Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники постачають шкідливі клієнти ScreenConnect (засоби віддаленого моніторингу та управління) через приманки соціальної інженерії, такі як підроблені звіти про соціальну безпеку, запрошення та рахунки‑фактури. Приманки розповсюджуються фішинговими електронними листами та шкідливими веб‑сторінками, що змушують жертв завантажувати перейменовані виконувані файли ScreenConnect. Після встановлення, фальшивий RMM надає нападнику постійний віддалений доступ до скомпрометованого хосту.
Розслідування
Huntress спостеріг/a за десятками інцидентів між січнем і вереснем 2025 року, де перейменовані бінарні файли ScreenConnect запускалися на кінцевих точках у різних галузях. Центр кібербезпеки зібрав пов’язані доменні імена, IP-адреси та хеші файлів, зауважуючи повторне використання динамічних DNS-сервісів та особливі шаблони найменування приманок. Детальний аналіз журналів показав, що шкідливий клієнт зв’язується з доменами під контролем зловмисника для командно-контрольної діяльності.
Запобігання
Організації повинні посилити навчання з питань безпеки, щоб виявляти підроблені звіти, рахунки та файли-запрошення. Рекомендується безперервний моніторинг засобів віддаленого доступу, обмеження виконання непідписаних RMM-файлів і аудит мережевих з’єднань з відомими шкідливими доменами. Тримайте RMM програми в актуальному стані та додайте у білий список лише дозволені екземпляри.
Відповідь
Після виявлення перейменованого виконуваного файлу ScreenConnect ізолюйте кінцеву точку, зберіть бінарний файл і пов’язаний мережевий трафік, та заблокуйте C2 домен на міжмережевому екрані. Проведіть судову експертизу для виявлення механізмів збереження та латерального руху, потім виправте скомпрометовані облікові записи та скиньте облікові дані.
graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Node definitions tech_initial_access_phishing[“<b>Техніка</b> – <b>T1566 Фішинг</b><br /><b>Опис</b>: Зловмисники надсилають сконструйовані електронні листи, що імітують звіти про соціальну безпеку, рахунки або запрошення з шкідливими посиланнями.”] class tech_initial_access_phishing technique tech_malicious_link[“<b>Техніка</b> – <b>T1204.001 Шкідливе посилання</b><br /><b>Опис</b>: Жертва натискає на шкідливе посилання, яке перенаправляє на сторінку для завантаження.”] class tech_malicious_link technique tech_malicious_file[“<b>Техніка</b> – <b>T1204.002 Шкідливий файл</b><br /><b>Опис</b>: Жертва завантажує та запускає виконуваний файл, замаскований під документ або запрошення.”] class tech_malicious_file technique op_user_execution((“Виконання користувача”)) class op_user_execution operator tech_masquerading[“<b>Техніка</b> – <b>T1036 Маскування</b><br /><b>Підтехніки</b>: T1036.008 Маскування типу файлу, T1036.003 Перейменування легітимних утиліт, T1036.007 Подвійне розширення файлу<br /><b>Опис</b>: Навантаження перейменоване, щоб виглядати легітимно і уникнути виявлення.”] class tech_masquerading technique tech_rat_installation[“<b>Техніка</b> – <b>T1219 Встановлення засобу віддаленого доступу</b><br /><b>Опис</b>: Встановлення клієнта ScreenConnect, що надає можливості віддаленого моніторингу та управління.”] class tech_rat_installation technique tool_screenconnect[“<b>Інструмент</b> – <b>Ім’я</b>: ScreenConnect (ConnectWise Control)<br /><b>Опис</b>: Програмне забезпечення для віддаленого доступу, використовується як RAT.”] class tool_screenconnect tool tech_dynamic_dns[“<b>Техніка</b> – <b>T1568.002 Алгоритми генерації доменів</b><br /><b>Опис</b>: Використовує динамічні DNS сервіси та згенеровані домени для зв’язку C2.”] class tech_dynamic_dns technique tech_app_layer_dns[“<b>Техніка</b> – <b>T1071.004 Протокол рівня програми: DNS</b><br /><b>Опис</b>: C2 трафік передається через DNS запити.”] class tech_app_layer_dns technique tech_app_layer_web[“<b>Техніка</b> – <b>T1071.001 Протокол рівня програми: Web</b><br /><b>Опис</b>: C2 трафік передається через HTTPS веб‑протоколи.”] class tech_app_layer_web technique tech_web_service_bidirectional[“<b>Техніка</b> – <b>T1102.002 Веб‑сервіси: Двостороннє Спілкування</b><br /><b>Опис</b>: Використовує веб‑сервери для двостороннього зв’язку C2.”] class tech_web_service_bidirectional technique