Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Група зловмисників, що стоїть за програмою-вимагачем The Gentlemen, з’явилася в липні 2025 року, здійснюючи операцію подвійного вимагання, яка шифрує дані жертв і викрадає чутливу інформацію. Шкідливий софт є кросплатформеним, націленим на середовища Windows, Linux і ESXi, і включає можливості самоперезапуску, стійкість при завантаженні та налаштовуваний обмежувач шифрування. Поширення базується на WMI, PowerShell remoting, SCHTASKS та інших вбудованих засобах адміністрування Windows. Оператори The Gentlemen діють як RaaS-сервіс, надаючи афіліатам розширені можливості налаштовування й кастомізації.
Аналіз атаки з використанням програми-вимагача The Gentlemen
Аналіз Cybereason 64-бітного зразка Golang для Windows задокументував його командні перемикачі, вбудований текст нотатки-вимагача та широкий набір антифорензичних PowerShell-рутін. Дослідники також визначили місця в реєстрі, що використовуються для стійкості, список служб для вимкнення критичних процесів і використання вбудованих бінарних файлів Windows для підвищення привілей та бічного переміщення. Потік шифрування побудований на XChaCha20 і Curve25519.
Пом’якшення
Запропоновані захисні заходи включають введення великофакторної аутентифікації, часті резервні копії офлайн, своєчасне застосування патчів безпеки і контроль виконання PowerShell і WMI. Захисні стеки кінцевих точок повинні мати активний захист від шкідливих програм і програм-вимагачів, а також захист копій VSS. Команди безпеки повинні також моніторити незвичайні зміни в реєстрі, новостворені завдання планувальника та характерні шаблони команд PowerShell.
Відповідь
Якщо діяльність програми-вимагача The Gentlemen виявлена, негайно ізолюйте постраждалу систему, захопіть мінливу пам’ять і зберіть ключові артефакти, такі як записи реєстру, заплановані завдання та журнали подій PowerShell. Проведіть форензічне захоплення нотаток-вимагачів і зашифрованих файлів, а потім відновіть постраждалі системи з надійних резервних копій після підтвердження ліквідації. Залучіть команди з реагування на інциденти для дослідження шляхів бічного переміщення та доказів ексфільтрації даних.
graph TB %% Визначення класів classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#e6e6fa classDef action fill:#99ccff classDef operator fill:#ff9900 %% Вузли – Дії / Техніки initial_access[“<b>Дія</b> – Початковий доступ через наявний плацдарм”] class initial_access action dll_sideload[“<b>Техніка</b> – <b>T1574.001 Перехоплення виконання: DLL</b><br/>OneDrive.exe завантажує шкідливу SSPICLI.dll через DLL‑sideloading”] class dll_sideload technique powershell[“<b>Техніка</b> – <b>T1059.001 Інтерпретатор команд і скриптів: PowerShell</b><br/>Виконуються Base64‑закодовані PowerShell‑команди для перевірки мережі та копіювання файлів”] class powershell technique office_macro[“<b>Техніка</b> – <b>T1137.001 Запуск через Office: Макроси шаблонів</b><br/>VBA‑макрос розміщено у %APPDATA%\\Microsoft\\Outlook\\VbaProject.OTM”] class office_macro technique vba_stomping[“<b>Техніка</b> – <b>T1564.007 Приховування артефактів: VBA‑Stomping</b><br/>Макрос відстежує вхідну пошту (Application_NewMailEx) для C2‑тригерів та ексфільтрації даних”] class vba_stomping technique vb_interpreter[“<b>Техніка</b> – <b>T1059.005 Інтерпретатор команд і скриптів: Visual Basic</b><br/>VBA‑код виконує команди та обмінюється даними через Outlook”] class vb_interpreter technique %% Вузли – Файли / Об’єкти file_oneDrive[“<b>Файл</b> – OneDrive.exe”] class file_oneDrive file file_sspicli[“<b>Файл</b> – SSPICLI.dll”] class file_sspicli file file_vba[“<b>Файл</b> – VbaProject.OTM”] class file_vba file email_monitor[“<b>Об’єкт</b> – Outlook Application<br/>Відстежує вхідну пошту (Application_NewMailEx)”] class email_monitor action outlook_comm[“<b>Об’єкт</b> – Outlook<br/>Здійснює C2‑зв’язок та ексфільтрацію даних”] class outlook_comm action %% Зв’язки – Хід атаки initial_access –>|призводить до| dll_sideload dll_sideload –>|використовує| file_oneDrive dll_sideload –>|завантажує| file_sspicli dll_sideload –>|запускає| powershell powershell –>|призводить до| office_macro office_macro –>|розміщує| file_vba office_macro –>|активує| vba_stomping office_macro –>|активує| vb_interpreter vba_stomping –>|відстежує| email_monitor vb_interpreter –>|взаємодіє через| outlook_comm
Потік атаки
Детекції
Виявлення стійкості і розповсюдження програми-вимагача The Gentlemen [Створення процесу Windows]
Переглянути
Виявлення команд PowerShell, що використовуються програмою-вимагачем “The Gentlemen” [Windows Powershell]
Переглянути
Підозрілі зміни в налаштуваннях Windows Defender (через PowerShell)
Переглянути
Можливе використання команди PING для відкладеного виконання (через cmdline)
Переглянути
Можливі точки стійкості [ASEPs – Hive Software/NTUSER] (через registry_event)
Переглянути
Виконання імітації
Попередня умова: Перевірка телеметрії та базового рівня перед польотом повинна бути пройдена.
