SOC Prime Bias: Високий

26 Nov 2025 17:30
newspaper icon Wazuh

Funklocker Ransomware: Виявлення та Реагування з Wazuh

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Funklocker Ransomware: Виявлення та Реагування з Wazuh
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Вимагач Funklocker, пов’язаний з групою FunkSec, націлюється на Windows-середовища і використовує генерацію коду за допомогою ШІ для створення нових варіантів. Він спирається на техніки «життя в землі», зловживаючи такими інструментами, як PowerShell, taskkill, sc і vssadmin для відключення систем безпеки, видалення тіньових копій і шифрування даних з розширенням .funksec. Стаття пояснює, як виявити ці дії за допомогою Sysmon і користувацьких правил Wazuh, а також як автоматизувати очищення за допомогою інтегрованих сканувань YARA.

Розслідування

Аналіз пояснює, як Funklocker пригнічує журнал подій Windows Security та Application, відключає реальний захист Windows Defender, обходить політику виконання PowerShell, зупиняє процеси, зупиняє критичні служби і знищує резервні копії Volume Shadow Copy. Тестові зразки були випущені на лабораторному хості з Windows 11 з встановленим агентом Wazuh і налаштованим Sysmon для захоплення всіх відповідних телеметричних даних.

Пом’якшення загрози Funklocker

Рекомендовані кроки для пом’якшення включають обмеження політик виконання PowerShell, запровадження принципу найменших привілеїв щодо управління службами, підтримання частих резервних копій з перевіркою того, що тіньові копії доступні, і розгортання інструментів EDR, таких як Wazuh у поєднанні з настроюваними правилами Sysmon для оповіщення про команди Funklocker. Підписи YARA можуть бути застосовані для автоматичного карантину або видалення виявлених виконуваних файлів-вимагачів.

Відповідь

Коли активність Funklocker виявлена, сервер Wazuh піднімає сповіщення, а його компонент Active Response запускає сканування YARA, яке видаляє бінарний файл вимагача разом з будь-якими нещодавно створеними зашифрованими файлами. Описаний процес реагування також охоплює ручну перевірку, локалізацію постраждалих систем і відновлення даних з надійних, некомпрометованих резервних копій.

mermaid graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes action_phishing[“<b>Action</b> – <b>T1204.004 Виконання користувачем: Злоякісний файл</b><br />Фішинговий електронний лист із шкідливим вкладенням надісланий жертвам”] class action_phishing action action_execute_payload[“<b>Action</b> – <b>T1218.007 Виконання підписаного бінарного проксі: Msiexec</b><br />Виконання шкідливого .exe або .msi файлу з використанням системних утиліт”] class action_execute_payload action action_install_rat[“<b>Action</b> – <b>T1219 Дистанційні інструменти доступу</b><br />Встановити інструмент дистанційного доступу на компрометований вузол”] class action_install_rat action malware_rat[“<b>Malware</b> – <b>Назва</b>: Інструмент дистанційного доступу<br /><b>Опис</b>: Дозволяє стійкий дистанційний контроль”] class malware_rat malware action_c2[“<b>Action</b> – <b>T1104 Командування та контроль</b><br />Встановити канал C2 для отримання інструкцій”] class action_c2 action action_recon[“<b>Action</b> – Розвідка<br /><b>T1082 Виявлення інформації про систему</b>, <b>T1592.002 Ідентифікація програмного забезпечення</b>, <b>T1590.004 Виявлення топології мережі</b><br />Збір інформації про систему, програмне та мережеве забезпечення”] class action_recon action action_credential_dump[“<b>Action</b> – <b>T1555.003 Облікові дані в файлах: Веб-браузери</b><br />Витяг збережених веб-облікових даних за допомогою WebBrowserPassView”] class action_credential_dump action tool_webbrowserpassview[“<b>Tool</b> – <b>Назва</b>: WebBrowserPassView<br /><b>Опис</b>: Витягує збережені паролі з браузерів”] class tool_webbrowserpassview tool action_valid_accounts[“<b>Action</b> – <b>T1078 Дійсні облікові записи</b><br />Використання зібраних облікових даних для автентифікації”] class action_valid_accounts action action_lateral_movement[“<b>Action</b> – <b>T1021.006 Віддалені послуги: WinRM</b><br />Переміщення між системами за допомогою Windows Remote Management”] class action_lateral_movement action %% Connections action_phishing u002du002d>|призводить до| action_execute_payload action_execute_payload u002du002d>|виконує| action_install_rat action_install_rat u002du002d>|встановлює| malware_rat malware_rat u002du002d>|спілкується з| action_c2 action_c2 u002du002d>|дозволяє| action_recon action_recon u002du002d>|надає дані для| action_credential_dump action_credential_dump u002du002d>|використовує| tool_webbrowserpassview action_credential_dump u002du002d>|призводить до| action_valid_accounts action_valid_accounts u002du002d>|дозволяє| action_lateral_movement

Хід атаки

Виконання симуляції

Передумова: Перевірка телеметрії та базових налаштувань повинна бути успішно пройдена.

Мотив: У цьому розділі детально описано точне виконання техніки супротивника (TTP), розробленої для запуску правила виявлення. Команди і наратив повинні безпосередньо відображати ідентифіковані TTP і бути спрямовані на генерацію точного телеметричного сигналу, який очікує логіка виявлення.

  • Опис Атаки та Команди:
    Атакуючий отримав місцеве адміністрування на компрометованій кінцевій точці. Щоб забезпечити безперервність роботи вимагача і залишитися непоміченим, він виконує серію одноразових команд PowerShell, які (1) відключають ведення журналу безпеки, (2) вимикають реальний захист Microsoft Defender, (3) відключають ведення журналу додатків, і (4) встановлюють політику виконання PowerShell на Бурхливий (Bypass). Кожна команда вводиться безпосередньо з підвищеного запиту PowerShell, повторюючи точні рядки, які відповідає правило Sigma.

  • Скрипт Регресійного Тестування:

    # Команди вимикання журналу та захисту в стилі Funklocker
# 1. Вимкнути журнал подій безпеки
powershell -Command "wevtutil sl Security /e:false"

# 2. Вимкнути моніторинг у реальному часі Microsoft Defender
powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

# 3. Вимкнути журнал подій додатку
powershell -Command "wevtutil sl Application /e:false"

# 4. Обійти політику виконання PowerShell для поточного процесу
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

  • Команди Очищення:

    # Повторно ввімкнути журнал подій безпеки
wevtutil sl Security /e:true

# Повторно ввімкнути моніторинг у реальному часі Microsoft Defender
Set-MpPreference -DisableRealtimeMonitoring $false

# Повторно ввімкнути журнал подій додатку
wevtutil sl Application /e:true

# Повернути за замовчуванням політику виконання PowerShell (Обмежена)
Set-ExecutionPolicy Restricted -Scope Process -Force

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам почати і забезпечити негайну користь, заплануйте зустріч з експертами SOC Prime.

Приєднатися безкоштовно