Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисний веб-сайт, який видає себе за безкоштовну послугу видалення фону, доставляє багатоступеневу структуру шкідливого ПЗ під назвою CastleLoader. Після виконання лоадер встановлює NetSupport RAT разом із спеціальним .NET крадіжником, розробленим для збирання облікових даних із браузера, даних криптовалютного гаманця та інформації сесій Telegram. Шкідливе ПЗ спілкується зі своєю інфраструктурою команди і управління через зашифровані канали, які залежать від власних протоколів та шифрування ChaCha20. Кампанія також використовує кілька методів ухилення, зокрема, процес холовінг, ін’єкцію APC та зловживання ReplaceTextW, для зменшення виявлення та підтримки виконання.
Розслідування
Дослідники відстежили атаку до початкового корисного навантаження, скопійованого на буфер обміну жертви через підроблене вікно “Я не робот”, після чого використовувався finger.exe для отримання команди з віддаленого сервера. Глибший аналіз виявив ланцюг на основі Python, який завантажував додаткові компоненти шкідливого програмного забезпечення, власний завантажувач shellcode, захищений RC4, і відбивний PE лоадер, який викликав NtAllocateVirtualMemory безпосередньо. Слідчі виявили, що CastleLoader завантажував зашифровані завдання із сервера команди та управління, розшифровував їх у пам’яті і запускав наступні корисні навантаження за допомогою декількох різних методів виконання.
Пом’якшення
Захисникам слід блокувати виконання непотрібних утиліт Windows, таких як finger.exe and regsvr32.exe, впровадити політики контролю застосувань AppLocker або порівнянні, та обмежити вихідний трафік до ненадійних доменів та незвичайних портів. Організаціям слід також розглянути можливість обмеження доступу до діалогу “Запустити” там, де це можливо, та моніторинг підозрілого використання ReplaceTextW та незвичайної активності COM-об’єктів. Зміцнення браузера може допомогти зменшити вплив крадіжки облікових даних, заснованої на DPAPI, а регулярне оновлення розширень криптовалютних гаманців може знизити ризик компрометації гаманця.
Відповідь
Командам безпеки слід полювати на CastleLoader шляхом виявлення характерної команди буфера обміну, моніторингу трафіку до виявлених доменів команди та управління, та пошуку користувацьких рядків агентів шкідливого ПЗ. Слідчі також повинні перевірити всі заплановані завдання, створені в %ProgramData% та шукати пов’язане значення mutex. Якщо інфекція підтверджена, ізолюйте уражений хост, завершіть усі активні процеси NetSupport RAT, та видаліть шкідливі файли, розміщені у %ProgramData% and %LocalAppData%.
"graph TB %% Class Definitions classDef technique fill:#ffcc99 classDef operator fill:#ff9900 %% Node Definitions tech_content_injection["<b>Техніка</b> – <b>T1659 Впорскування контенту</b><br/><b>Опис</b>: Противник ін’єктує шкідливий контент у законні файли або потоки даних для доставки корисних навантажень."] class tech_content_injection technique tech_user_exec_link["<b>Техніка</b> – <b>T1204.001 Виконання користувачем: Зловмисне посилання</b><br/><b>Опис</b>: Жертва підсвідчується натиснути на зловмисне гіперпосилання, яке запускає шкідливий код."] class tech_user_exec_link technique tech_user_exec_copypaste["<b>Техніка</b> – <b>T1204.004 Виконання користувачем: Зловмисне копіювання та вставка</b><br/><b>Опис</b>: Жертва копіює та вставляє шкідливий код чи команди у довірений застосунок."] class tech_user_exec_copypaste technique tech_obfuscation["<b>Техніка</b> – <b>T1027 Приховування файлів або інформації</b><br/><b>Опис</b>: Шкідливе ПЗ приховане за допомогою технік обфускації для уникнення виявлення."] class tech_obfuscation technique tech_deobfuscate["<b>Техніка</b> – <b>T1140 Деобфускація/Декодування файлів або інформації</b><br/><b>Опис</b>: Шкідливий код декодується або деобфускується для виявлення його справжньої функційності."] class tech_deobfuscate technique tech_encrypted_channel["<b>Техніка</b> – <b>T1573 Зашифрований канал</b><br/><b>Опис</b>: Спілкування зашифроване для захисту даних в транзиті від аналізу."] class tech_encrypted_channel technique tech_process_injection_apc["<b>Техніка</b> – <b>T1055.009 Ін’єкція процесу (APC)</b><br/><b>Опис</b>: Код впорскується у цільовий процес за допомогою асинхронних викликів процедур."] class tech_process_injection_apc technique tech_process_hollowing["<b>Техніка</b> – <b>T1055.012 Ін’єкція процесу (Process Hollowing)</b><br/><b>Опис</b>: Створюється легітимний процес, і його пам’ять замінюється на шкідливий код."] class tech_process_hollowing technique tech_reflective_loading["<b>Техніка</b> – <b>T1620 Рефлексивне завантаження коду</b><br/><b>Опис</b>: Шкідливий код завантажується безпосередньо в пам’ять без запису на диск."] class tech_reflective_loading technique tech_screen_capture["<b>Техніка</b> – <b>T1113 Захоплення екрану</b><br/><b>Опис</b>: Захоплює зображення робочого столу жертви для розвідувальних