SOC Prime Bias: Середній

27 May 2026 15:51 UTC

BlackToad використовує маніпуляцію мережею в AutoIt пейлоуді

Author Photo
SOC Prime Team linkedin icon Стежити
BlackToad використовує маніпуляцію мережею в AutoIt пейлоуді
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

JUMPSEC виявила фішингову кампанію, яка доставляє вірус Remcos RAT, прихований всередині кастомного AutoIt-криптера. Ланцюжок зараження використовує VBS-скрипт для запуску ipconfig /release слідує ipconfig /renew, що короткочасно порушує підключення до мережі як спосіб ухилитися від виявлення. Дослідники пов’язали кампанію з нігерійською екосистемою е-криміналу, інфраструктура якої залежить від динамічних DNS-доменів, що розміщені за мобільними підключеннями ISP.

Розслідування

Розслідування відстежило шкідливий електронний лист, розпакувало вбудований архів WinRAR, що саморозпаковується, та ідентифікувало завантажувач VBS, який запускав замаскований інтерпретатор AutoIt. Сценарій AutoIt потім розшифрував і виконав імплант Remcos, тоді як відновлена конфігурація виявила домени командування і контролю, значення м’ютексу та ключ запуску для збереження. Дослідники відображали підтримуючу інфраструктуру на три динамічні DNS-домени та обережний набір нігерійських IP-адрес.

Пом’якшення

Організації мають заблокувати виявлені динамічні DNS-домени та асоційовані діапазони IP, моніторити підозрілу ipconfig /release and ipconfig /renew послідовність, та виявляти AutoIt або VBS-скрипти, що породжують cmd.exe. Сильний контроль виконання також слід застосовувати до файлів, які використовують оманливі подвійні розширення, тоді як записи запуску реєстру, такі як WindowsUpdate мають бути під моніторингом на предмет зловживань.

Відповідь

Якщо цю активність виявлено, ізолюйте постраждалий кінцевий пристрій негайно, припиніть процес Remcos, видаліть шкідливий ключ запуску, який використовується для стійкості, і проведіть повний судово-медичний огляд на наявність крадіжки облікових даних або подальших дій. Контент виявлення також має бути оновлено для ідентифікації технік з перериванням мережі та конкретних шаблонів імен файлів, пов’язаних з кампанією.

Потік Атаки

Виявлення

Можливі Точки Стійкості [ASEP – Hive Software/NTUSER] (через реєстрову подію)

Команда SOC Prime
27 травня 2026

Можливий звернений Динамічний DNS-Сервіс (через DNS)

Команда SOC Prime
27 травня 2026

Можливий Шкідливий SCR Файл з Подвійним Розширенням (через командний рядок)

Команда SOC Prime
27 травня 2026

IOC (HashSha256) для виявлення: BlackToad: Маніпуляція з мережею в AutoIt навантаженні

Правила SOC Prime AI
27 травня 2026

IOC (HashMd5) для виявлення: BlackToad: Маніпуляція з мережею в AutoIt навантаженні

Правила SOC Prime AI
27 травня 2026

IOC (SourceIP) для виявлення: BlackToad: Маніпуляція з мережею в AutoIt навантаженні

Правила SOC Prime AI
27 травня 2026

IOC (DestinationIP) для виявлення: BlackToad: Маніпуляція з мережею в AutoIt навантаженні

Правила SOC Prime AI
27 травня 2026

Виявлення Комунікації C2 BlackToad [Підключення до Мережі Windows]

Правила SOC Prime AI
27 травня 2026

Маніпуляція з Мережею BlackToad через AutoIt Навантаження [Створення Процесу Windows]

Правила SOC Prime AI
27 травня 2026

Виконання Симуляції

Попередня умова: Перевірка перед польотом Телеметрії та Базової лінії повинна пройдено.

Мотив: У цьому розділі детально описується точне виконання технік супротивника (TTP), спроєктованих для спрацювання правила виявлення. Команди та наратив МУСИТЬ безпосередньо відображати визначені TTP та мають мету створити саме ту телеметрію, що очікується виявленням. Абстрактні або нерелевантні приклади призведуть до неправильної діагностики.

  • Наратив Атаки та Команди:

    1. Мета: Встановити канал C2 з імплантом BlackToad Remcos, використовуючи один із відомих шкідливих DDNS доменів на жорстко закодованому порту 50240.
    2. Крок‑за‑кроком:
      • Вирішити обраний шкідливий DDNS домен (pmitm.ddns.net).
      • Відкрити TCP сокет до дозволеної IP по порту 50240.
      • Відправити мінімальний «heartbeat» пакет для імітації початкового рукостискання імпланта.
      • Утримувати сокет відкритим на 30 секунд, щоб брандмауер записав вихідне з’єднання.
    3. Вихідне з’єднання точно відповідає списку destination.ip переліку та destination.port критеям, створюючи виявляєму подію брандмауера.
  • Скрипт Тесту Регресії:

     # Імітація Комунікації C2 BlackToad (PowerShell)
      $c2Domain = "pmitm.ddns.net"      # один із доменів у списку правила
      $c2Port   = 50240
    
      try {
          # Розв'язання домену в IP (додає телеметрію DNS запиту)
          $ip = [System.Net.Dns]::GetHostAddresses($c2Domain) |
                Where-Object { $_.AddressFamily -eq 'InterNetwork' } |
                Select-Object -First 1
    
          if (-not $ip) { throw "Недосяжний для розв'язання $c2Domain" }
    
          Write-Host "Розв'язано $c2Domain до $($ip.IPAddressToString). Підключення..."
    
          # Відкрити TCP з'єднання (генерує лог виходу брандмауера)
          $client = New-Object System.Net.Sockets.TcpClient
          $client.Connect($ip, $c2Port)
    
          # Відправка простого 'heartbeat' (hex 0x01)
          $stream = $client.GetStream()
          $payload = [byte[]](0x01)
          $stream.Write($payload, 0, $payload.Length)
    
          Write-Host "Heartbeat відправлено. Утримання з'єднання активним 30 секунд..."
          Start-Sleep -Seconds 30
    
          $stream.Close()
          $client.Close()
          Write-Host "З'єднання закрито чисто."
      }
      catch {
          Write-Error "Імітація не вдалася: $_"
      }
  • Команди Закриття:

     # Забезпечте закриття всіх залишкових сокетів
      Get-NetTCPConnection -RemotePort 50240 -State Established |
          ForEach-Object { Stop-Process -Id $_.OwningProcess -Force }
      # Необов'язково: Очистіть DNS кеш, щоб видалити дозволений запис DDNS
      ipconfig /flushdns
      Write-Host "Очищення завершено."