Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
У рамках кампанії соціальної інженерії ClickFix було використано завантажувач Potemkin, який згодом доставив як RMMProject RAT, так і EtherRAT. Утручання включало діяльність з прямим управлінням, бічний рух через WMIExec та SMBExec, а також спроби ослаблення або відключення Microsoft Defender. Усього нападники поширилися більш ніж на 11 систем у межах середовища жертви.
Розслідування
Розслідування відстежило компрометацію до неконтрольованої кінцевої точки, де користувач виконав зловмисну команду. Аналітики ідентифікували користувальницький завантажувач під назвою Potemkin, який використовував детерміністичний алгоритм генерації доменів, а також RAT із підтримкою Lua під назвою RMMProject, який міг обійти Chrome App-Bound Encryption. Дослідники також задокументували EtherRAT, який отримує інфраструктуру командування та управління через блокчейн Ethereum, а також використання тунелів Chisel під час проникнення.
Усунення
Одним з найбільш ефективних засобів захисту є відключення діалогового вікна виконання Windows через політику групи, щоб зменшити ймовірність виконання ClickFix. Організації повинні також увімкнути захист від підробки Microsoft Defender і здійснювати моніторинг за неавторизованими змінами в реєстрі, що впливають на налаштування безпеки або спроби вимкнення WinDefend служби. Широке і постійне покриття кінцевих точок залишається необхідним, щоб запобігти отриманню першопричини нападниками.
Відповідь
Якщо ця діяльність виявлена, відповідальні повинні негайно ізолювати уражені системи, щоб зупинити подальший бічний рух. Відновлення має включати завершення зловмисних процесів Node.js, видалення ідентифікованих механізмів стійкості, таких як ключі запуску та заплановані завдання, а також очищення несанкціонованих шляхів винятків Microsoft Defender. Потрібне повне очищення середовища, оскільки методи стійкості можуть відрізнятися між хостами.
"graph TB %% Визначення класів classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef defense_evasion fill:#9b59b6,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef c2 fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#f1c40f,stroke:#333,stroke-width:2px classDef lateral_movement fill:#1abc9c,stroke:#333,stroke-width:2px classDef defense_impairment fill:#34495e,stroke:#333,stroke-width:2px %% Фаза початкового доступу та виконання action_clickfix["<b>Дія</b> – <b>T1204.004 Виконання користувачем: Шкідливе копіювання та вставка</b><br/>Опис: Користувача за допомогою соціальної інженерії ClickFix обманюють вставити та виконати команду в діалоговому вікні виконання Windows.<br/><b/>Артефакти: cmd /min /c pcalua.exe -a mshta.exe…"] class action_clickfix initial_access exec_mshta["<b/>Дія</b> – <b>T1218.005 Системний проксі-виконання бінарного коду: Mshta</b><br/>Опис: Використовується pcalua.exe для проксі-виконання mshta.exe для отримання віддаленого HTA корисного навантаження.<br/><b/>Артефакти: hte.hta корисне навантаження, pcalua.exe"] class exec_mshta execution exec_msiexec["<b/>Дія</b> – <b>T1218.007 Системний проксі-виконання бінарного коду: Msiexec</b><br/>Опис: Шкідливий пакет MSI безшумно встановлюється за допомогою msiexec.<br/><b/>Артефакти: inst24.msi, msiexec /qn"] class exec_msiexec execution %% Фаза стійкості та завантажувача persist_netsh["<b/>Дія</b> – <b>T1546.007 Виконання, що тригериться подіями: Netsh Helper DLL</b><br/>Опис: Стійкість встановлена через компонент реєстру автозапуску MSI.<br/><b/>Артефакти: завантажувач Potemkin, RunSearch.exe в %LOCALAPPDATA%MicrosoftRunSearch"] class persist_netsh persistence %% Фаза командування та управління c2_dga["<b/>Дія</b> – <b>T1568 Динамічний розв'язок</b><br/>Опис: завантажувач Potemkin використовує алгоритм генерації доменів для пошуку серверів C2.<br/><b/>Артефакти: Potemkin DGA"] class c2_dga c2 c2_ether["<b/>Дія</b> – <b>T1568 Динамічний розв'язок</b><br/>Опис: EtherRAT вирішує свою адресу C2 з блокчейну Ethereum через EtherHiding.<br/><b/>Артефакти: EtherRAT"] class c2_ether c2 %% Фаза доступу до облікових даних cred_steal["<b/>Дія</b> – <b>T1539 Викрадення веб-сесійного файлу cookie</b><br/>Опис: RMMProject RAT націлює браузери на викрадення файлів cookie та облікових даних шляхом впровадження DLL для обходу Chrome App-Bound Encryption.<br/><b/>Артефакти: RMMProject, браузерні бази даних SQLite"] class cred_steal credential_access %% Фаза бічного руху lat_move["<b/>Дія</b> – <b>T1210 Експлуатація віддалених сервісів</b><br/>Опис: Нападник рухається вбік за допомогою WMIExec та SMBExec для поширення встановлювача MSI.<br/><b/>Артефакти: WMIExec, SMBExec, msiexec /i <IP>ADMIN$Temp…"] class lat_move lateral_movement %% Фаза погіршення захисту def_impair["<b/>Дія</b> – <b>T1687 Експлуатація для погіршення захисту</b><br/>Опис: Боротися з Windows Defender, патчити AMSI, записувати політики реєстру та зупиняти сервіс.