цілей."] class tech_screen_capture technique tech_regsvr32["<b>Техніка</b> – <b>T1218.010 Виконання через Proxy Regsvr32</b><br/><b>Опис</b>: Використовує regsvr32 для виконання шкідливого коду через проксі DLL."] class tech_regsvr32 technique tech_masquerading["<b>Техніка</b> – <b>T1036.011 Маскування (копія conhost)</b><br/><b>Опис</b>: Шкідливий бінарний файл перейменовується або копіюється, щоб нагадувати conhost.exe для уникнення підозри."] class tech_masquerading technique tech_relocate_malware["<b>Техніка</b> – <b>T1070.010 Переміщення шкідливого ПЗ (випадкові імена файлів)</b><br/><b>Опис</b>: Файли шкідливого ПЗ переміщуються та перейменовуються з випадковими назвами для ускладнення виявлення."] class tech_relocate_malware technique tech_credential_theft["<b>Техніка</b> – <b>T1552.004 Крадіжка облікових даних (DPAPI/AES)</b><br/><b>Опис</b>: Витягає облікові дані, захищені шифруванням DPAPI або AES."] class tech_credential_theft technique tech_keylogging["<b>Техніка</b> – <b>T1056.001 Кейлогінг</b><br/><b>Опис</b>: Захоплює натискання клавіш, введені користувачем, для збирання конфіденційної інформації."] class tech_keylogging technique %% Connections tech_content_injection –>|веде до| tech_user_exec_link tech_user_exec_link –>|веде до| tech_user_exec_copypaste tech_user_exec_copypaste –>|веде до| tech_obfuscation tech_obfuscation –>|веде до| tech_deobfuscate tech_deobfuscate –>|веде до| tech_encrypted_channel tech_encrypted_channel –>|веде до| tech_process_injection_apc tech_process_injection_apc –>|веде до| tech_process_hollowing tech_process_hollowing –>|веде до| tech_reflective_loading tech_reflective_loading –>|веде до| tech_screen_capture tech_screen_capture –>|веде до| tech_regsvr32 tech_regsvr32 –>|веде до| tech_masquerading tech_masquerading –>|веде до| tech_relocate_malware tech_relocate_malware –>|веде до| tech_credential_theft tech_credential_theft –>|веде до| tech_keylogging "
Потік атаки
Виявлення
Можливі точки збереження [ASEPs – Hive Software/NTUSER] (через registry_event)
Перегляд
Можливі зразки атаки ClickFix у командному рядку (через cmdline)
Перегляд
Підозріле виконання Taskkill (через cmdline)
Перегляд
Явне використання COMSPEC (через process_creation)
Перегляд
Можливе виявлення віддаленої системи або перевірка з’єднання (через cmdline)
Перегляд
Можливе виконання NetSupport Manager з підозрілої директорії (через process_creation)
Перегляд
Підозріле використання CURL (через cmdline)
Перегляд
Підозрілі бінарні файли / скрипти в місці автозавантаження (через file_event)
Перегляд
Індикатори компроментації (HashSha256) для виявлення: ClickFix видаляє фон, але залишає шкідливе ПЗ
Перегляд
Індикатори компроментації (SourceIP) для виявлення: ClickFix видаляє фон, але залишає шкідливе ПЗ
Перегляд
Індикатори компроментації (DestinationIP) для виявлення: ClickFix видаляє фон, але залишає шкідливе ПЗ
Перегляд
Виявлення зловмисного використання finger.exe із шифруванням RC4 або AES-CBC [Мережеве з’єднання Windows]
Перегляд
Виконання CastleLoader через Regsvr32 та Process Hollowing разом із PowerShell [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка метрик і базових даних повинна пройти.
Обґрунтування: У цьому розділі детально викладено точне виконання техніки противника (TTP), розробленої для запуску правила виявлення. Команди та наратив повинні прямо відображати ідентифіковані TTPs і мати на меті генерування точних телеметричних даних, очікуваних детекційною логікою.
-
Наратив та команди атаки:
Противник, який вже скомпрометував обліковий запис із низькими привілеями, хоче використовувати підписаний бінарний файл Windows (finger.exe) для приховування виконання користувацького шифрувального навантаження. Вони викликають бінарний файл з підготовленим аргументом, що містить рядок “RC4” (або “AES‑CBC”), щоб вказати вибраний шифр. Оскільки бінарний файл підписаний, Windows AppLocker або інші рішення білого списку менш вірогідно блокуватимуть його, а ключове слово командного рядка задовольняє правило Sigma шифрування . -
Тестовий сценарій регресії:
# ------------------------------------------------------------ # Симуляція зловмисного використання finger.exe з шифруванням RC4 # ------------------------------------------------------------ # Зробіть так, щоб finger.exe був в PATH або вкажіть повний шлях. $fingerPath = "$env:SystemRootSystem32finger.exe" if (-not (Test-Path $fingerPath)) { Write-Error "finger.exe не знайдено за $fingerPath" exit 1 } # Створіть командний рядок, що містить ключове слово RC4 $maliciousCmd = "$fingerPath -p RC4 -target 10.0.0.5" Write-Host "Виконання зловмисної команди: $maliciousCmd" Invoke-Expression $maliciousCmd # Додатково: Затримка для дозволу на поглинання даних СІЕУ Start-Sleep -Seconds 5 -
Команди очищення:
# Завершіть будь-які процеси finger.exe, що залишилися Get-Process -Name finger -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "Очищення завершено."