SOC Prime Bias: Високий

17 Jun 2026 13:09 UTC

Всередині проксі на основі Deno та RAT

Author Photo
SOC Prime Team linkedin icon Стежити
Всередині проксі на основі Deno та RAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисник розгорнув модульний троян для віддаленого доступу (RAT) та проксі-фреймворк з використанням середовища виконання Deno JavaScript. Атака використовувала флуд пошти та підробку Microsoft Teams для завантаження шкідливого архіву. Імплант працює через кілька модульних JavaScript-файлів, які використовують певні прапори дозволів Deno для здійснення зв’язку з командним центром (C2), виконання локальних команд та переміщення по мережі.

Розслідування

Розслідування виявило початкову фазу доступу, що складалася з флуду електронної пошти і соціальної інженерії через Microsoft Teams. Шкідливе програмне забезпечення було ідентифіковано як нестандартну, модульну систему на базі Deno, яка розділена на чотири скрипти: app.js, back.js, helper.js і webui.js. Виявлення відбулося під час постексплуатаційних розвідувальних дій, а не під час первісного виконання.

Усунення

Організації повинні стежити за виконанням скриптових середовищ, таких як Deno, з каталогів, що можуть бути змінені користувачем, та попереджати про підозрілі прапори дозволів, такі як –allow-run або –allow-net. Рекомендується впроваджувати моніторинг HTTP-сервісів локальної петлі та кореляції попереджень про підробку Teams з аномаліями в електронній пошті. Крім того, обмеження здатності запускати непідписані або не затверджені середовища виконання може зменшити площу атаки.

Відповідь

Після виявлення відповідальні особи повинні ізолювати уражені вузли та розслідувати джерело підробки Teams. Аналіз повинен бути зосереджений на походженні процесу Deno і будь-яких місцевих службах, прив’язаних до портів петлі зворотного зв’язку 10021 або 10022. Перегляд Журналів об’єднаного аудиту Microsoft 365 для подій TeamsImpersonationDetected є критичним для визначення обсягу кампанії соціальної інженерії.

Потік Атаки

Виконання симуляції

Попередня умова: Тестування телеметрії та початкової бази повинне пройти успішно.

Підстава: У цьому розділі детально описується точне виконання техніки противника (TTP), призначеної для активації правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати виявлені TTP та мати на меті створити точну телеметрію, очікувану логікою виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.

  • Опис атаки і команди: Зловмисник успішно доставив шкідливий RAT на основі Deno на машину жертви через spearphishing вкладення (T1566.004). Щоб уникнути традиційного антивірусу на основі підписів, зловмисник ховає двійковий файл Deno у глибокій, нестандартній піддиректорії профілю користувача: C:Usersuser.nameAppDataRoamingDenoJSEnv. Потім зловмисник виконує бінарник за допомогою --allow-run and --allow-net прапорців. Це дозволяє JavaScript-основаному шкідливому програмному забезпеченню виконувати довільні командні оболонки для виявлення системи (T1082) та здійснювати зв’язок з зовнішнім сервером C2 через HTTPS (T1071.001).

  • Сценарій регресійного тестування:

    # Увага: Цей скрипт симулює наявність каталогу та двійкового файлу 
    # для активації логіки правила. У реальному тесті файл повинен існувати за точним шляхом.
    
    $targetDir = "C:Usersuser.nameAppDataRoamingDenoJSEnv"
    $targetExe = "$targetDirdeno.exe"
    
    # 1. Створіть певну структуру каталогу, необхідну для правила виявлення
    if (!(Test-Path $targetDir)) {
        New-Item -ItemType Directory -Force -Path $targetDir
    }
    
    # 2. Створіть фіктивний файл, який буде виступати як 'deno.exe'
    # У реальній симуляції це був би справжній двійковий файл Deno.
    New-Item -ItemType File -Force -Path $targetExe
    
    # 3. Виконайте 'шкідливу' команду
    # Ми використовуємо Start-Process, щоб переконатися, що вона з'являється як дочірній процес у логах Sysmon.
    # Оскільки 'deno.exe' є фіктивним, ми викличемо 'cmd.exe', але замаскуємо командний 
    # рядок, щоб відповідати логіці, АБО якщо тестувати РЕАЛЬНЕ правило, переконайтеся, що двійковий 
    # файл реальний і викличемо його. Для цієї симуляції, ми припускаємо, що користувач надає 
    # реальний двійковий файл Deno у цьому шляхові.
    
    Write-Host "[!] Симуляція виконання $targetExe з шкідливими прапорцями..."
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo Активізація правила симуляції..." 
    # Увага: Для щирого виклику правила справжній deno.exe повинен бути присутнім.
    # Якщо правило суворо шукає шлях до зображення, двійковий файл ПОВИНЕН бути там.
    # Заради функціонального симуляційного скрипту ми викликаємо шлях:
    # Start-Process -FilePath $targetExe -ArgumentList "--allow-run --allow-net"
  • Команди очищення:

    # Видалити змодельований шкідливий каталог і файли
    Remove-Item -Path "C:Usersuser.nameAppDataRoamingDenoJSEnv" -Recurse -Force
    Write-Host "[+] Очищення завершено."