Усередині ремесла CHM від Kimsuky: багатостадійне виконання і вибіркова доставка навантаження
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Kimsuky використовує шкідливі скомпільовані HTML (.chm) файли як початкові приманки для запуску багатоступеневого зараження. Операція зловживає вбудованими утилітами Windows, такими як PowerShell, certutil, та wscript для профілювання системи, встановлення стійкості через заплановані завдання та ексфільтрації зібраних даних. Також актор застосовує вибіркову доставку навантаження, надаючи кінцевий робочий компонент тільки після того, як задовольняються певні екологічні або поведінкові умови.
Дослідження
Дослідник проаналізував підозрілий CHM-зразок і відновив ланцюжок його виконання, який складався з багатьох етапів VBScript та PowerShell. Відтворюючи мережеві запити і проводячи випробування з різних проксі-локацій, дослідник виявив вибіркову модель відповіді, в якій кінцевий навантажувач не надавався в середовище пісочниці. Дослідження також з’єднало інфраструктуру з відомою активністю Kimsuky через схожість favicon та відбитки веб-серверів.
Пом’якшення
Організації повинні моніторити підозрілу анцестерію процесів, особливо випадки, коли hh.exe or wscript.exe запускає PowerShell або cmd.exe. Обмеження виконання скриптів із місць, доступних для запису користувачами, таких як інтернет-кеш, може допомогти блокувати стійкість. Моніторинг неавторизованих змін у налаштуваннях реєстру Internet Explorer та Microsoft Edge також може поліпшити виявлення підробки хостингу.
Відповідь
Якщо ця активність виявлена, ізолюйте уражену кінцеву точку негайно, щоб запобігти подальшому трафіку команд і управління. Проводьте форензичний аналіз пам’яті для ідентифікації будь-яких безфайлових навантажень PowerShell, завантажених у пам’ять процесу. Переглядайте заплановані завдання на предмет підозрілих записів, таких як Оновлювач Edge та перевірте %USERPROFILE%Links каталог на наявність оманливих .dat or .ini файлів.
Хід атаки
Детекції
Підозріле використання Invoke-RestMethod (через powershell)
Переглянути
Можливе перерахування антивірусного або брандмауерного програмного забезпечення (через process_creation)
Переглянути
Можливе перерахування системи (через cmdline)
Переглянути
LOLBAS WScript / CScript (через process_creation)
Переглянути
Використання Certutil для кодування даних та операцій з сертифікатами (через cmdline)
Переглянути
Підозріле декодування файлів з certutil.exe [Windows Sysmon]
Переглянути
Шкідлива активність PowerShell від Kimsuky через CHM файл [Windows PowerShell]
Переглянути
Аналіз виконання CHM файлу Kimsuky [Windows Process Creation]
Переглянути
Симуляція виконання
Передумова: Перевірка телеметрії та встановлення базових параметрів повинна бути пройдена.
Пояснення: У цьому розділі наведено точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та розповідь МАЮТЬ безпосередньо відображати ідентифіковані TTP та мають на меті генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або нерелевантні приклади призведуть до неправильного діагнозу.
-
Опис атаки та команди: Противник намагається досягти початкового виконання через озброєний
.chmфайл. Як тільки користувач відкриває файл, скомпільований HTML Help файл використовує вбудований скрипт для викликуhh.exe. Щоб уникнути стандартного виявлення, актор використовуєhh.exeдля запускуPowerShell, ефективно маскуючи виконання оболонки під легітимний процес допомоги Windows. Мета полягає в тому, щоб усталити опору, виконуючи приховану команду PowerShell, яка може завантажити другий етап навантаження. -
Сценарій регресійного тестування:
# Симуляція виконання ланцюга Kimsuky CHM-to-PowerShell # Цей скрипт симулює поведінку hh.exe, що породжує PowerShell, як зафіксовано правилом. Write-Host "[+] Запуск симуляції Kimsuky CHM..." -ForegroundColor Cyan # 1. Симуляція hh.exe, що породжує PowerShell (Відповідає selection_hh) Write-Host "[+] Спрацювання правила: hh.exe породжує PowerShell..." -ForegroundColor Yellow Start-Process "hh.exe" -ArgumentList "powershell.exe -NoProfile -ExecutionPolicy Bypass -Command Write-Output 'Simulation Success'" # 2. Симуляція wscript.exe, що виконує VBScript (Відповідає selection_wscript) Write-Host "[+] Спрацювання правила: wscript.exe з прапором VBScript..." -ForegroundColor Yellow $tempVBS = "$env:TEMPtest_sim.vbs" "WScript.Echo ""Simulation Success""" | Out-File -FilePath $tempVBS -Encoding ascii Start-Process "wscript.exe" -ArgumentList "/e:vbscript $tempVBS" # 3. Симуляція cmd.exe з прихованим вікном (Відповідає selection_cmd) Write-Host "[+] Спрацювання правила: cmd.exe з прихованим стилем вікна..." -ForegroundColor Yellow Start-Process "cmd.exe" -ArgumentList "/c PowerShell -WindowStyle Hidden -Command Write-Output 'Simulation Success'" Write-Host "[+] Команди відправлені." -ForegroundColor Green -
Команди очистки:
# Видалення тимчасових файлів, створених під час симуляції Remove-Item -Path "$env:TEMPtest_sim.vbs" -ErrorAction SilentlyContinue Write-Host "[+] Очистка завершена." -ForegroundColor Cyan