Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Потенційно небажана програма, підписана Dragon Boss Solutions, зловживала законним процесом оновлення для тихого завантаження та запуску MSI і PowerShell-накопичувачів, які відключали антивірусний захист і встановлювали стійкість через підписки на події WMI і заплановані завдання. Оскільки оновлювач спілкувався з незареєстрованими доменами, які могли бути зайняті будь-ким, програмне забезпечення фактично створювало ланцюгову можливість для доставки довільного коду. Дослідники спостерігали, як понад 25 000 кінцевих точок зверталися до цієї інфраструктури, включаючи системи в кількох секторах з високою цінністю.
Розслідування
Huntress виявила артефакти стійкості на основі WMI та сплеск у створенні запланованих завдань, потім відстежила активність назад до підписаного виконуваного файлу з назвою RaceCarTwo.exe який запускав MSI-інсталятор. Інсталятор витягував PowerShell-скрипт під назвою ClockRemoval.ps1, який завершував процеси антивірусу, блокував доступ до доменів оновлення АВ, додавав виключення Microsoft Defender та повторно встановлював себе для підтримки. Дослідники також виявили, що незареєстровані домени, включаючи chromsterabrowser.com, використовуються як основне джерело оновлень, що означає, що будь-яка зовнішня сторона могла б зареєструвати ці домени і доставляти свої власні навантаження.
Пом’якшення
Щоб зупинити подальші зловживання, дослідницька команда зареєструвала викриті домени і прийняла їх, ефективно перекриваючи шкідливий шлях оновлення. Вони також задокументували пов’язані підписки на події WMI, заплановані завдання і зміни реєстру, щоб захисники могли виявляти і видаляти уражені компоненти. Організаціям слід блокувати відомі домени і моніторити специфічні назви завдань і активність WMI, пов’язані з цією кампанією, щоб зменшити ризик подальших компрометацій.
Реакція
Команди з безпеки повинні виявляти створення запланованих завдань, таких як ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogon, та RemoveClockPeriodic. Попередження також повинні запускатися на підписках на події WMI, які містять MbRemoval or MbSetup. Захисники повинні моніторити виконувані файли, підписані Dragon Boss Solutions, шукати наявність ClockRemoval.ps1 в директоріях WMILoad, переглядати файли хостів на наявність записів, що блокують домени постачальників антивірусів, і розслідувати неочікувані виключення Windows Defender в постраждалих системах.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffeb99 classDef file fill:#c0ffc0 classDef technique fill:#dddddd %% Technique nodes tech_t1210[“<b>Техніка</b> – T1210 Експлуатація віддалених сервісів<br/><b>Опис</b>: Користувацький механізм оновлення звертається до віддалених URL для завантаження та встановлення шкідливих MSI-пакетів.”]:::technique tech_t1218_007[“<b>Техніка</b> – T1218.007 Проксі-виконання системних бінарників: Msiexec<br/><b>Опис</b>: Msiexec.exe використовується для тихого встановлення шкідливого MSI-пакета.”]:::technique tech_t1059_001[“<b>Техніка</b> – T1059.001 Інтерпретатор команд і скриптів: PowerShell<br/><b>Опис</b>: PowerShell використовується для запуску скрипта ClockRemoval, який вимикає засоби захисту та змінює налаштування системи.”]:::technique tech_t1546_003[“<b>Техніка</b> – T1546.003 Виконання за подією: Підписка на події WMI<br/><b>Опис</b>: Постійні підписки WMI запускають шкідливі PowerShell-скрипти при старті нових процесів.”]:::technique tech_t1053[“<b>Техніка</b> – T1053 Заплановані завдання/роботи<br/><b>Опис</b>: Створюються завдання для автозавантаження, входу та періодичного виконання для забезпечення персистентності.”]:::technique tech_t1489[“<b>Техніка</b> – T1489 Зупинка сервісів<br/><b>Опис</b>: Сервіси захисту зупиняються і вимикаються.”]:::technique tech_t1562[“<b>Техніка</b> – T1562 Порушення захисту<br/><b>Опис</b>: Шкідливе ПЗ знищує процеси захисту, блокує домени оновлень і видаляє ключі реєстру.”]:::technique tech_t1564_012[“<b>Техніка</b> – T1564.012 Приховування артефактів: виключення файлів/шляхів<br/><b>Опис</b>: Редагується hosts і додаються виключення Defender.”]:::technique tech_t1070_004[“<b>Техніка</b> – T1070.004 Видалення індикаторів: видалення файлів<br/><b>Опис</b>: Видаляються AV-файли і ключі реєстру.”]:::technique %% Action and artifact nodes action_contact_domain[“<b>Дія</b> – Контакт з незареєстрованим доменом<br/><b>Домен</b>: worldwidewebframework3.com”]:::action file_malicious_msi[“<b>Файл</b> – Шкідливий MSI-пакет”]:::file tool_msiexec[“<b>Інструмент</b> – Msiexec.exe”]:::tool script_clockremoval[“<b>Процес</b> – ClockRemoval.ps1 (PowerShell)”]:::process persistence_wmi[“<b>Дія</b> – Створити підписку WMI”]:::action persistence_schtask[“<b>Дія</b> – Зареєструвати заплановані завдання”]:::action action_service_stop[“<b>Дія</b> – Зупинити і вимкнути служби безпеки”]:::action action_impair_defenses[“<b>Дія</b> – Порушити захист”]:::action