[Операційний Звіт] Від Фішингу SSA до AdaptixC2: Багато-Загрожуюче Проникнення
Стежити ![[Операційний Звіт] Від Фішингу SSA до AdaptixC2: Багато-Загрожуюче Проникнення](https://socprime.com/wp-content/uploads/Image_bg.png)
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисник здійснив багатошарове комерційне проникнення, почавши з фішингового електронного листа на тему адміністрації соціального забезпечення США. Операція базувалася на AdaptixC2 як основній командно-контрольній платформі, використовувала XWorm як другий канал доступу та для ексфільтрації через Telegram, а також розгорнула ScreenConnect для підтримки активності з клавіатури. Кампанія також виявила високий рівень дисципліни за рахунок використання обману імен файлів RTLO і кількох шляхів стійкості, розроблених для виживання після часткового усунення.
Розслідування
Розслідування відбулося в середовищі Deception.Pro з використанням робочої станції обману. Оскільки інспекція TLS була включена, дослідники змогли відновити текстовий трафік маяків, URL завантаження корисного навантаження та сигнатури з’єднань ScreenConnect. Така видимість дозволила віднести проникнення до певних платформ з високою впевненістю, замість того щоб залежати лише від поведінкових або відбиткових припущень.
Пом’якшення
Організації повинні знизити ризики, ввімкнувши інспекцію TLS для зашифрованого командно-контрольного трафіку та запровадивши EDR, здатний виявляти certutil-використання під час етапування та підозріле виконання PowerShell. Видимість розширень файлів повинна бути забезпечена, щоб послабити трюки з обманом назв файлів на основі RTLO, а запис у реєстрі Run-key до загальнодоступних або до місць, доступних для запису користувачами, повинні контролюватися пильно. Команди також повинні проводити інвентаризацію і піднімати тривогу щодо несанкціонованих засобів віддаленого управління, таких як ScreenConnect, особливо коли їх інстальовано через msiexec.
Відповідь
Якщо ця активність виявляється, відразу ж ізолюйте уражені кінцеві точки, щоб припинити командно-контрольний трафік і запобігти подальшим латеральним переміщенням через SAMR або LSAD. Проведіть повне судово-медичне обстеження для виявлення бібліотек XWorm DLL і артефактів AdaptixC2 у загальнодоступних папках та інших загальних шляхах етапування. Дослідники повинні також перевіряти шаблони ексфільтрації, пов’язані з Telegram, і перевіряти ключі стійкості реєстру, що імітують легітимні імена оновлювачів.
graph TB %% Секція визначення класів classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef discovery fill:#ccffcc %% Визначення вузлів %% Початковий доступ та виконання action_phishing[“<b>Дія</b> – <b>T1566.002 Фішинг: цільове фішингове посилання</b><br/>Жертва отримує підроблений електронний лист нібито від SSA,<br/>який містить посилання на архів RAR.”] class action_phishing action action_masquerade[“<b>Дія</b> – <b>T1036.008 Маскування: підміна типу файлу</b><br/>Зловмисник використовує прийом RTLO для маскування<br/>PE32-виконуваного файлу під PDF-документ (.fdp.exe).”] class action_masquerade action action_user_exec[“<b>Дія</b> – <b>T1204.002 Виконання користувачем: шкідливий файл</b><br/>Користувач взаємодіє із замаскованим<br/>шкідливим файлом.”] class action_user_exec action %% Завантаження інструментів та закріплення tool_certutil[“<b>Інструмент</b> – <b>Назва: certutil.exe</b><br/><b>Опис:</b> Вбудована утиліта Windows, що використовується для<br/>завантаження корисного навантаження AdaptixC2.”] class tool_certutil tool action_ingress[“<b>Дія</b> – <b>T1105 Передача інструментів до системи</b><br/>Корисне навантаження завантажується з<br/>cloudpre-005[.]online.”] class action_ingress action action_persistence[“<b>Дія</b> – <b>T1547.001 Автозапуск під час завантаження або входу в систему:<br/>ключі Run реєстру / папка Startup</b><br/>Створює ключі реєстру PayloadService,<br/>JavaUpdater та Updater у C:\Users\Public\.”] class action_persistence action %% C2 та віддалений доступ malware_adaptix[“<b>Шкідливе ПЗ</b> – <b>Назва: AdaptixC2</b><br/><b>Опис:</b> Агент-маяк, що використовується для<br/>операцій командування та керування (C2).”] class malware_adaptix malware action_c2_web[“<b>Дія</b> – <b>T1071.001 Протокол прикладного рівня:<br/>вебпротоколи</b><br/>AdaptixC2 здійснює beacon-комунікацію<br/>з визначеними веб-URL.”] class action_c2_web action tool_screenconnect[“<b>Інструмент</b> – <b>Назва: ScreenConnect</b><br/><b>Опис:</b> Засіб віддаленого доступу, розгорнутий<br/>для інтерактивного керування.”] class tool_screenconnect tool action_remote_access[“<b>Дія</b> – <b>T1219 Засоби віддаленого доступу</b><br/>Розгортання двох незалежних клієнтів<br/>для підтримки інтерактивного доступу.”] class action_remote_access action %% Ексфільтрація та розвідка malware_xworm[“<b>Шкідливе ПЗ</b> – <b>Назва: XWorm</b><br/><b>Опис:</b> Шкідливе ПЗ, що використовується для передачі<br/>викрадених даних через Telegram.”] class malware_xworm malware action_exfil[“<b>Дія</b> – <b>T1567 Ексфільтрація через вебсервіс</b><br/>Дані виводяться