Play Ransomware маскується під SentinelOne у розвідувальній кампанії Grixba
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
У звіті описується операція програм-вимагачів Play, що використовує кастомну утиліту розвідки .NET під назвою Grixba, яка розгортається через RDP на сервері Windows. Grixba маскується під виконуваний файл SentinelOne (GT_NET.exe) і зберігає результат сканування у ExportData.db. Інструмент спілкується з IP-адресою VPN PIA і генерує архів data.zip захищений паролем. Раннє виявлення цих артефактів може зупинити атаку до фази програм-вимагачів.
Аналіз атаки програм-вимагачів Play
Field Effect MDR зафіксував скидання двійкового файлу Grixba у C:UsersPublicMusic разом з data.dat, після чого виконується GT_NET.exe і відбувається витягування XOR ключа для декодування inf_g.dll. Подальший аналіз виявив комутативні ключі для розвідки та створення ExportData.db, які містять докладні дані системи. Розслідувачі також виявили жорстко закодований елемент пароля, необхідний для розблокування data.zip.
Пом’якшення
Рекомендовані заходи включають підтримку надійних резервних копій, своєчасне оновлення програмного забезпечення, використання DNS-файрволів, забезпечення захищеного використання VPN, застосування MFA та використання платформ MDR/XDR для вчасного виявлення розвідувальної діяльності. Команди повинні постійно стежити за характерними артефактами та поведінкою, що асоціюються з Grixba.
Відповідь
Коли GT_NET.exe, data.dat, inf_g.dll або ExportData.db виявляються, респондери повинні ізолювати кінцеву точку, захопити нестійкі докази, отримати пароль ZIP з вбудованого значення та дослідити можливе бокове пересування або підготовку до програм-вимагачів. Обробники інцидентів також повинні заблокувати відповідну IP-адресу та ретельно переглянути журнали доступу RDP.
Потік атаки
Виявлення
Виявити виконання розвідувального інструмента Grixba з певними аргументами командного рядка [Створення процесу Windows]
Перегляд
Виявити розвідувальний інструмент Grixba, доставлений через RDP [Подія файлу Windows]
Перегляд
IOC (DestinationIP) для виявлення: маскування Grixba: Play Ransomware маскує SentinelOne для прихованої розвідки
Перегляд
IOC (SourceIP) для виявлення: маскування Grixba: Play Ransomware маскує SentinelOne для прихованої розвідки
Перегляд
IOC (HashSha256) для виявлення: маскування Grixba: Play Ransomware маскує SentinelOne для прихованої розвідки
Перегляд
Виконання симуляції
Необхідно: Телеметрія та початковий перевірка бази повинні пройти.
Обґрунтування: У цьому розділі детально описується точна реалізація техніки супротивника (TTP), призначена для активації правила виявлення. Команди та наратив ПОВИННІ прямо відображати визначені TTP і метою є створення точної телеметрії, очікуваної логікою виявлення. Абстрактні або нерелевантні приклади призведуть до неправильної діагностики.
-
Наратив атаки та команди:
Супротивник здобув початкову точку закріплення на скомпрометованій робочій станції. Щоб побудувати карту внутрішньої мережі перед боковим пересуванням, вони завантажують розвідувальний двійковий файл Grixba (
GT_NET.exe) з сервера командного управління та виконують його з набором аргументів, на які спрямоване правило Sigma. Обраний аргумент-m:scanall -i:dзумовлює повне відкриття вузлів приєднання до домену, тоді як-i:rта-i:fперелічують віддалені поділи та загальні файли, відповідно. Ці аргументи є типовими для дефолтного навантаження інструмента та генерують особливі рядки командного рядка, які очікує правило виявлення.Кроки:
- Завантажте інструмент (відтворено з копії з тестової папки).
- Виконайте двійковий файл з кожним набором цільових аргументів, щоб переконатися, що правило спрацьовує у кожному випадку.
- Залиште процес працювати короткий час, щоб SIEM зміг зафіксувати цю подію.
-
Сценарій регресійного тестування:
# Сценарій регресійного тестування – Виконання розвідувального інструмента Grixba # ---------------------------------------------------- # Припущення: # • GT_NET.exe знаходиться в C:TempGT_NET.exe (замініть на фактичний шлях) # • Виконання з достатніми привілеями для запуску двійкового файлу # ---------------------------------------------------- $exePath = "C:TempGT_NET.exe" if (-Not (Test-Path $exePath)) { Write-Error "GT_NET.exe не знайдено на $exePath. Перервати." exit 1 } # 1. Виконати з -m:scanall -i:d Write-Host "`n[+] Запускаємо GT_NET.exe з '-m:scanall -i:d' ..." Start-Process -FilePath $exePath -ArgumentList "-m:scanall -i:d" -WindowStyle Hidden -PassThru | Out-Null Start-Sleep -Seconds 5 # 2. Виконати з -i:r Write-Host "`n[+] Запускаємо GT_NET.exe з '-i:r' ..." Start-Process -FilePath $exePath -ArgumentList "-i:r" -WindowStyle Hidden -PassThru | Out-Null Start-Sleep -Seconds 5 # 3. Виконати з -i:f Write-Host "`n[+] Запускаємо GT_NET.exe з '-i:f' ..." Start-Process -FilePath $exePath -ArgumentList "-i:f" -WindowStyle Hidden -PassThru | Out-Null Start-Sleep -Seconds 5 Write-Host "`n[+] Виконання завершено. Перевірте виявлення в SIEM." -
Команди для очищення:
# Очищення – припинити всі залишкові процеси GT_NET.exe та видалити двійковий файл Get-Process -Name "GT_NET" -ErrorAction SilentlyContinue | Stop-Process -Force $exePath = "C:TempGT_NET.exe" if (Test-Path $exePath) { Remove-Item $exePath -Force Write-Host "[+] GT_NET.exe видалено." } else { Write-Host "[*] GT_NET.exe відсутній; нічого видаляти." }