Фіктивний документ, реальний доступ: Імперсонація Foxit дозволяє таємний контроль за допомогою VNC
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники розповсюджують шкідливі виконувані файли, які виглядають як легітимні інсталятори Foxit PDF. Підроблений інсталятор завантажує шкідливий MSI пакет, що розміщує компоненти UltraVNC в фіктивну директорію з темою GPU та підтримує стійкість через ключ реєстру Run. Після встановлення, шкідливе ПЗ налаштовує прихований VNC сервер, який ініціює вихідні з’єднання до шкідливого домену, надаючи зловмисникам прихований віддалений доступ до скомпрометованої системи.
Розслідування
Розслідування виявило підроблені файли, такі як datei.exe and personalfoxypdf.msi, які завантажили та встановили UltraVNC у C:intel-GPU. Батч скрипт потім перелічував GUID профілів мережі, створював виключення в брандмауері, записував унікальний ідентифікатор у IDD.txt, і додавав запис реєстру Run, щоб запускати gpu.exe з параметрами, що підключаються до hallonews.servemp3.com:5500. Дослідники також спостерігали, як шкідливе ПЗ примусово зупиняло rundll32.exe і відображало паспортну картинку для відволікання жертви.
Пом’якшення
Організації повинні дотримуватись списку дозволених додатків, перевіряти підписи кодів інсталяторів перед виконанням, блокувати ненадійні файли MSI та контролювати записи реєстру Run, які вказують на невідомі виконувані файли. Вихідний трафік до підозрілих доменів також має бути обмежено. Поінформованість користувачів залишається важливою, особливо щодо ризиків запуску неочікуваних інсталяторів, замаскованих як надійне програмне забезпечення.
Відповідь
Якщо ця активність виявлена, негайно ізолюйте уражену кінцеву точку, зупиніть процес UltraVNC, видаліть C:intel-GPU директорію, і знищіть шкідливу Run запис реєстру. Скиньте будь-які потенційно скомпрометовані облікові дані, проведіть повне судово-експертне розслідування та оновіть правила виявлення, щоб охопити виявлені індикатори компрометації.
Перебіг атаки
Виявлення
Можливі Точки Стійкості [ASEPs – Hive Програмного Забезпечення/NTUSER] (через подію реєстру)
Перегляд
Можливі Точки Стійкості [ASEPs – Hive Програмного Забезпечення/NTUSER] (через cmdline)
Перегляд
Можлива Спроба Встановлення Віддаленого MSI Файлу (через cmdline)
Перегляд
IOCs (HashSha256) для виявлення: Підроблений Документ, Реальний Доступ: Імітація Foxit Дозволяє Приховане Управління VNC
Перегляд
Віддалений Контроль VNC через Імітацію Foxit [Підключення до Мережі Windows]
Перегляд
Встановлення Віддаленого З’єднання через Виконання Команд EbiClient [Створення Процесу Windows]
Перегляд
Приховане Управління VNC через Імітацію Foxit [Подія Файлу Windows]
Перегляд
Виконання Симуляції
Попередня Умова: Перевірка Телеметрії та Базової Лінії до Початку має бути успішною.
Наратив Атаки та Команди
- Створення прихованої директорії “intel‑GPU” для імітації легітимного шляху вендора GPU.
- Підкидати шкідливі навантаження (
gpu.exe,UltraVNC.ini, тощо) в цю директорію. Виконуваний файл є копією серверного бінарного файлу UltraVNC, перейменованого для маскування. - Розгортання батч скрипту (
gpu.cmd) який:- Додає правило брандмауера, що дозволяє вхідний VNC (порт 5900).
- Реєструє службу VNC для стійкості за допомогою
sc create. - Записує мінімальну конфігурацію у
UltraVNC.ini.
- Виконання батч скрипту з використанням
cmd.exe(Виконання Підписаного Бінарного Проксі).
Ці кроки генерують точні події створення файлів, зазначені в правилі виявлення, а також додаткові події створення процесів та правил брандмауера, які можуть бути використані для збагачення.
Скрипт Тесту Регресії
# -------------------------------------------------
# Симуляція Прихованого Управління VNC – PowerShell
# -------------------------------------------------
# 1. Підготувати приховану директорію
$targetDir = "$env:ProgramDataintel-GPU"
if (-Not (Test-Path $targetDir)) {
New-Item -Path $targetDir -ItemType Directory -Force | Out-Null
# Сховати папку (необов'язково)
attrib +h $targetDir
}
# 2. Підкидати підроблені файли GPU (це нешкідливі заповнювачі для демо)
$files = @("gpu.txt","gpu.exe","gpu.cmd","UltraVNC.ini","IDD.txt")
foreach ($f in $files) {
$path = Join-Path $targetDir $f
Set-Content -Path $path -Value "Placeholder for $f" -Encoding ASCII -Force
}
# 3. Записати мінімальний UltraVNC.ini (реальна конфігурація була б більш розгорнута)
@"
[VNC]
Password=redteam
"@ | Set-Content -Path (Join-Path $targetDir "UltraVNC.ini") -Encoding ASCII -Force
# 4. Створити батч скрипт, що додає правило брандмауера та реєструє службу
$batchPath = Join-Path $targetDir "gpu.cmd"
@"
@echo off
rem Add firewall rule for VNC (port 5900)
netsh advfirewall firewall add rule name=`"UltraVNC`" dir=in action=allow protocol=TCP localport=5900
rem Register UltraVNC service (using the renamed exe)
sc create UltraVNC binPath= `""$targetDirgpu.exe`"" start= auto
"@ | Set-Content -Path $batchPath -Encoding ASCII -Force
# 5. Виконання батч скрипту через cmd.exe (підписане виконання бінарного проксі)
Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batchPath`"" -WindowStyle Hidden -Wait
Write-Host "Симуляція прихованого VNC завершена."Команди для Очищення
# -------------------------------------------------
# Очищення Артефактів Прихованого VNC
# -------------------------------------------------
$targetDir = "$env:ProgramDataintel-GPU"
# Видалити правило брандмауера
netsh advfirewall firewall delete rule name="UltraVNC" > $null 2>&1
# Видалити службу
sc stop UltraVNC > $null 2>&1
sc delete UltraVNC > $null 2>&1
# Видалити директорію та всі файли
if (Test-Path $targetDir) {
Remove-Item -Path $targetDir -Recurse -Force
}
Write-Host "Очищення завершено."