SOC Prime Bias: Високий

13 Jul 2026 15:29 UTC

Вимагач Everest об’єднує шифрування, доступ і внутрішні загрози

Author Photo
SOC Prime Team linkedin icon Стежити
Вимагач Everest об’єднує шифрування, доступ і внутрішні загрози
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Everest – це операція з використанням програм-вимагачів на базі Windows, активна з грудня 2020 року, що дотримується багаторівневої моделі, заснованої на шифруванні, посередництві початкового доступу та залученні інсайдерів. Група використовує AES-128-CBC для шифрування та застосовує стратегію подвійного вимагання, погрожуючи опублікувати вкрадені дані на базованому на Tor сайті витоків. Також відзначається технічний збіг з програмою-вимагачем BlackByte, зокрема через свою поведінку генерації локальних ключів.

Розслідування

Звіт описує ланцюг виконання Everest від початкового доступу через RDP або VPN до ухилення від захисту та остаточного шифрування. Він аналізує використання шкідливим ПЗ обфускації .NET з ConfuserEx і його методи для відключення параметрів відновлення, таких як Shadow Copies та точки відновлення системи. Технічний огляд також розглядає його активність дослідження мережі, включаючи використання SoftPerfect Network Scanner.

Захист

Організації повинні застосовувати багатофакторну аутентифікацію на всіх зазначених точках доступу RDP і VPN, щоб знизити ризик початкового компрометації. Команди безпеки повинні контролювати несанкціоновані зміни в Windows Defender Controlled Folder Access і спроби відключення Shadow Copies. Обмеження привілеїв адміністратора та виявлення запуску інструментів сканування мережі, таких як netscan.exe також може допомогти знизити ступінь загрози.

Відповідь

Якщо активність Everest була виявлена, пошкоджені системи повинні бути негайно ізольовані для запобігання зарозповсюдженню та подальшому шифруванню. Відповідальні особи повинні виявити і завершити процеси, які намагаються змінити параметри безпеки чи видалити дані резервного копіювання у великих масштабах. Команди реагування на інциденти також повинні визначити, чи відбулося ексфільтрація даних через канали на базі Tor перед початком утримання та відновлення.

Потік атаки

Виконання моделювання

Передумови: Перевірка телеметрії та базових налаштувань повинна пройти успішно.

Мотивація: Цей розділ детально описує точне виконання техніки, орієнтованої на супротивника (TTP) для активації правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати виявлені TTP та прагнути генерувати саме ту телеметрію, яку очікує логіка виявлення. Абстрактні чи не пов’язані приклади призведуть до неправильної діагностики.

  • Наратив & Команди атаки: Зловмисник отримав початковий доступ до робочої станції Windows. Щоб підготуватися до етапу впровадження програм-вимагачів, їм потрібно картографувати локальну мережу для виявлення цільових цінностей і переконатися, що немає активних інструментів проти програм-вимагачів. Зловмисник намагається запустити netscan.exe (SoftPerfect Network Scanner) для виявлення активних хостів та використовує mountvol.exe щоб перелічити всі доступні томи, включаючи ті, що не мають присвоєної літери диска, щоб виявити потенційні резервні копії або shadow copies.

  • Скрипт регресійного тестування:

    # Скрипт для моделювання, щоб активувати логіку правила виявлення Everest Ransomware.
    # Примітка: Ці команди припускають, що файли існують у поточному каталозі або системному шляху. 
    # Для цілей моделювання ми використовуємо 'echo', щоб моделювати виконання, якщо файли не присутні, 
    # але для активації СПРАВЖНЬОГО правила файли повинні бути присутні.
    
    Write-Host "[+] Початок моделювання TTP програм-вимагачів Everest..." -ForegroundColor Cyan
    
    # 1. Моделювання використання mountvol.exe (стандартний інструмент Windows)
    Write-Host "[*] Виконання mountvol.exe..." -ForegroundColor Yellow
    mountvol.exe
    
    # 2. Моделювання NetScan (потребує наявності netscan.exe в path/dir)
    # Для цілей цієї перевірки ми створюємо підроблений файл, щоб імітувати ім'я,
    # якщо справжній інструмент недоступний, хоча правило шукає виконання процесу.
    Write-Host "[*] Моделювання виконання netscan.exe..." -ForegroundColor Yellow
    if (Test-Path ".netscan.exe") {
        Start-Process ".netscan.exe"
    } else {
        Write-Host "[!] netscan.exe не знайдено. Будь ласка, розмістіть підроблений netscan.exe у цій папці, щоб активувати виявлення." -ForegroundColor Red
    }
    
    # 3. Моделювання видалення Raccine
    Write-Host "[*] Моделювання виконання Raccine.exe..." -ForegroundColor Yellow
    if (Test-Path ".Raccine.exe") {
        Start-Process ".Raccine.exe"
    } else {
        Write-Host "[!] Raccine.exe не знайдено. Будь ласка, розмістіть підроблений Raccine.exe у цій папці, щоб активувати виявлення." -ForegroundColor Red
    }
    
    Write-Host "[+] Моделювання завершено." -ForegroundColor Cyan
  • Команди очищення:

    # Видалення всіх підроблених файлів, створених під час моделювання.
    Remove-Item ".netscan.exe" -ErrorAction SilentlyContinue
    Remove-Item ".netscanpack.exe" -ErrorAction SilentlyContinue
    Remove-Item ".Raccine.exe" -ErrorAction SilentlyContinue
    Write-Host "[+] Очищення завершено." -ForegroundColor Green