Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
FunkSec – це група з надання послуг викупного програмного забезпечення, яка виникла наприкінці 2024 року, повідомляючи про багатьох жертв і вимагаючи невеликі викупи. Її зловмисне програмне забезпечення на базі Rust шифрує дані за допомогою шифру ChaCha20 та додає розширення .funksec до уражених файлів. Окрім викупного ПЗ, група розповсюджує додаткові інструменти для DDoS, віддаленого доступу до робочого столу та генерації облікових даних. FunkSec поєднує активістську риторику з фінансовим вимаганням.
Розслідування
Аналіз описує, як оператори використовують великі мовні моделі для розробки коду та комунікацій, використовують PowerShell для підвищення привілеїв та знешкодження засобів безпеки перед процесом шифрування. У ньому наводяться завершені процеси та служби, викладається робочий процес шифрування та резюмується структура повідомлення про викуп, включаючи адресу для оплати Bitcoin. Додаткові компоненти—FDDOS, JQRAXY_HVNC та funkgenerate—документовані як частина ширшого набору інструментів.
Захист
Захисники повинні посилити політики виконання PowerShell, стежити за спробами відключення Windows Defender або видалення тіньових копій і запобігати запуску відомо шкідливих процесів. Виконання симуляцій FunkSec у платформах перевірки безпеки може допомогти виявити прогалини в контролі. Підтримуйте контенту виявлення в актуальному стані для зазначених завершень процесів та служб для забезпечення більш ранньої ідентифікації.
Відповідь
Якщо активність виявлена, ізолюйте уражений хост, підтвердіть розширення .funksec та зберіть вольатильні докази. Запустіть сценарії реагування на інцидент, відновіть з резервних копій та проведіть полювання за індикаторами, такими як специфічні команди PowerShell та текст повідомлення про викуп. Використовуйте розвідку загроз для моніторингу та кореляції пов’язаної інфраструктури.
“graph TB %% Class Definitions classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nodes action_check_privileges[“<b>Дія</b> – Перевірка привілеїв (net session)<br /><b>Техніка</b> – T1087 (Виявлення облікових записів)<br />Визначте, чи має поточний користувач адміністративні права”] class action_check_privileges action action_elevate[“<b>Дія</b> – Підвищення з PowerShell<br /><b>Техніка</b> – T1548.002<br />Обійти контроль облікових записів користувачів, щоб отримати права адміністратора”] class action_elevate action action_disable_defender[“<b>Дія</b> – Вимкнути Windows Defender<br /><b>Техніка</b> – T1562.001<br />Порушити захист, вимкнувши вбудований антивірус”] class action_disable_defender action action_disable_logging[“<b>Дія</b> – Вимкнути ведення журналу подій і очистити журнали<br /><b>Техніки</b> – T1562.002, T1070.001<br />Зупинити службу журналу подій Windows та стерти існуючі записи журналу”] class action_disable_logging action action_delete_shadow[“<b>Дія</b> – Видалити тіньові копії об’ємів<br /><b>Техніка</b> – T1490<br />Видалити точки відновлення, щоб запобігти відновленню системи”] class action_delete_shadow action action_terminate_processes[“<b>Дія</b> – Завершення процесів безпеки/офісних процесів<br /><b>Техніки</b> – T1059.001, T1059.003<br />Використання PowerShell та командного інтерпретатора Windows для завершення захисних та офісних бінарних файлів”] class action_terminate_processes action action_encrypt[“<b>Дія</b> – Зашифрувати файли (ChaCha20)<br /><b>Техніка</b> – T1486<br />Зашифрувати дані жертви для вимагання викупу”] class action_encrypt action action_exfiltrate[“<b>Дія</b> – Викрасти дані через C2<br /><b>Техніка</b> – T1041<br />Переслати зібрані файли через канал командного управління”] class action_exfiltrate action action_drop_note[“<b>Дія</b> – Залишити повідомлення про викуп”] class action_drop_note action action_ddos[“<b>Дія</b> – Опціональний DDoS з FDDOS<br /><b>Техніки</b> – T1498, T1499.002<br />Здійснити атаки цілеспрямованим