CrySome RAT: Розвинуте стійке .NET троянське програмне забезпечення для віддаленого доступу

Резюме

CrySome RAT – це .NET троян віддаленого доступу, що забезпечує повне віддалене керування, крадіжку облікових даних та багатошарову стійкість. Він включає AVKiller , компонент призначений для вимкнення інструментів безпеки та використовує зловживання розділом відновлення разом із офлайн-редагуванням реєстру для виживання після скидання системи та відновлення доступу. Для підтримання довготривалих плацдармів шкідливе програмне забезпечення використовує приховані віртуальні робочі столи, процеси-наглядачі, заплановані завдання та служби Windows, створюючи резервні шляхи виконання, що ускладнюють очищення.

Дослідження

Звіт об’єднує статичну декомпіляцію клієнта C# з динамічним аналізом поведінки. Дослідники відобразили модульні компоненти – такі як SelfProtect, AVKiller, Survival та обробники команд – до окремих можливостей та потоків управління. Стійкість відстежувалася по запланованих завданнях, записах RunOnce у реєстрі, встановленню служби та розгортанню у розділі відновлення для повторного посіву артефактів після дій з відновлення системи. Мережева поведінка була ідентифікована як командо-контрольний зв’язок Plain TCP з використанням користувацького формату пакета.

Мітигація

Перевіряйте наявність запланованих завдань з назвою CrySomeLoader та служб з назвою WindowsHealthMonitor. Регулярно проводьте аудит місцезнаходжень реєстру RunOnce та інших автозапусків на предмет невідомих або недавно доданих записів. Блокуйте crysome.net та будь-яку пов’язану інфраструктуру IP на рівнях DNS/проксі. Запровадьте конфігурації безпеки з захистом від втручання, щоб запобігти вимкненню оборони в стилі AVKiller та сповіщайте про спроби змінити налаштування Defender або захисту кінцевих точок.

Реакція

Ізолюйте хости, які виявляють індикатори CrySome, та зберіть несталі докази до початку усунення. Проведіть судові огляди розділів відновлення та офлайн-вуликів реєстру для ідентифікації прихованої стійкості. Видаліть надлишкові бінарні файли, видаліть шкідливі заплановані завдання, служби та записи в реєстрі, та відновіть налаштування Microsoft Defender до відомих хороших базових. Розгорніть виявлення EDR, що охоплюють конкретні імена процесів та шаблони командного рядка, пов’язані з виконанням CrySome.

Виконання симуляції

Передумови: Перевірка телеметрії та базових польотів повинна пройти.

Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та нарація МАЮТЬ безпосередньо відображати ідентифіковані TTP та прагнути генерувати саме ту телеметрію, очікувану логікою виявлення. Абстрактні або не пов’язані приклади призведуть до помилкової діагностики.

• На нарація атаки та команди:

  Оператор CrySome RAT спочатку отримує плацдарм на машині жертви. Щоб приховати шкідливе навантаження, RAT породжує conhost.exe як дочірній процес власного процесу, використовуючи рідний консоловий хост для маскування свого командного рядка. Далі він запускає RuntimeBroker.exe , щоб змішатися з легітимними фоновими завданнями Windows, досягаючи маскування. Нарешті, зловмисник запускає одно-лінійний сценарій PowerShell, який вимикає реальний захист Microsoft Defender, використовуючи Set-MpPreference cmdlet. Кожен крок генерує окрему подію 4688, що відповідає правилу виявлення.

  1. Процес RAT (наприклад, CrySome.exe) → Start-Process -FilePath "C:WindowsSystem32conhost.exe" -ArgumentList "/c ..."
  2. Процес RAT → Start-Process -FilePath "C:WindowsSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost ..."
  3. Процес RAT → powershell.exe -NoProfile -WindowStyle Hidden -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

• Сценарію регресійного тестування:

  # -------------------------------------------------------------------------
  # Симуляція техніки CrySome RAT – призначена для запуску правила Sigma
  # -------------------------------------------------------------------------
  
  # 1. Породження conhost.exe (виконує роль стелс-хосту консолі)
  Start-Process -FilePath "$env:SystemRootSystem32conhost.exe" -ArgumentList "/c ping -n 5 127.0.0.1" -WindowStyle Hidden
  
  # 2. Породження RuntimeBroker.exe (маскування під довірений компонент Windows)
  Start-Process -FilePath "$env:SystemRootSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost" -WindowStyle Hidden
  
  # 3. Вимкнення Defender за допомогою PowerShell (уникнення захисту)
  $psCmd = 'Set-MpPreference -DisableRealtimeMonitoring $true'
  Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
                -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCmd" `
                -WindowStyle Hidden
  
  Write-Host "Симуляція завершена – перевірте свої SIEM для сповіщень."

• Команди очищення:

  # Завершити будь-які залишкові тестові процеси (виконувати від імені адміністратора)
  Get-Process -Name conhost, RuntimeBroker, powershell | Stop-Process -Force
  
  # Повторне ввімкнення Defender (відновлення нормальної оборонної позиції)
  Set-MpPreference -DisableRealtimeMonitoring $false
  
  Write-Host "Очищення завершено."