tech_external_remote_services[“<b>Техніка</b> – <b>T1133 Зовнішні Віддалені Сервіси</b><br /><b>Опис</b>: Підтримує стійкість через зовнішні віддалені сервіси, що дозволяють постійний доступ.”] class tech_external_remote_services technique tech_hide_artifacts[“<b>Техніка</b> – <b>T1564.012 Приховування артефактів: Виключення Файлів/Шляхів</b><br /><b>Опис</b>: Налаштовує виключення, щоб приховати шкідливі файли від інструментів безпеки.”] class tech_hide_artifacts technique tech_passive_dns[“<b>Техніка</b> – <b>T1596.001 Пошук відкритих технічних баз даних: Пасивний DNS</b><br /><b>Опис</b>: Використовує дані пасивного DNS для виявлення або реєстрації шкідливих доменів.”] class tech_passive_dns technique %% Connections tech_initial_access_phishing u002du002d>|постачає| op_user_execution op_user_execution u002du002d>|використовує| tech_malicious_link op_user_execution u002du002d>|використовує| tech_malicious_file op_user_execution u002du002d>|призводить до| tech_masquerading tech_masquerading u002du002d>|дозволяє| tech_rat_installation tech_rat_installation u002du002d>|встановлює| tool_screenconnect tool_screenconnect u002du002d>|зв’язується з| tech_dynamic_dns tool_screenconnect u002du002d>|використовує| tech_app_layer_dns tool_screenconnect u002du002d>|використовує| tech_app_layer_web tool_screenconnect u002du002d>|використовує| tech_web_service_bidirectional tech_dynamic_dns u002du002d>|підтримує| tech_external_remote_services tech_external_remote_services u002du002d>|дозволяє| tech_passive_dns tech_dynamic_dns u002du002d>|підтримує| tech_hide_artifacts
Потік Атаки
Виявлення
Альтернативне програмне забезпечення для віддаленого доступу/управління (через систему)
Перегляд
Альтернативне програмне забезпечення для віддаленого доступу/управління (через аудит)
Перегляд
Підозріле командування та контроль за незвичайним запитом DNS до верхнього рівня домену (TLD) (через dns)
Перегляд
Альтернативне програмне забезпечення для віддаленого доступу/управління (через process_creation)
Перегляд
IOCs (HashSha256) для виявлення: Шкідливий ScreenConnect: Загальні тактики соціальної інженерії, які ми спостерігали у 2025 році
Перегляд
Шкідливий ScreenConnect інсталяція через приманки соціальної інженерії [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка попереднього готовності до телеметрії та базового рівня повинна бути успішною.
Обґрунтування: Цей розділ деталізує точне виконання техніки супротивника (TTP), розробленої для спрацьовування правила виявлення. Команди та розповідь ПОВИННІ безпосередньо відображати ідентифіковані TTP і бути спрямованими на генерацію точної телеметрії, очікуваної логікою виявлення.
-
Сценарій атаки та команди:
Зловмисник створює фішинговий електронний лист з вкладенням названим Social_Security_Statement_redacted.exe який фактично містить легітимний інсталятор ScreenConnect (або будь-яке навантаження). Жертва, вважаючи, що це документ особистих фінансів, двічі клацає по файлу. ОС запускає виконуваний файл, створюючи подію створення процесу, де полеImageзакінчується шкідливим ім’ям файлу. Ця точна схема відповідає правилу Sigma і повинна викликати тривогу. -
Скрипт регресійного тестування:
# -------------------------------------------------------------- # Симуляційний скрипт – запускає правило "Шкідливий ScreenConnect" # -------------------------------------------------------------- # 1. Підготуйте безпечне навантаження (наприклад, calc.exe) і перейменуйте його $src = "$env:SystemRootSystem32calc.exe" $dst = "$env:TempSocial_Security_Statement_redacted.exe" Copy-Item -Path $src -Destination $dst -Force # 2. Опціонально встановіть атрибут приховання для імітації уникнення (T1564.004) attrib +h $dst # 3. Виконайте перейменоване навантаження (імітуйте натискання користувача) Start-Process -FilePath $dst # 4. Почекайте трохи, щоб забезпечити логування Start-Sleep -Seconds 5 # 5. Виведіть підтвердження Write-Host "Виконано $dst – має генерувати детекційну телеметрію." -
Команди очищення:
# Видаліть файл, що виглядає як шкідливий, і очистіть атрибут $file = "$env:TempSocial_Security_Statement_redacted.exe" if (Test-Path $file) { attrib -h $file Remove-Item -Path $file -Force Write-Host "Очищення завершено: $file видалено." } else { Write-Host "Файл не знайдено; нема чого очищувати." }
Кінець звіту