність (T1546.016):
logger.exeзаписує запису Run‑key (HKCUSoftwareMicrosoftWindowsCurrentVersionRun) вказуючи на себе, щоб забезпечити постійність після перезавантаження. - Кодовий ін’єкція (T1574.005 / T1055.005):
Libserver.exeвводить рефлексивну DLL уexplorer.exeщоб отримати виконання з високими привілеями і відкриває зворотну оболонку до К2 зловмисника. - Ухилення (Маскування – T1036.011): Всі бінарні файли зберігають назву “RustDesk”, щоб поєднатися з легітимним програмним забезпеченням.
- Доставка та виконання: Зловмисник доставляє троянський установник RustDesk (
-
Регресійний тестовий скрипт: Скрипт нижче автоматизує кроки 1-3, створюючи три потрібні події створення процесу. Він використовує PowerShell для копіювання попередньо підготовлених шкідливих бінарних файлів (симулюючи безпечними замінниками для безпеки) та запускає їх із правильними відносинами батько-дитина.
# ------------------------------------------------- # Скрипт для симуляції – Троянський Встановлювач RustDesk # ------------------------------------------------- # Передумова: Два добропорядних замінних виконуваних файлів, поміщених у C:Malware (named logger.exe & Libserver.exe) # В реальному тесті червоної команди це будуть фактичні шкідливі навантаження. # ------------------------------------------------- $installerPath = "$env:TEMPrustdesk-1.4.4-x86_64.exe" $payloadDir = "$env:TEMPrustdesk_payload" $loggerPath = "$payloadDirlogger.exe" $libserverPath = "$payloadDirLibserver.exe" # 1. Розгорнути фіктивний встановлювач (просто копія доброзичливого виконуваного файлу) Write-Host "[*] Розгортання фальшивого встановлення RustDesk..." New-Item -ItemType Directory -Path $payloadDir -Force | Out-Null Copy-Item -Path "C:WindowsSystem32notepad.exe" -Destination $installerPath -Force # 2. Симулюйте вивантаження навантаження – копіюйте замінники бінарних файлів Write-Host "[*] Вивантаження навантажень..." Copy-Item -Path "C:Malwarelogger.exe" -Destination $loggerPath -Force Copy-Item -Path "C:MalwareLibserver.exe" -Destination $libserverPath -Force # 3. Виконати встановлювач (створює батьківський процес) Write-Host "[*] Виконання встановлювача..." $installer = Start-Process -FilePath $installerPath -PassThru # 4. Запустити logger.exe як дитину встановлювача Write-Host "[*] Запуск logger.exe (дитина встановлювача)..." Start-Process -FilePath $loggerPath -ArgumentList "--parent $($installer.Id)" -NoNewWindow # 5. Запустити Libserver.exe як дитину встановлювача Write-Host "[*] Запуск Libserver.exe (дитина встановлювача)..." Start-Process -FilePath $libserverPath -ArgumentList "--parent $($installer.Id)" -NoNewWindow Write-Host "[+] Симуляція завершена. Перевірте сигнали в SIEM." -
Команди очищення: Видаліть тимчасові файли і заверште всі залишкові процеси.
# ------------------------------------------------- # Скрипт очищення – Видалення артефактів симуляції # ------------------------------------------------- $installerPath = "$env:TEMPrustdesk-1.4.4-x86_64.exe" $payloadDir = "$env:TEMPrustdesk_payload" Write-Host "[*] Зупинка запущених процесів..." Get-Process -Name "logger","Libserver","rustdesk-1.4.4-x86_64" -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "[*] Видалення файлів..." Remove-Item -Path $installerPath -Force -ErrorAction SilentlyContinue Remove-Item -Recurse -Force -Path $payloadDir -ErrorAction SilentlyContinue Write-Host "[+] Очищення завершено."