<br/><b/>Артефакти: ключі реєстру DisableAntiSpyware, Stop-Service WinDefend, патчування AMSI"] class def_impair defense_impairment %% Фаза тунелювання C2 c2_tunnel["<b/>Дія</b> – <b>T1572 Тунелювання протоколу</b><br/>Опис: Використання Chisel для встановлення зворотних SOCKS тунелів і тунелів Cloudflare для відкриття внутрішніх сервісів.<br/><b/>Артефакти: Chisel, cloudflared перейменований у svchost.exe"] class c2_tunnel c2 %% З'єднання %% Потік від початкового доступу до виконання action_clickfix –>|призводить до| exec_mshta action_clickfix –>|призводить до| exec_msiexec %% Виконання призводить до стійкості exec_msiexec –>|встановлює| persist_netsh %% Стійкість призводить до командування та розгортання завантажувача persist_netsh –>|розгортає| c2_dga persist_netsh –>|розгортає| c2_ether %% Дії командування призводять до доступу до облікових даних c2_dga –>|виконує| cred_steal c2_ether –>|виконує| cred_steal %% Бічний рух поширює атаку cred_steal –>|дозволяє| lat_move lat_move –>|розгортається на нових хостах| exec_msiexec %% Погіршення захисту захищає нападника exec_mshta –>|використовується для патчування| def_impair def_impair –>|сприятиме| c2_tunnel "
Потік атаки
Детекція
Виконання системних процесів з нетипових шляхів (via process_creation)
Перегляд
Підозрілі зміни в налаштуваннях Windows Defender (via powershell)
Перегляд
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (via registry_event)
Перегляд
Відключення захистів Windows Defender (via registry_event)
Перегляд
Можливі шаблони командного рядка Impacket (via cmdline)
Перегляд
Підозріла зупинка сервісів втручання програм-вимагачів (via cmdline)
Перегляд
Можливість виконання через приховані командні рядки PowerShell (via cmdline)
Перегляд
Виконання NodeJS Binary з непритаманного розташування (via cmdline)
Перегляд
LOLBAS Pcalua (via cmdline)
Перегляд
Підозріла поведінка обходу захисту LOLBAS MSHTA шляхом виявлення пов’язаних команд (via process_creation)
Перегляд
LOLBAS Conhost (via cmdline)
Перегляд
Використання Certutil для кодування даних та операцій з сертифікатами (via cmdline)
Перегляд
Можливе використання інструменту тунелювання [Windows] (via cmdline)
Перегляд
Підозріле використання CURL (via cmdline)
Перегляд
Виклик підозрілих методів .NET з PowerShell (via powershell)
Перегляд
Підозрілий виконуваний файл з іменем як законний системний процес був створений (via file_event)
Перегляд
Можлива спроба зловживання Publicnode Ethereum як каналу C2 (via dns_query)
Перегляд
Підозріле завантаження файлу з прямою IP-адресою (via proxy)
Перегляд
Виконання скриптів PowerShell і порушення Windows Defender [Windows PowerShell]
Перегляд
Детекція комунікації C2 на основі Ethereum з боку EtherRAT [Windows Network Connection]
Перегляд
Детекція доставки HTA корисного навантаження через Mshta.exe [Windows Process Creation]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базової лінії повинна бути успішною.
Обґрунтування: У цьому розділі детально описується точне виконання техніки нападників (TTP), розроблене для активації правила детекції. Команди та наратив ПОВИННІ точно відображати визначені TTP і спрямовані на генерацію саме тієї телеметрії, що очікується логікою детектування. Абстрактні або не пов’язані приклади призведуть до хибної діагностики.
-
Сценарій атаки та команди: Супротивник намагається встановити C2-канал, використовуючи фірмовий метод EtherRAT. Щоб уникнути статичного аналізу конфігурації їх шкідливого програмного забезпечення, вони використовують
curlдля виконання HTTP POST-запиту до публічного кінцевого пункту Ethereum RPC (https://eth.drpc.org). Цей запит призначено для отримання фактичної IP-адреси/домена C2 з блокчейну. Щоб задовольнити специфічну логіку поточного правила детекції, команда структурована так, щоб включати відомий шкідливий доменanus-staylard.xyzв аргументи командного рядка, симулюючи етап доставки корисного навантаження або конфігурації. -
Скрипт регресійного тестування:
# Симуляція вирішення C2 через Ethereum RPC # Цей скрипт імітує конкретні шаблони командного рядка, необхідні для активації правила Sigma. $maliciousDomain = "anus-staylard.xyz" $rpcEndpoint = "https://eth.drpc.org" $maliciousIpString = "77.110.122.58:23205/lQhEQui9a4lZ.exe" # Побудова команди для відповідності логіці (selection1 OR selection2) AND selection3 # Шаблон: curl -s -X POST https://eth.drpc.org ... anus-staylard.xyz $cmd = "curl.exe -s -X POST $rpcEndpoint -d 'data=query' --user-agent '$maliciousDomain' --referer '$maliciousIpString'" Write-Host "[+] Виконання змодельованої команди EtherRAT: $cmd" Start-Process "cmd.exe" -ArgumentList "/c $cmd" -NoNewWindow -
Команди очищення:
# Постійні файли не створюються цією симуляцією; # відбувається лише виконання епізодичних процесів. Write-Host "[+] Симуляція завершена. Очищення не потрібне."