SOC Prime Bias: Високий

01 Jul 2026 09:16 UTC

Усередині ремесла CHM від Kimsuky: багатостадійне виконання і вибіркова доставка навантаження

Author Photo
SOC Prime Team linkedin icon Стежити
Усередині ремесла CHM від Kimsuky: багатостадійне виконання і вибіркова доставка навантаження
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Kimsuky використовує шкідливі скомпільовані HTML (.chm) файли як початкові приманки для запуску багатоступеневого зараження. Операція зловживає вбудованими утилітами Windows, такими як PowerShell, certutil, та wscript для профілювання системи, встановлення стійкості через заплановані завдання та ексфільтрації зібраних даних. Також актор застосовує вибіркову доставку навантаження, надаючи кінцевий робочий компонент тільки після того, як задовольняються певні екологічні або поведінкові умови.

Дослідження

Дослідник проаналізував підозрілий CHM-зразок і відновив ланцюжок його виконання, який складався з багатьох етапів VBScript та PowerShell. Відтворюючи мережеві запити і проводячи випробування з різних проксі-локацій, дослідник виявив вибіркову модель відповіді, в якій кінцевий навантажувач не надавався в середовище пісочниці. Дослідження також з’єднало інфраструктуру з відомою активністю Kimsuky через схожість favicon та відбитки веб-серверів.

Пом’якшення

Організації повинні моніторити підозрілу анцестерію процесів, особливо випадки, коли hh.exe or wscript.exe запускає PowerShell або cmd.exe. Обмеження виконання скриптів із місць, доступних для запису користувачами, таких як інтернет-кеш, може допомогти блокувати стійкість. Моніторинг неавторизованих змін у налаштуваннях реєстру Internet Explorer та Microsoft Edge також може поліпшити виявлення підробки хостингу.

Відповідь

Якщо ця активність виявлена, ізолюйте уражену кінцеву точку негайно, щоб запобігти подальшому трафіку команд і управління. Проводьте форензичний аналіз пам’яті для ідентифікації будь-яких безфайлових навантажень PowerShell, завантажених у пам’ять процесу. Переглядайте заплановані завдання на предмет підозрілих записів, таких як Оновлювач Edge та перевірте %USERPROFILE%Links каталог на наявність оманливих .dat or .ini файлів.

Хід атаки

Симуляція виконання

Передумова: Перевірка телеметрії та встановлення базових параметрів повинна бути пройдена.

Пояснення: У цьому розділі наведено точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та розповідь МАЮТЬ безпосередньо відображати ідентифіковані TTP та мають на меті генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або нерелевантні приклади призведуть до неправильного діагнозу.

  • Опис атаки та команди: Противник намагається досягти початкового виконання через озброєний .chm файл. Як тільки користувач відкриває файл, скомпільований HTML Help файл використовує вбудований скрипт для виклику hh.exe. Щоб уникнути стандартного виявлення, актор використовує hh.exe для запуску PowerShell, ефективно маскуючи виконання оболонки під легітимний процес допомоги Windows. Мета полягає в тому, щоб усталити опору, виконуючи приховану команду PowerShell, яка може завантажити другий етап навантаження.

  • Сценарій регресійного тестування:

    # Симуляція виконання ланцюга Kimsuky CHM-to-PowerShell
    # Цей скрипт симулює поведінку hh.exe, що породжує PowerShell, як зафіксовано правилом.
    
    Write-Host "[+] Запуск симуляції Kimsuky CHM..." -ForegroundColor Cyan
    
    # 1. Симуляція hh.exe, що породжує PowerShell (Відповідає selection_hh)
    Write-Host "[+] Спрацювання правила: hh.exe породжує PowerShell..." -ForegroundColor Yellow
    Start-Process "hh.exe" -ArgumentList "powershell.exe -NoProfile -ExecutionPolicy Bypass -Command Write-Output 'Simulation Success'"
    
    # 2. Симуляція wscript.exe, що виконує VBScript (Відповідає selection_wscript)
    Write-Host "[+] Спрацювання правила: wscript.exe з прапором VBScript..." -ForegroundColor Yellow
    $tempVBS = "$env:TEMPtest_sim.vbs"
    "WScript.Echo ""Simulation Success""" | Out-File -FilePath $tempVBS -Encoding ascii
    Start-Process "wscript.exe" -ArgumentList "/e:vbscript $tempVBS"
    
    # 3. Симуляція cmd.exe з прихованим вікном (Відповідає selection_cmd)
    Write-Host "[+] Спрацювання правила: cmd.exe з прихованим стилем вікна..." -ForegroundColor Yellow
    Start-Process "cmd.exe" -ArgumentList "/c PowerShell -WindowStyle Hidden -Command Write-Output 'Simulation Success'"
    
    Write-Host "[+] Команди відправлені." -ForegroundColor Green
  • Команди очистки:

    # Видалення тимчасових файлів, створених під час симуляції
    Remove-Item -Path "$env:TEMPtest_sim.vbs" -ErrorAction SilentlyContinue
    Write-Host "[+] Очистка завершена." -ForegroundColor Cyan