потоком на мережі ціль”] class action_ddos action %% Connections action_check_privileges u002du002d>|без адміністратора| action_elevate action_elevate u002du002d>|використовує| action_disable_defender action_disable_defender u002du002d>|веде до| action_disable_logging action_disable_logging u002du002d>|веде до| action_delete_shadow action_delete_shadow u002du002d>|веде до| action_terminate_processes action_terminate_processes u002du002d>|веде до| action_encrypt action_encrypt u002du002d>|веде до| action_exfiltrate action_exfiltrate u002du002d>|веде до| action_drop_note action_drop_note u002du002d>|опціонально| action_ddos “
Потік атаки
Виявлення
Можлива підготовка до шифрування PowerShell (RunAs + Інгібіція відновлення) (через PowerShell)
Перегляд
Можливе встановлення користувача або групи (через cmdline)
Перегляд
Можлива активність ухилення від захисту підозрілим використанням Wevtutil (через cmdline)
Перегляд
Підозрілі зміни в налаштуваннях Windows Defender (через PowerShell)
Перегляд
Підозріла активність VSSADMIN (через cmdline)
Перегляд
Вимкнення моніторингу в режимі реального часу Windows Defender (через PowerShell)
Перегляд
Індикатори компрометації (Email), щоб виявити: Операції FunkSec RaaS: Активізм зустрічається з кіберзлочинністю
Перегляд
FunkSec Ransomware: Вимикання команд оборони системи [Windows PowerShell]
Перегляд
Виявлення підвищення FunkSec Ransomware та видалення тіньової копії [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базової польотної підготовки повинна була пройти.
Мотивування: У цьому розділі детально описується точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та наратив ПОВИННІ безпосередньо віддзеркалювати виявлені TTP та прагнути генерувати точну телеметрію, яку очікує логіка виявлення.
-
Розповідь про атаку та команди:
- Підвищуємо завантаження викупного програмного забезпечення: Атакувач використовує PowerShell
Start-Process -Verb runasщоб повторно виконати зловмисний скрипт (FunkSec.exe) з правами адміністратора, що відповідає шаблону командного рядка, який відстежує правило. - Видалення всіх тіньових копій: Відразу після підвищення привілеїв атакувач виконує
vssadmin delete shadows /all /quietщоб стерти точки відновлення системи, виконуючи другу умову правила. - Обидві команди виконуються у швидкій послідовності в одному користувацькому контексті, гарантуючи, що вони з’являться у вікні кореляції правила Sigma.
- Підвищуємо завантаження викупного програмного забезпечення: Атакувач використовує PowerShell
-
Сценарій регресійного тестування: Наведений нижче сценарій відтворює точну поведінку. Виконайте його на хості Windows з конфігурацією журналювання, описаною раніше.
# ============================== # Симуляція підвищення FunkSec Ransomware та видалення тіньової копії # ============================== # 1. Визначте шлях до (фіктивного) зловмисного виконуваного файлу. $maliciousExe = "$env:ProgramDataFunkSec.exe" # Створіть фіктивний файл, щоб діяти як завантаження викупного програмного забезпечення. New-Item -Path $maliciousExe -ItemType File -Force | Out-Null # 2. Перезапустіть фіктивне навантаження з підвищеними привілеями. $elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''" Write-Host "Виконання запуску з підвищеними привілеями..." Invoke-Expression $elevatedCmd # 3. Видаліть всі тіньові копії об'ємів. Write-Host "Видалення всіх тіньових копій..." vssadmin delete shadows /all /quiet # Очистити фіктивне навантаження (за бажанням, для підтримки тестової гігієни) Remove-Item -Path $maliciousExe -Force -
Команди очищення: Видалення всіх артефактів, створених під час симуляції.
# Перевірте, чи немає фіктивного виконуваного файлу $maliciousExe = "$env:ProgramDataFunkSec.exe" if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force } # Переконайтеся, що не залишилось рештків видалення тіньових копій – (дії не потрібні, оскільки vssadmin не має стану) Write-Host "Очищення завершено."