Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Ця стаття охоплює п’ятий том серії Ransom Tales від AttackIQ, яка відтворює тактики, техніки та процедури трьох відомих сімейств програм-вимагачів — REvil, DarkSide і BlackMatter. Кожен сценарій описує етапи виконання, стійкості, виявлення, уникнення захисту та впливу, щоб дозволити захисникам перевірити плейбуки виявлення та реагування. Емуляції відтворюють характерні поведінкові моделі, такі як захоплення порядку пошуку DLL, зловживання реєстром, заплановані завдання для забезпечення стійкості, видалення тіньових копій VSS та сильне криптографічне шифрування файлів. Також в статті переглядаються основні вторгнення в ланцюг постачання та відстежується розвиток моделі програм-вимагачів як послуги з часом.
Аналіз атак програм-вимагачів
Команда досліджень противників AttackIQ використала звіти про загрози з публічних джерел та зразки зловмисного ПЗ для створення реалістичних графів атак кожного сімейства програм-вимагачів. Дослідники зіставили окремі кроки з ID технік MITRE ATT&CK та розробили шляхи виконання, що забезпечують завантаження корисних навантажень, встановлення стійкості, перерахування інформації про хост та домен, а також шифрування файлів. Команда також моделювала використання відомих експлойтів CVE, які використовує DarkSide для отримання початкового доступу. Розслідування підкреслює загальні інструменти, спільну інфраструктуру та повторне використання коду сімействами REvil, DarkSide та BlackMatter.
Пом’якшення
Рекомендовані дії з пом’якшення спрямовані на забезпечення принципу найменших привілеїв, відключення нефункціональних сервісів та швидке впровадження патчів на уразливі системи, включаючи відомі вразливості VMware ESXi. Командам рекомендується обмежити доступ до віддаленого робочого стола, ретельно стежити за підозрілими змінами в реєстрі та новоствореними запланованими завданнями, та впроваджувати надійний контроль застосувань. Керівництво також підкреслює роль технологій виявлення на кінцевих точках і регулярну перевірку резервних копій для обмеження збитків від інцидентів програм-вимагачів.
Відповідь
Коли виявлена активність типу програм-вимагачів, респонденти повинні негайно ізолювати постраждалі системи, зняти копію змінної пам’яті, зібрати відповідні гілки реєстру та зберегти джерела журналів. Судовий огляд повинен виявити тіньові копії, заплановані завдання та ключі реєстру на предмет ознак діяльності REvil, DarkSide чи BlackMatter. Відновлення включає відновлення даних із чистих, перевірених резервних копій та відстеження спроб побічного руху з використанням облікових даних SMB і LDAP. Нарешті, команди повинні проінформувати зацікавлені сторони, задокументувати інцидент і збагачувати знахідки розвідкою загроз для підтримки атрибуції та поліпшення майбутньої оборони.
graph TB %% Визначення класів classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb6c1 classDef process fill:#d9d9ff classDef operator fill:#ffeb99 %% Вузли – Початкове виконання та налаштування tech_initial_exec[“<b>Техніка</b> – <b>T1574.001 Перехоплення порядку пошуку DLL</b><br/>Шкідливе ПЗ завантажує зловмисну DLL шляхом перехоплення стандартного порядку пошуку DLL у Windows.”] class tech_initial_exec technique tech_anti_analysis[“<b>Техніка</b> – <b>T1497 Ухилення від віртуалізації/пісочниць</b><br/>Викликає API IsDebuggerPresent для виявлення налагодження або середовищ sandbox.”] class tech_anti_analysis technique tech_registry_query[“<b>Техніка</b> – <b>T1012 Запит до реєстру</b><br/>Створює HKLM\\SOFTWARE\\WOW6432Node\\BlackLivesMatter та зчитує значення MachineGUID для унікальної ідентифікації системи.”] class tech_registry_query technique tech_persistence[“<b>Техніка</b> – <b>T1053 Заплановані завдання</b><br/>Створює заплановане завдання за допомогою утиліти schtasks для забезпечення стійкості.”] class tech_persistence technique tool_schtasks[“<b>Інструмент</b> – <b>Назва</b>: schtasks<br/><b>Призначення</b>: Створення та