SOC Prime Bias: Критичний

20 Nov 2025 15:32 UTC

Історії про викуп: Том V — Емуляція програм-вимагачів REvil, DarkSide і BlackMatter

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Історії про викуп: Том V — Емуляція програм-вимагачів REvil, DarkSide і BlackMatter
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Ця стаття охоплює п’ятий том серії Ransom Tales від AttackIQ, яка відтворює тактики, техніки та процедури трьох відомих сімейств програм-вимагачів — REvil, DarkSide і BlackMatter. Кожен сценарій описує етапи виконання, стійкості, виявлення, уникнення захисту та впливу, щоб дозволити захисникам перевірити плейбуки виявлення та реагування. Емуляції відтворюють характерні поведінкові моделі, такі як захоплення порядку пошуку DLL, зловживання реєстром, заплановані завдання для забезпечення стійкості, видалення тіньових копій VSS та сильне криптографічне шифрування файлів. Також в статті переглядаються основні вторгнення в ланцюг постачання та відстежується розвиток моделі програм-вимагачів як послуги з часом.

Аналіз атак програм-вимагачів

Команда досліджень противників AttackIQ використала звіти про загрози з публічних джерел та зразки зловмисного ПЗ для створення реалістичних графів атак кожного сімейства програм-вимагачів. Дослідники зіставили окремі кроки з ID технік MITRE ATT&CK та розробили шляхи виконання, що забезпечують завантаження корисних навантажень, встановлення стійкості, перерахування інформації про хост та домен, а також шифрування файлів. Команда також моделювала використання відомих експлойтів CVE, які використовує DarkSide для отримання початкового доступу. Розслідування підкреслює загальні інструменти, спільну інфраструктуру та повторне використання коду сімействами REvil, DarkSide та BlackMatter.

Пом’якшення

Рекомендовані дії з пом’якшення спрямовані на забезпечення принципу найменших привілеїв, відключення нефункціональних сервісів та швидке впровадження патчів на уразливі системи, включаючи відомі вразливості VMware ESXi. Командам рекомендується обмежити доступ до віддаленого робочого стола, ретельно стежити за підозрілими змінами в реєстрі та новоствореними запланованими завданнями, та впроваджувати надійний контроль застосувань. Керівництво також підкреслює роль технологій виявлення на кінцевих точках і регулярну перевірку резервних копій для обмеження збитків від інцидентів програм-вимагачів.

Відповідь

Коли виявлена активність типу програм-вимагачів, респонденти повинні негайно ізолювати постраждалі системи, зняти копію змінної пам’яті, зібрати відповідні гілки реєстру та зберегти джерела журналів. Судовий огляд повинен виявити тіньові копії, заплановані завдання та ключі реєстру на предмет ознак діяльності REvil, DarkSide чи BlackMatter. Відновлення включає відновлення даних із чистих, перевірених резервних копій та відстеження спроб побічного руху з використанням облікових даних SMB і LDAP. Нарешті, команди повинні проінформувати зацікавлені сторони, задокументувати інцидент і збагачувати знахідки розвідкою загроз для підтримки атрибуції та поліпшення майбутньої оборони.

Потік атаки

Симуляції

Виконання симуляції

Передумова: Перевірка телеметрії та базового рівня повинна бути пройдена.

Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та наратив ПОВИННІ точно відображати виявлені TTP та спрямовані на генерацію саме тієї телеметрії, яку очікує логіка виявлення.

  • Наратив і команди атаки:
    Оператор REvil націлюється на комп’ютер жертви, щоб забезпечити автоматичний запуск корисного навантаження програм-вимагачів після перезавантаження. Використовуючи PowerShell-дроппер, нападник створює три зміни в реєстрі, які контролюються правилом:

    1. Створити оманливий ключ “BlackLivesMatter”під гілкою Wow6432Node – відомий індикатор REvil.
    2. Увімкнути AutoAdminLogonщоб змусити автоматичний вхід у привілейований обліковий запис після перезавантаження, полегшуючи виконання програм-вимагачів.
    3. Додати навантаження до ключа RunOnceтак, щоб зловмисний виконуваний файл запускався один раз при старті системи.

    Усі три дії виконуються з підвищеними правами, генеруючи записи події безпеки ID 13, що відповідають фільтру вибору правила Sigma.

  • Сценарій регресійного тестування:

    # -------------------------------------------------
    # Симуляція маніпуляцій з реєстром REvil (TC-20251114-3Z7XQ)
    # -------------------------------------------------
    # 1. Ключ BlackLivesMatter (HKLMSOFTWAREWOW6432NodeBlackLivesMatter)
    $blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter'
    New-Item -Path $blmKey -Force | Out-Null
    New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force
    
    # 2. Активація AutoAdminLogon
    $autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon'
    Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force
    
    # 3. Стійкість RunOnce для навантаження
    $runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce'
    New-Item -Path $runOnceKey -Force | Out-Null
    New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force
    
    Write-Host "Симуляція реєстру REvil завершена. Перевірте сповіщення в SIEM."
  • Команди очистки:

    # -------------------------------------------------
    # Видалення артефактів симуляції REvil
    # -------------------------------------------------
    # Видалити ключ BlackLivesMatter
    Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue
    
    # Скидання AutoAdminLogon (встановити на 0 або видалити)
    Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' `
        -Name 'AutoAdminLogon' -Value '0' -Force
    
    # Видалити запис RunOnce
    Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' `
        -Name 'RevilStart' -Force -ErrorAction SilentlyContinue
    
    Write-Host "Очищення завершено."