Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Avaddon – це операція “Зловмисне ПЗ як послуга” (RaaS), якою керує злочинна група Riddle Spider. Мальваре на основі C++ шифрує локальні та доступні по мережі дані, видаляє тіньові копії та використовує подвійну модель вимагання, погрожуючи витоком ексфільтрованої інформації. Вона розгортається через вкрадені облікові дані, відкриті служби RDP та кастомні веб-шелли, і значною мірою використовує кілька технік антианалізу.
Аналіз-вимагання Avaddon
Аналіз детально описує кодову базу Avaddon, як він зберігає свою конфігурацію, виконує географічні перевірки, зупиняє служби, завершує процеси та виконує шифрування за допомогою AES-256 з унікальними ключами для кожного файлу. Він також перераховує служби та процеси, вибрані для завершення, і конкретні команди, що використовуються для вимкнення механізмів відновлення.
Захист
Захисники повинні забезпечити надійну гігієну облікових даних, обмежити або посилити експозицію RDP, моніторити відомі шаблони веб-шеллів та виявляти виконання команд видалення тіньових копій. Білі списки додатків і регулярні, офлайн резервні копії можуть значно зменшити вплив вимагального ПЗ.
Відповідь
У разі виявлення активності Avaddon, ізолюйте скомпрометовану систему, збережіть леткі докази, блокуйте пов’язану поведінку командного рядка, ініціюйте реагування на інцидент з повним криміналістичним зображенням. Відновлюйте дані з надійних офлайн резервних копій та розгляньте можливість залучення правоохоронних органів через тактику подвійного вимагання.
graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc %% Вузли action_valid_accounts[“<b>Дія</b> – <b>T1078 Дійсні облікові записи</b><br/>Зловмисник використовує викрадені або вгадані облікові дані для початкового доступу, часто через скомпрометовані RDP-облікові записи.”] class action_valid_accounts action action_rdp[“<b>Дія</b> – <b>T1021.001 Віддалені служби: RDP</b><br/>Використання RDP для бокового переміщення та віддаленого виконання команд після отримання дійсних облікових даних.”] class action_rdp action malware_web_shell[“<b>Шкідливе ПЗ</b> – <b>T1505.003 Компонент серверного ПЗ: Web Shell</b><br/>Розгортання власних вебшелів (наприклад, BLACKCROW, DARKRAVEN) для збереження постійного доступу та виконання команд на скомпрометованих серверах.”] class malware_web_shell malware action_c2_comm[“<b>Дія</b> – <b>T1102.002 Вебсервіс: двосторонній зв’язок</b><br/>Вебшел надає двосторонній канал командно-керувального зв’язку (C2).”] class action_c2_comm action tool_powershell[“<b>Інструмент</b> – <b>T1059.001 Інтерпретатор команд і скриптів: PowerShell</b><br/>Виконання PowerShell-скриптів через постексплуатаційні фреймворки, такі як Empire або PowerSploit.”] class tool_powershell tool action_auto_collection[“<b>Дія</b> – <b>T1119 Автоматизований збір</b><br/>Автоматичний збір файлів і даних перед ексфільтрацією.”] class action_auto_collection action tool_7zip[“<b>Інструмент</b> – <b>T1560.001 Архівація зібраних даних: через утиліту</b><br/>Стиснення зібраних даних за допомогою 7Zip.”] class tool_7zip tool action_exfil_cloud[“<b>Дія</b> – <b>T1567.002 Ексфільтрація через вебсервіс: у хмарне сховище</b><br/>Завантаження архівованих даних у хмарні сервіси, такі як MEGAsync.”] class action_exfil_cloud action action_gather_info[“<b>Дія</b> – <b>T1592 Збір інформації про хост</b><br/>Збір апаратних, програмних, прошивкових і клієнтських налаштувань для підготовки записки з вимогою викупу.”] class action_gather_info action action_service_stop[“<b>Дія</b> – <b>T1489 Зупинка