за допомогою<br/>Telegram Bot API.”] class action_exfil action action_discovery[“<b>Дія</b> – <b>T1069.002 Виявлення груп дозволів:<br/>групи домену</b><br/>Перерахування доменного середовища через<br/>SAMR та LSAD RPC.”] class action_discovery discovery %% Зв’язки action_phishing –>|призводить_до| action_masquerade action_masquerade –>|призводить_до| action_user_exec action_user_exec –>|ініціює| tool_certutil tool_certutil –>|виконує| action_ingress action_ingress –>|встановлює| malware_adaptix malware_adaptix –>|створює| action_persistence malware_adaptix –>|використовує| action_c2_web action_remote_access –>|використовує| tool_screenconnect malware_adaptix –>|розгортає| action_remote_access malware_adaptix –>|керує| malware_xworm malware_xworm –>|виконує| action_exfil malware_adaptix –>|виконує| action_discovery
Потік Атаки
Виявлення
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через registry_event)
Перегляд
Використання Certutil для кодування даних та операцій з сертифікатами (через cmdline)
Перегляд
Підозріле виконання з профілю загальнодоступного користувача (через process_creation)
Перегляд
Альтернативне програмне забезпечення для віддаленого доступу / управління (через process_creation)
Перегляд
Архів був розпакований у підозрілий каталог за допомогою PowerShell (через powershell)
Перегляд
Підозрілі файли в профілі загальнодоступного користувача (через file_event)
Перегляд
Спроба зв’язку з доменом для динамічного пошуку IP (через dns)
Перегляд
Було зв’язання з динамічним DNS-сервісом (через dns)
Перегляд
Ідентифікатори (HashSha256) для виявлення: [Звіт з Операції] Від SSA фішинг до AdaptixC2: Багато-«RAT» протикнення
Перегляд
Ідентифікатори (HashMd5) для виявлення: [Звіт з Операції] Від SSA фішинг до AdaptixC2: Багато-«RAT» протикнення
Перегляд
Ідентифікатори (IP джерела) для виявлення: [Звіт з Операції] Від SSA фішинг до AdaptixC2: Багато-«RAT» протикнення
Перегляд
Ідентифікатори (IP призначення) для виявлення: [Звіт з Операції] Від SSA фішинг до AdaptixC2: Багато-«RAT» протикнення
Перегляд
Виявлення командно-контрольної комунікації AdaptixC2 [Підключення до мережі Windows]
Перегляд
Виявлення розгортання AdaptixC2 та ScreenConnect за допомогою Certutil та Msiexec [Створення процесу Windows]
Перегляд
Виконання симуляції
Попередня умова: Перевірка Телеметрії та Базової Лінії повинна була пройти успішно.
Пояснення: цей розділ деталізує точне виконання техніки противника (TTP), призначеної для активації правила виявлення. Команди та наратив МАЮТЬ безпосередньо відображати виявлені TTP та прагнути генерувати точну телеметрію, очікувану логікою виявлення.
-
Наратив нападу та команди: Зловмисник успішно закріпився на цільовій машині через спарфішингове посилання. Для підтримки контролю та отримання інструкцій, агент AdaptixC2 намагається “відомити” своєму серверу команд і контролю. Агент запрограмований для зв’язку з заздалегідь визначеним URI (
98.81.111.167/updates/check.php) або резервною IP-адресою (23.20.229.225) через порт 443. Завдяки симуляції цих точних спроб підключення, ми підтверджуємо, чи правильно визначає ці відомі шкідливі шаблони правило виявлення брандмауера/мережі. -
Сценарій регресійного тестування: Цей сценарій використовує PowerShell для імітації двох різних спроб підключення: одна, що цілить на конкретний URL, і одна, яка цілить на конкретну IP-адресу.
# Симуляція комунікації AdaptixC2 C2 Write-Host "[+] Початок симуляції AdaptixC2..." -ForegroundColor Cyan # Сценарій 1: Підключення до конкретного шкідливого шаблону URL Write-Host "[+] Спроба підключення до шкідливого URL: 98.81.111.167/updates/check.php" -ForegroundColor Yellow try { # Ми використовуємо -ErrorAction SilentlyContinue, тому що IP, швидше за все, не відповість або не вирішиться, # але сама спроба підключення створить телеметрію. Invoke-WebRequest -Uri "http://98.81.111.167/updates/check.php" -Method Get -ErrorAction SilentlyContinue } catch { Write-Host "[!] Підключення не вдалося (очікувано), але телеметрія повинна бути згенерована." -ForegroundColor Gray } # Сценарій 2: Підключення до конкретної шкідливої IP на порту 443 Write-Host "[+] Спроба підключення до шкідливої IP: 23.20.229.225 на порті 443" -ForegroundColor Yellow try { $tcpClient = New-Object System.Net.Sockets.TcpClient $connection = $tcpClient.BeginConnect("23.20.229.225", 443, $null, $null) $success = $connection.AsyncWaitHandle.WaitOne(5000, $false) if ($success) { Write-Host "[+] Підключення успішне (малоймовірно у реальному тесті)." -ForegroundColor Green } else { Write-Host "[!] Тайм-аут підключення (очікувано), але телеметрія повинна бути згенерована." -ForegroundColor Gray } $tcpClient.Close() } catch { Write-Host "[!] Помилка під час спроби TCP-підключення." -ForegroundColor Red } Write-Host "[+] Симуляція завершена." -ForegroundColor Cyan -
Команди прибирання:
# Жодні постійні артефакти не були створені цією симуляцією, оскільки вона лише генерує мережевий трафік. Write-Host "[+] Прибирання не потрібне. Мережеві підключення були тимчасовими." -ForegroundColor Green