Фальшиве завантаження Slack надає атакувальникам прихований доступ до вашого комп’ютера
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Шкідливий інсталятор, замаскований під Slack, поширюється через сайти з помилками в назві, щоб обдурити нічого не підозрюючих користувачів. Після запуску встановлює легітимний додаток Slack разом із прихованим завантажувачем, що підключається до сервера командування і управління, отримує зашифроване навантаження HVNC і вбудовує його в explorer.exe. Після цього шкідливий код створює невидиму сесію робочого столу, яка дозволяє зловмисникам переглядати, взаємодіяти та виконувати дії на зламаній машині без відома жертви. Такий підхід особливо небезпечний у середовищах, де бренд Slack користується великою довірою з боку як окремих осіб, так і корпоративних користувачів.
Розслідування
Дослідники розпакували інсталятор і виявили два тимчасові файли: slack.tmp, що містив легітимний пакет оновлення Squirrel, і svc.tmp, який слугував шкідливим завантажувачем. Аналіз показав, що завантажувач забезпечив постійність через ключ реєстру Run, динамічно викликав API Windows під час виконання, завантажував зашифрований DLL, зберігав його як wmiprvse_*.tmp, та використовував ін’єкцію на основі секцій, щоб завантажити його у explorer.exe. Розслідувачі також зафіксували вихідне з’єднання із сервером командування і управління через TCP порт 8081. Були присутні додаткові логіки протианалізу, в тому числі виявлення відладчика та перевірка часу піщаних тестувань.
Зменшення ризиків
Користувачі повинні завантажувати Slack тільки з офіційного slack.com веб-сайту або з надійних збережених посилань і перевіряти цифрові підписи перед запуском будь-якого інсталятора. Організації повинні включати захист у реальному часі, здатний блокувати відомі шкідливі домени та підозрілі виконувані файли. Захисники також повинні відстежувати несподіваний вихідний трафік через порт 8081, незвичні записи реєстру Run та ненормальні дочірні процеси, пов’язані з довіреними додатками. Виявлення на основі поведінки може допомогти виявити приховані сесії робочого столу та активність, пов’язану з HVNC, до того як зловмисники отримають повний інтерактивний доступ.
Відповідь
Якщо ця активність виявлена, ізолюйте уражений кінцевий пристрій від мережі негайно, завершити шкідливий завантажувач і будь-які процеси, пов’язані з HVNC, і видаліть механізм постійності з ключа реєстру Run. Повинно бути проведено повне сканування на шкідливе ПО, а всі пов’язані шкідливі домени та IP-адреси мають бути заблоковані по всьому середовищу. Будь-які облікові дані, що використовувалися на зламаній машині, мають бути скинуті з чистого пристрою, а команда безпеки повинна зібрати судово-медичні артефакти для підтримки подальшого розслідування та визначення обсягу.
Потік атаки
Виявлення
Можливо, був створений альтернатива даних потік (ADS) (через file_event)
Перегляд
Можливі точки збереження [ASEPs – реєстровий файл NTUSER] (через registry_event)
Перегляд
Індикатори компрометації (HashSha256) для виявлення: Фальшивий завантажувач Slack надає зловмисникам прихований робочий стіл на вашій машині
Перегляд
Індикатори компрометації (SourceIP) для виявлення: Фальшивий завантажувач Slack надає зловмисникам прихований робочий стіл на вашій машині
Перегляд
Індикатори компрометації (DestinationIP) для виявлення: Фальшивий завантажувач Slack надає зловмисникам прихований робочий стіл на вашій машині
Перегляд
Виявлення ін’єкції на основі секцій у Explorer.exe [Windows Sysmon]
Перегляд
Фальшивий інсталятор Slack створює сховану сесію робочого столу [створення процесу Windows]
Перегляд
Імітаційне виконання
Передумова: Перевірка телеметрії та базових показників повинна бути успішно пройдена.
Аргументація: Цей розділ описує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP та прагнути до генерації точно запланованої телеметрії, яка очікується логікою виявлення.
-
Опис атаки та команди:
- Початковий доступ – Зловмисник доставляє троянізований інсталятор з назвою
slack-4-49-81.exeчерез фішинговий електронний лист. - Виконання – Жертва запускає файл; він витягує прихований завантажувач
svc.tmptoTEMP%. - Створення прихованого робочого столу (T1564.003) –
svc.tmpвикликаєCreateProcessзSW_HIDE, виконуючи приховану сесію робочого столу з інструментом дистанційного доступу. - Постійність (T1547.013 & T1546.016) – Завантажувач реєструє COM-сервер, який автостартує за допомогою встановленого в папці автозапуску ярлика, забезпечуючи виконання під час перезавантаження.
- Можливе встановлення руткіту (T1014) – Якщо надано підвищення прав,
svc.tmpвикладає драйвер руткіту уSystemRoot%System32driversmaldrv.sys.
- Початковий доступ – Зловмисник доставляє троянізований інсталятор з назвою
-
Скрипт для регресійного тесту: Скрипт повторює кроки 2–4 із нешкідливими бінарними файлами (копії
notepad.exe) з збереженням точних імен файлів, за якими здійснюється нагляд.# ------------------------------------------------- # Регресійний тест – Симуляція фальшивого інсталятора Slack # ------------------------------------------------- # 1. Підготуйте фальшиві бінарні файли (використовуйте безпечний notepad.exe) $temp = $env:TEMP $installer = Join-Path $temp "slack-4-49-81.exe" $loader = Join-Path $temp "svc.tmp" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force # 2. Виконайте інсталятор – це запустить правило виявлення Write-Host "[*] Запуск фальшивого інсталятора ..." Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null # 3. Імітуйте створення прихованого робочого столу (завантажувач) Write-Host "[*] Запуск прихованого завантажувача ..." Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null # 4. Створіть ярлик у папці автозапуску для імітації постійності $startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup" $shortcutPath = Join-Path $startup "Slack Hidden.lnk" $shell = New-Object -ComObject WScript.Shell $shortcut = $shell.CreateShortcut($shortcutPath) $shortcut.TargetPath = $loader $shortcut.WindowStyle = 7 # Прихований $shortcut.Save() Write-Host "[+] Симуляцію завершено. Перевірте SIEM на події з образом, що закінчується на 'slack-4-49-81.exe' або 'svc.tmp'." -
Команди очищення: Видаліть тестові артефакти та створені ярлики.
# Скрипт очистки – виконуйте з тим самим контекстом користувача $temp = $env:TEMP Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue $shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk" Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue Write-Host "[+] Очистка завершена."