action_host_modification[“<b>Дія</b> – Змінити hosts і додати виключення Defender”]:::action action_file_deletion[“<b>Дія</b> – Видалити AV-файли і ключі реєстру”]:::action %% Connections showing flow action_contact_domain –>|downloads| file_malicious_msi file_malicious_msi –>|installed via| tool_msiexec tool_msiexec –>|executes| script_clockremoval script_clockremoval –>|creates| persistence_wmi script_clockremoval –>|creates| persistence_schtask script_clockremoval –>|stops| action_service_stop script_clockremoval –>|impairs| action_impair_defenses script_clockremoval –>|modifies| action_host_modification script_clockremoval –>|deletes| action_file_deletion %% Linking actions to techniques action_contact_domain –>|uses| tech_t1210 tool_msiexec –>|uses| tech_t1218_007 script_clockremoval –>|uses| tech_t1059_001 persistence_wmi –>|uses| tech_t1546_003 persistence_schtask –>|uses| tech_t1053 action_service_stop –>|uses| tech_t1489 action_impair_defenses –>|uses| tech_t1562 action_host_modification –>|uses| tech_t1564_012 action_file_deletion –>|uses| tech_t1070_004 %% Class assignments class action_contact_domain action class file_malicious_msi file class tool_msiexec tool class script_clockremoval process class persistence_wmi action class persistence_schtask action class action_service_stop action class action_impair_defenses action class action_host_modification action class action_file_deletion action
Потік атаки
Виявлення
Підозріле виконання Taskkill (через командний рядок)
Перегляд
Виконання PowerShell у підозрілому каталозі з використанням політики обходу виконання (через командний рядок)
Перегляд
LOLBAS Schtasks (через командний рядок)
Перегляд
LOLBAS MsiExec Spawn Shell (через командний рядок)
Перегляд
IOC (HashSha256) для виявлення: Коли PUP набувають зубів: Dragon Boss Solutions залишив відкриті двері на понад 25,000+ кінцевих точках
Перегляд
Зміна політики виконання PowerShell від Dragon Boss Solutions [Windows PowerShell]
Перегляд
Виявлення шкідливих виконань від Dragon Boss Solutions LLC [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Телеметрія і перевірка базового стану повинні пройти.
Причина: У цьому розділі детально описується точне виконання техніки противника (ТТП), розробленої для спрацьовування правила виявлення. Команди та розповідь МАЮТЬ точно відповідати виявленим ТТП і бути спрямованими на генерування саме тієї телеметрії, яку очікує логіка виявлення.
-
Опис атаки та команди:
Зловмисник отримав легітимний RaceCarTwo.exe підписаний Dragon Boss Solutions LLC. Вони використовують довірений статус файлу, щоб обійти списки дозволених застосунків. Спочатку вони розгортають шкідливий MSI (Setup.msi), який викидає привілейований сервіс та встановлює заплановане завдання для досягнення T1546.016. Далі вони виконують скрипт PowerShell (ClockRemoval.ps1) щоб відключити або деінсталювати продукт AV кінцевої точки, відображаючи T1059.001. Обидві дії виконуються з одного процесу, що забезпечує, щоб правило виявлення бачило точні шаблони командного рядка.-
Розгортання шкідливого MSI:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "Setup.msi" ` -Wait -
Виконання скрипта відключення AV через PowerShell:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "ClockRemoval.ps1" ` -Wait
-
-
Скрипт регресійного тестування:
Скрипт нижче автоматизує два кроки в одному запуску, відтворюючи саме ту телеметрію, яку очікує правило Sigma.# ------------------------------------------------- # Імітація ланцюга шкідливих виконань DragonBoss # ------------------------------------------------- $binaryPath = "C:Program FilesDragonBossRaceCarTwo.exe" # 1. Встановлення шкідливого MSI Write-Host "[*] Розгортання шкідливого MSI (Setup.msi)…" Start-Process -FilePath $binaryPath -ArgumentList "Setup.msi" -Wait # 2. Виконання скрипта відключення AV через той же бінарний файл Write-Host "[*] Виконання ClockRemoval.ps1 через той же бінарний файл…" Start-Process -FilePath $binaryPath -ArgumentList "ClockRemoval.ps1" -Wait Write-Host "[+] Імітація завершена. Перевірте сповіщення в SIEM." -
Команди очищення:
Видаліть будь-які артефакти, створені під час симуляції, щоб відновити хост до його стану перед тестом.# ------------------------------------------------- # Очищення для симуляції DragonBoss # ------------------------------------------------- # Видалення встановленого продукту MSI (замінийте ProductCode на фактичний GUID) $productCode = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" try { Write-Host "[*] Видалення шкідливого MSI..." msiexec /x $productCode /quiet /norestart } catch { Write-Warning "MSI видалення не вдалося або продукт відсутній." } # Видалення скрипта PowerShell, якщо він був записаний на диск MSI $scriptPath = "$env:ProgramDataClockRemoval.ps1" if (Test-Path $scriptPath) { Write-Host "[*] Видалення ClockRemoval.ps1..." Remove-Item $scriptPath -Force } Write-Host "[+] Очищення завершено."