Операція Poisson: Розбір усієї кіберзлочинної операції
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Загроза низької кваліфікації, відома як «Poisson», здійснила багатоступеневу кампанію крадіжки облікових даних, спрямовану на французьких фізичних осіб і невеликий бізнес. Атакуючий використовував Havoc C2, нестандартний keylogger на Python, і побудував стійкий доступ через OpenSSH та VPN-сітку Tailscale. Ця установка дозволяла оператору зберігати доступ навіть після порушення основної інфраструктури командування та контролю.
Розслідування
Cato CTRL провела глибокий постінцидентний огляд, що охоплював 33 дні активності атакуючих і 339 записаних команд. Розслідування виявило використання сервісів безкоштовного рівня, таких як Backblaze B2, DuckDNS та IONOS, а також дизайн стійкості, призначений для виживання після знищення C2. Дослідники також відновили SSH-плейбук оператора та ключі SSH жертв, які були помилково виставлені в публічному сховищі.
Пом’якшення
Захисники повинні генерувати сигнали тривоги для розгортання сервера OpenSSH на робочих станціях та моніторити активність Tailscale VPN на системах, де це не очікується. Організації також повинні виявляти зворотні SSH-тунелі та відстежувати підозрілі заплановані завдання, які виконуються з підвищеними повноваженнями. Ефективна ремедіація має виходити за межі видалення доступу C2 і включати усунення механізмів стійкості, заснованих на сітських VPN.
Відповідь
Якщо ця активність виявлена, команди безпеки повинні негайно знайти та знешкодити будь-які активні сполучення за допомогою Tailscale чи SSH. Розслідувачі повинні переглянути всі заплановані завдання та ярлики запуску для несанкціонованої стійкості. Повне скидання облікових даних настійно рекомендується для всіх користувачів, оскільки використання keylogger створює високу ймовірність компрометації облікових даних.
Потік атаки
Детекції
Можливо, був звернений до динамічного DNS-сервісу (через dns)
Переглянути
Виявлення крадіжки облікових даних та розміщення навантаження через сховища Backblaze B2 [Windows Sysmon]
Переглянути
Стійкий мережний доступ через Tailscale VPN та зворотний SSH-тунель [Windows мережне з’єднання]
Переглянути
Виконання Havoc C2 Framework з PowerShell для встановлення SSH-тунелю [Windows PowerShell]
Переглянути
Підвищення привілеїв та виконання віддалених інструментів від Poisson [Windows створення процесу]
Переглянути
Виконання симуляції
Попередня умова: Перевірка телеметрії та базової лінії повинна пройти.
Мотивація: Цей розділ детально описує точний хід виконання техніки противника (TTP), розробленої для виклику правила детекції. Команди та розповідь МАЮТЬ безпосередньо відображати ідентифіковані TTP та повинні генерувати саме ту телеметрію, яку очікує логіка детекції. Абстрактні або несумісні приклади призведуть до неправильного діагнозу.
-
Оповідання атаки та команди: Супротивник, симулюючи групу “Poisson”, має намір встановити віддалений доступ. Спочатку вони інсценують навантаження, створивши файл з назвою
thales.zipу тимчасовій директорії. Для підвищення привілеїв вони виконують команду PowerShell за допомогоюRunAsдієслова, що є звичайним методом для виклику запитів UAC. Нарешті, вони виконуютьrustdesk.exeщоб забезпечити вторинний канал віддаленого робочого столу. Ця послідовність імітує конкретний поведінковий патерн (підвищення за допомогою UAC + RustDesk + специфічний zip-файл), визначений у правилі детекції. -
Сценарій регресійного тестування:
# Сценарій симуляції: Емуляція TTP Poisson # 1. Інсценування файлу 'thales.zip' (вимагається логікою детекції) $targetZip = "$environment:TEMPthales.zip" New-Item -Path $targetZip -ItemType File -Force Write-Host "[+] Інсценування $targetZip" # 2. Симуляція спроби підвищення UAC через PowerShell (вимагається логікою детекції) # Зазначення: Це викличе запит UAC в реальному середовищі. Write-Host "[+] Спроба підвищення UAC через Start-Process -Verb RunAs..." Start-Process powershell.exe -ArgumentList "-Command Write-Host 'Підвищення спробувано'" -Verb RunAs # 3. Симуляція виконання RustDesk (вимагається логікою детекції) # Ми створимо підроблений rustdesk.exe в тимчасовій папці, щоб викликати детекцію без реальної установки $rustdeskPath = "$environment:TEMPrustdesk.exe" New-Item -Path $rustdeskPath -ItemType File -Force Write-Host "[+] Виконання симульованого RustDesk на $rustdeskPath" Start-Process $rustdeskPath -
Команди очищення:
# Очищення артефактів симуляції Remove-Item -Path "$env:TEMPthales.zip" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Очищення завершено."