Аргументація: Цей розділ описує точне виконання техніки противника (TTP), покликане викликати правило детекції. Команди та наратив ПОВИННІ безпосередньо відображати визначені TTP та мають генерувати очікувану телеметрію, задану логікою детекції. Абстрактні чи не пов’язані приклади призведуть до неправильного діагностування.
-
Атака та команди:
- Мета: Вимкнути захист в режимі реального часу Windows Defender та додати шлях виключення, щоб дозволити програмі-вимагачу записувати зашифровані файли безперешкодно.
-
Метод: Використайте PowerShell
Invoke‑Commandз командним блоком скрипта, що виконує дві команди налаштування Defender. Це відтворює точний синтаксис, помічений у зразках програми-вимагача “The Gentlemen”. -
Кроки:
- Відкрити сесію PowerShell з підвищеними правами.
- Виконати
Invoke‑Commandщо містить шкідливий командний блок скрипта. - Переконатися, що моніторинг у реальному часі Defender вимкнено та що виключення для
C:додано. - (Необов’язково) Створити фіктивний зашифрований файл для імітації активності програми-вимагача.
-
Тестовий сценарій заміщування: Наступний самодостатній PowerShell сценарій відтворює атаку саме так, як очікує правило.
# ------------------------------------------------------------------ # Тестовий скрипт для запуску правила Sigma "Виявлення команд PowerShell, використаних # 'The Gentlemen' Ransomware" # ------------------------------------------------------------------ # Переконайтеся, що скрипт запускається як адміністратор if (-not ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltinRole]::Administrator)) { Write-Error "Запустіть цей скрипт з привілеями адміністратора." exit 1 } # 1️⃣ Вимкнути моніторинг у реальному часі Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $true } # 2️⃣ Додати виключення для диску C: Invoke-Command -ScriptBlock { Add-MpPreference -ExclusionPath 'C:' } # 3️⃣ (Необов'язково) Імітувати створення файлу-вимагача $dummyPath = "C:RansomTestencrypted.txt" New-Item -ItemType Directory -Path (Split-Path $dummyPath) -Force | Out-Null "Це мака перемогою шифрувальника." | Set-Content -Path $dummyPath -Encoding UTF8 Write-Host "Симуляція завершена. Defender має бути вимкнуто та виключення додано." -
Команди очищення: Відновіть Defender до його стану за замовчуванням та видаліть тестові артефакти.
# ------------------------------------------------------------------ # Скрипт очищення – повторно ввімкніть Defender та видаліть тестові файли # ------------------------------------------------------------------ # Повторно ввімкніть моніторинг у реальному часі Invoke-Command -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $false } # Видалити виключення C: Invoke-Command -ScriptBlock { Remove-MpPreference -ExclusionPath 'C:' } # Видалити фіктивний зашифрований файл і папку $dummyPath = "C:RansomTestencrypted.txt" if (Test-Path $dummyPath) { Remove-Item $dummyPath -Force } $folder = Split-Path $dummyPath if (Test-Path $folder) { Remove-Item $folder -Recurse -Force } Write-Host "Очищення завершено. Налаштування Defender відновлено."