сервісів</b><br/>Зупинка та видалення сервісів і процесів безпеки для уникнення перешкод під час шифрування.”] class action_service_stop action action_exclusive_control[“<b>Дія</b> – <b>T1668 Ексклюзивний контроль</b><br/>Отримання повного контролю для видалення тіньових копій і запобігання відновленню.”] class action_exclusive_control action action_inhibit_recovery[“<b>Дія</b> – <b>T1490 Блокування відновлення системи</b><br/>Вимкнення механізмів відновлення (vssadmin, wbadmin, bcdedit) і видалення тіньових копій.”] class action_inhibit_recovery action action_obfuscation[“<b>Дія</b> – <b>T1027 Обфусковані файли або інформація</b><br/>Рядки конфігурації кодуються у Base64 та додатково обфускуються арифметичними операціями.”] class action_obfuscation action action_data_encryption[“<b>Дія</b> – <b>T1486 Шифрування даних для впливу</b><br/>Шифрування файлів жертви за допомогою AES‑256 з унікальними ключами для кожного файлу та виключенням критичних системних директорій.”] class action_data_encryption action action_hide_artifacts[“<b>Дія</b> – <b>T1564.012 Приховування артефактів: виключення файлів/шляхів</b><br/>Виключення певних директорій і розширень із процесу шифрування для збереження стабільності системи.”] class action_hide_artifacts action %% Зв’язки action_valid_accounts –>|призводить до| action_rdp action_rdp –>|забезпечує| malware_web_shell malware_web_shell –>|надає| action_c2_comm action_c2_comm –>|використовує| tool_powershell tool_powershell –>|виконує| action_auto_collection action_auto_collection –>|передає дані в| tool_7zip tool_7zip –>|створює архів для| action_exfil_cloud action_exfil_cloud –>|завершує| action_gather_info action_gather_info –>|передує| action_service_stop action_service_stop –>|забезпечує| action_exclusive_control action_exclusive_control –>|призводить до| action_inhibit_recovery action_inhibit_recovery –>|готує етап для| action_obfuscation action_obfuscation –>|передує| action_data_encryption action_data_encryption –>|супроводжується| action_hide_artifacts %% Стилізація class action_valid_accounts,action_rdp,action_c2_comm,action_auto_collection,action_exfil_cloud,action_gather_info,action_service_stop,action_exclusive_control,action_inhibit_recovery,action_obfuscation,action_data_encryption,action_hide_artifacts action class tool_powershell,tool_7zip tool class malware_web_shell malware
Потік Атаки
Виявлення
Виявлення використання RDP для латерального руху через скомпрометовані облікові дані [Підключення до мережі Windows]
Переглянути
Виявлення команди анти-відновлення, які використовуються вимагань Avaddon [Створення процесу Windows]
Переглянути
Виявлення веб-шеллів BLACKCROW і DARKRAVEN або RAT SystemBC [Створення процесу Windows]
Переглянути
IOC (Електронні пошти) для виявлення: Аналіз та технічний огляд Riddle Spider Avaddon Ransomware
Переглянути
Підозріла активність інструменту Wbadmin (через командний рядок)
Переглянути
Симуляції
Огляд керівництва
Ідентифікатор тестового випадку: TC-20251104-A7B9Z
ТТП: T1219, T1566.001
Короткий зміст логіки правила виявлення: Виявляє будь-який електронний лист, у якому у темі міститься слово “load”, а в тілі є обидва рядки “.exe” і “.msi”, що вказує на зловмисне посилання для завантаження.
Мова/Формат правила виявлення: сигма
Цільове середовище безпеки: ОС Windows – журнали підключення до мережі (наприклад, Windows Firewall, проксі, журнали DNS) – платформа SIEM, яка споживає правила Sigma (наприклад, Splunk, Elastic, Azure Sentinel)
Оцінка стійкості (1-5): 2
Обґрунтування: Правило залежить від…
Перегляд усіх симуляцій