Іранський кіберпарадокс: деградовані APT, зростання проксі та Bootkit Wipers
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зв’язана з Іраном кібердіяльність все частіше відходить від усталених команд APT і переходить до проксі-операторів, які використовують вайпери в стилі буткітів, експлуатують широкий спектр CVE і навіть поєднують кібероперації з фізичним порушенням хмарної інфраструктури. Нові відстежувані кластери, такі як Rusty Boots і MoKhargosh, продемонстрували стійкість рівня буткіту, в той час як HYDRO KITTEN зосередився на Rockwell PLC та мережевих пристроях з відкритим доступом через методи вторгнення на основі облікових даних. Фізичні удари по хмарним центрам даних у регіоні Перської затоки ще більше розширюють ризик у гібридну кіберфізичну площину. Звіт підкреслює важливість перевірки цілісності мікропрограм і детекції на основі поведінки в OT-середовищах.
Дослідження
Звіт підкреслює три головні зміни. По-перше, Rusty Boots і MoKhargosh показали здатність використовувати вайпери зі стійкістю в стилі буткітів. По-друге, HYDRO KITTEN експлуатував кілька CVE, які впливають на системи Rockwell, FortiGate, SonicWall, Ivanti, PAN-OS та OpenSSH. По-третє, UNC6446 використовував призначену для користувача C# і Golang шкідливе ПЗ, включаючи DUSTYPROXY та ERIESNAKE.GO, які комунікують через незашифрований HTTP, туннельованований через порт 443. У звіті також згадуються фізичні напади, що націлені на хмарну інфраструктуру в Бахрейні та Дубаї.
Захист
Організаціям слід патчити всі згадані CVE на файрволах, OT активах та SSH сервісах, забезпечуючи безпечне завантаження та регулярну перевірку цілісності мікропрограм. Захисні команди повинні моніторити активність запису на жорсткий диск і зміни в MBR або VBR, блокувати незашифрований HTTP-трафік через порт 443, перевіряти ключі запуску реєстру на предмет незнайомих виконуваних файлів і впроваджувати моніторинг поведінки OT для виявлення змін установок PLC поза схваленими періодами обслуговування.
Реакція
Захисники повинні негайно блокувати всі розкриті IP-адреси, домени та геші файлів у DNS, проксі-сервісі та засобах кінцевих точок. Слід розгорнути зміст для виявлення незашифрованого HTTP через TCP/443, помилки цілісності безпечного завантаження, нові записи ключів запуску реєстру та підозрілу поведінку автентифікації PLC. Полювання на загрози має сфокусуватися на вказаних сигнатурах шкідливих програм, а також на ознаках попередньо позиціонованого доступу, включаючи тривалі періоди неактивності, які змінюються на раптові OT-пов’язані операції.
Потік атаки
Виявлення
Можливі точки стійкості [ASEPs – Програмне забезпечення/Вулик NTUSER] (через registry_event)
Переглянути
Можливе перерахування систем (через cmdline)
Переглянути
Виконано підозрілий процес, що імітує системний процес (через cmdline)
Переглянути
Можливе виявлення системної інформації з використанням модуля WMI Powershell (через powershell)
Переглянути
IOC (HashMd5) для виявлення: ІРАНСЬКИЙ КІБЕРПАРАДОКС: ЗНИЖЕННЯ APT, РОЗШИРЕННІ ПРОКСІ ТА ПОЯВА ВАЙПЕРІВ У СТИЛІ БУТКІТІВ
Переглянути
IOC (SourceIP) для виявлення: ІРАНСЬКИЙ КІБЕРПАРАДОКС: ЗНИЖЕННЯ APT, РОЗШИРЕННІ ПРОКСІ ТА ПОЯВА ВАЙПЕРІВ У СТИЛІ БУТКІТІВ
Переглянути
IOC (DestinationIP) для виявлення: ІРАНСЬКИЙ КІБЕРПАРАДОКС: ЗНИЖЕННЯ APT, РОЗШИРЕННІ ПРОКСІ ТА ПОЯВА ВАЙПЕРІВ У СТИЛІ БУТКІТІВ
Переглянути
Експлуатація ROCKWELL RSLOGIX 5000 [Фаєрвол] HYDRO KITTEN
Переглянути
Виявлення аномального HTTP-трафіку та поведінки проксі-ретрансляторів, що вказують на активність ERIESNAKE.GO та DUSTYPROXY [Proxy]
Переглянути
Виявлення виконання PowerShell ERIESNAKE.GO спеціальними процесами [Powershell Windows]
Переглянути
Стійкість DUSTYPROXY через ключ запуску реєстру [Подія реєстру Windows]
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базових характеристик повинна пройти успішно.
Пояснення: Цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для виклику правила виявлення. Команди та наратив ПОВИННІ прямо відображати ідентифіковані TTP та спрямовані на генерацію точної телеметрії, яку очікує логіка виявлення. Абстрактні або невідповідні приклади призведуть до неправильної діагностики.
-
Наратив атаки та команди:
- Збирання облікових даних (T1078) – Атакуючий, скомпрометувавши обліковий запис з низькими привілеями, отримує облікові дані сервісу “Rockwell” з небезпечного сховища облікових даних.
- Віддалений інтерактивний вхід в систему (T1078, LogonType 10) – Використовуючи ці облікові дані, атакуючий підключається до робочої станції управління PLC через RDP, генеруючи успішний вхід в систему (EventID 4624, LogonType 10), що відповідає правилу
вибірка1. - Спроба експлуатації (T1190 / T1542.003) – Увійшовши в систему, атакуючий виконує сформульований HTTP-запит до веб-сервісу RSLogix 5000, викликавши обхід аутентифікації (CVE‑2021‑22681). Сервіс фіксує подію невдалої аутентифікації (EventID 4625) з рядком про невдачу, що містить “CVE‑2021‑22681”, задовольняючи
вибірка2. - Післяексплуатація (T1059.001, T1071.001, T1090.002) – Встановлюється зворотній PowerShell shell через зовнішній проксі для завантаження шкідливого ПЗ, але ці кроки не потрібні для спрацювання правила.
-
Скрипт регресійного тесту:Скрипт нижче автоматизує кроки 2 та 3 для отримання точної телеметрії.
# ============================== # Тест експлуатації HYDRO KITTEN # ============================== # 1️⃣ Змінні – змініть на значення вашого середовища $targetHost = "10.0.0.50" # IP адреса сервера RSLogix $rockwellUser = "Rockwell" $rockwellPwd = "P@ssw0rd!" # Відома (або захоплена) пароль $proxyUrl = "http://proxy.example.com:8080" # 2️⃣ Встановіть віддалений інтерактивний сеанс (RDP) за допомогою облікових даних Rockwell $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd) Write-Host "[*] Починаємо сеанс RDP з $targetHost з $rockwellUser..." # Start-Process створює новий вхідний сеанс – це генерує EventID 4624 з LogonType 10 Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred Start-Sleep -Seconds 10 # Надати час для запису входу # 3️⃣ Запустіть спробу обходу аутентифікації CVE‑2021‑22681 $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1" Write-Host "[*] Відправлення помилкового запиту для виклику CVE виявлення..." Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue Write-Host "[+] Запит на експлуатацію відправлений. Перевірте SIEM на наявність EventID 4625, що містить 'CVE-2021-22681'." -
Команди очищення:Видаліть сеанс RDP та будь-які тимчасові артефакти.
# Закрийте процес клієнта RDP Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force # (Додатково) Очистіть історію PowerShell для зменшення судово-медичного сліду Clear-History