керування запланованими завданнями”] class tool_schtasks tool %% Вузли – Фаза розвідки op_discovery((“Розвідка”)) class op_discovery operator tech_sys_info[“<b>Техніка</b> – <b>T1082 Виявлення системної інформації</b><br/>Збирає дані про ОС та апаратне забезпечення через GetSystemInfo.”] class tech_sys_info technique tech_user_discovery[“<b>Техніка</b> – <b>T1033 Виявлення користувача системи</b><br/>Отримує ім’я поточного користувача через GetUserNameW.”] class tech_user_discovery technique tech_process_discovery[“<b>Техніка</b> – <b>T1057 Виявлення процесів</b><br/>Перелічує запущені процеси через API Toolhelp Snapshot.”] class tech_process_discovery technique tech_service_discovery[“<b>Техніка</b> – <b>T1007 Виявлення системних служб</b><br/>Отримує список служб через EnumServicesStatusW.”] class tech_service_discovery technique tech_file_dir_discovery[“<b>Техніка</b> – <b>T1083 Виявлення файлів і каталогів</b><br/>Переглядає файлову систему через FindFirstFileW / FindNextFileW.”] class tech_file_dir_discovery technique tech_software_discovery[“<b>Техніка</b> – <b>T1518 Виявлення програмного забезпечення</b><br/>Використовує WMI (wmic) для отримання списку антивірусів, антишпигунських засобів та брандмауерів.”] class tech_software_discovery technique tech_location_discovery[“<b>Техніка</b> – <b>T1614 Виявлення місцезнаходження системи</b><br/>Отримує мовні та регіональні налаштування через GetLocaleInfoW.”] class tech_location_discovery technique %% Вузли – Ухилення від захисту op_defense_evasion((“Ухилення від захисту”)) class op_defense_evasion operator tech_impair_defenses[“<b>Техніка</b> – <b>T1562 Порушення роботи засобів захисту</b><br/>Вимикає брандмауер Windows за допомогою команд netsh.”] class tech_impair_defenses technique tool_netsh[“<b>Інструмент</b> – <b>Назва</b>: netsh<br/><b>Призначення</b>: Налаштування та вимкнення брандмауера Windows”] class tool_netsh tool tech_inhibit_recovery[“<b>Техніка</b> – <b>T1490 Блокування відновлення системи</b><br/>Видаляє тіньові копії томів через vssadmin, wmic та PowerShell.”] class tech_inhibit_recovery technique tool_vssadmin[“<b>Інструмент</b> – <b>Назва</b>: vssadmin<br/><b>Призначення</b>: Видалення тіньових копій”] class tool_vssadmin tool tool_wmic[“<b>Інструмент</b> – <b>Назва</b>: wmic<br/><b>Призначення</b>: Видалення тіньових копій через WMI”] class tool_wmic tool tool_powershell[“<b>Інструмент</b> – <b>Назва</b>: PowerShell<br/><b>Призначення</b>: Видалення тіньових копій через Get‑WMIObject”] class tool_powershell tool tech_clear_eventlogs[“<b>Техніка</b> – <b>T1070.001 Очищення журналів подій Windows</b><br/>Очищує журнали подій через API OpenEventLogW та ClearEventLogW.”] class tech_clear_eventlogs technique tool_eventlog[“<b>Інструмент</b> – <b>Назва</b>: Windows API<br/><b>Призначення</b>: Очищення журналів подій Windows”] class tool_eventlog tool %% Вузли – Вплив malware_ransom[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: DarkSide/REvil<br/><b>Вплив</b>: Шифрує виявлені файли на диску”] class malware_ransom malware node_files[“<b>Ціль</b>: Файли на диску”] class node_files process %% Зв’язки – Потік виконання tech_initial_exec –>|призводить до| tech_anti_analysis tech_anti_analysis –>|призводить до| tech_registry_query tech_registry_query –>|дозволяє| tech_persistence tech_persistence –>|використовує| tool_schtasks %% Зв’язки – Потік розвідки tech_initial_exec –>|ініціює| op_discovery op_discovery –>|використовує| tech_sys_info op_discovery –>|використовує| tech_user_discovery op_discovery –>|використовує| tech_process_discovery op_discovery –>|використовує| tech_service_discovery op_discovery –>|використовує| tech_file_dir_discovery op_discovery –>|використовує| tech_software_discovery op_discovery –>|використовує| tech_location_discovery %% Зв’язки – Ухилення від захисту tech_initial_exec –>|готує| op_defense_evasion op_defense_evasion –>|використовує| tech_impair_defenses tech_impair_defenses –>|використовує| tool_netsh op_defense_evasion –>|використовує| tech_inhibit_recovery tech_inhibit_recovery –>|використовує| tool_vssadmin tech_inhibit_recovery –>|використовує| tool_wmic tech_inhibit_recovery –>|використовує| tool_powershell op_defense_evasion –>|використовує| tech_clear_eventlogs tech_clear_eventlogs –>|використовує| tool_eventlog %% Зв’язки – Вплив op_discovery –>|надає дані для| malware_ransom op_defense_evasion –>|готує середовище для| malware_ransom malware_ransom –>|шифрує| node_files class tech_initial_exec,tech_anti_analysis,tech_registry_query,tech_persistence technique class tool_schtasks,tool_netsh,tool_vssadmin,tool_wmic,tool_powershell,tool_eventlog tool class tech_sys_info,tech_user_discovery,tech_process_discovery,tech_service_discovery,tech_file_dir_discovery,tech_software_discovery,tech_location_discovery,tech_impair_defenses,tech_inhibit_recovery,tech_clear_eventlogs technique class malware_ransom malware class node_files process class op_discovery,op_defense_evasion operator
Потік атаки
Виявлення
Виявлення видалення тіньових копій REvil і DarkSide [Створення процесу Windows]
Переглянути
Виявлення маніпуляцій реєстром REvil для виконання та стійкості [Подія реєстру Windows]
Переглянути
IOCs (HashSha256) для виявлення: Ransom Tales: Volume V — Throwback Edition! Емуляція REvil, DarkSide і BlackMatter програм-вимагачів
Переглянути
Підозріла активність VSSADMIN (via cmdline)
Переглянути
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (via registry_event)
Переглянути
Симуляції
Виконання симуляції
Передумова: Перевірка телеметрії та базового рівня повинна бути пройдена.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та наратив ПОВИННІ точно відображати виявлені TTP та спрямовані на генерацію саме тієї телеметрії, яку очікує логіка виявлення.
-
Наратив і команди атаки:
Оператор REvil націлюється на комп’ютер жертви, щоб забезпечити автоматичний запуск корисного навантаження програм-вимагачів після перезавантаження. Використовуючи PowerShell-дроппер, нападник створює три зміни в реєстрі, які контролюються правилом:- Створити оманливий ключ “BlackLivesMatter”під гілкою Wow6432Node – відомий індикатор REvil.
- Увімкнути AutoAdminLogonщоб змусити автоматичний вхід у привілейований обліковий запис після перезавантаження, полегшуючи виконання програм-вимагачів.
- Додати навантаження до ключа RunOnceтак, щоб зловмисний виконуваний файл запускався один раз при старті системи.
Усі три дії виконуються з підвищеними правами, генеруючи записи події безпеки ID 13, що відповідають
фільтрувибору правила Sigma. -
Сценарій регресійного тестування:
# ------------------------------------------------- # Симуляція маніпуляцій з реєстром REvil (TC-20251114-3Z7XQ) # ------------------------------------------------- # 1. Ключ BlackLivesMatter (HKLMSOFTWAREWOW6432NodeBlackLivesMatter) $blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' New-Item -Path $blmKey -Force | Out-Null New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force # 2. Активація AutoAdminLogon $autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force # 3. Стійкість RunOnce для навантаження $runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' New-Item -Path $runOnceKey -Force | Out-Null New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force Write-Host "Симуляція реєстру REvil завершена. Перевірте сповіщення в SIEM." -
Команди очистки:
# ------------------------------------------------- # Видалення артефактів симуляції REvil # ------------------------------------------------- # Видалити ключ BlackLivesMatter Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue # Скидання AutoAdminLogon (встановити на 0 або видалити) Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' ` -Name 'AutoAdminLogon' -Value '0' -Force # Видалити запис RunOnce Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' ` -Name 'RevilStart' -Force -ErrorAction SilentlyContinue Write-Host "Очищення завершено."