Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Центр безпеки AhnLab повідомив про тривале розповсюдження троянської програми віддаленого доступу Remcos, яка націлена на користувачів у Південній Кореї. Зап Payload представлені як легітимні інсталятори VeraCrypt або як утиліти, що просуваються незаконними сайтами азартних ігор, з доставкою через стандартний веб-переглядач та канали Telegram. Потік інфікування складається з кількох етапів: послідовність сценаріїв VBS і PowerShell завантажує, падає та запускає компоненти, які завершуються виконанням Remcos. На фінальному етапі RAT завантажується і вбудовується в AddInProcess32.exe, що допомагає діяльності маскуватися під нормальну ситема поведінки процесів.
Розслідування
Аналітики визначили кілька шкідливих імен файлів, пов’язаних з кампанією, і підтвердили, що VBS-дроппери записуються та виконуються з директорії TEMP як частина раннього етапу ланцюжка. Дослідники також помітили ін’єктор на базі .NET, який використовує вебхуки Discord для спілкування з атакуючими. Артефакти конфігурації включають назви мьютексу та зашифровані налаштування, які використовуються для управління поведінкою під час виконання. Для збору Remcos зберігає захоплені натискання клавіш під %ALLUSERSPROFILE%remcos. Телеметрія мережі висвітлила три кінцеві точки TLS, пов’язані з операцією, що підтримує зусилля з розуміння та блокування.
Узгодження
Зменшіть вразливість, блокуючи або суворо обмежуючи виконання ненадійних сценаріїв VBS і PowerShell — особливо з місць, які можуть записуватись користувачем, — та впроваджуючи політики контролю додатків для сценарійних механізмів. Спостерігайте за відомими назвами файлів та хешами кампанії, а також віддавайте пріоритет сигналізаціям для ланцюжків виконання сценаріїв, які переходять у поведінку ін’єктора. На мережевому рівні обмежте вихідну TLS-з’єднаність до визначених IP-адрес та додайте виявлення підозрілих шаблонів маячення. На кінцевих точках спостерігайте за створенням згаданих мьютексу та діяльність з ін’єкції коду, що націлено на AddInProcess32.exe.
Відповідь
Якщо виявлено індикатори, негайно ізолюйте уражений хост, зберіть нестійкі дані (включно з поточними процесами та з’єднанням мережі) та збережіть відповідні артефакти для аналізу. Проведіть цільову судово-медичну експертизу в директорії TEMP та %ALLUSERSPROFILE%remcos щоб ідентифікувати дроппери, конфігураційні дані та результати кейлогінгу. Видаліть зловмисні файли, зупиніть і виправте ін’єктований AddInProcess32.exe процес, та обміняйте потенційно вразливі облікові дані. Нарешті, оновіть вміст SIEM/EDR з вилученими IOC та проведіть обшук в навколишньому середовищі на збіг імен файлів, мьютексів та індикаторів TLS призначення.
“graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc %% Вузли action_initial_access[“<b>Дія</b> – <b>T1204.002 Виконання користувача</b>: Жертви завантажують шкідливі виконувані файли, замасковані під установники VeraCrypt або інструменти перевірки списків блокування азартних ігор.”] class action_initial_access action tool_malicious_installer[“<b>Інструмент</b> – <b>Назва</b>: Фальшивий установник VeraCrypt<br /><b>Опис</b>: Виконуваний файл, замаскований для захоплення виконання користувачем.”] class tool_malicious_installer tool action_execution_vbs[“<b>Дія</b> – <b>T1059.005 Visual Basic</b>: VBS скрипти записуються в %TEMP% і виконуються.”] class action_execution_vbs action tool_vbs_script[“<b>Інструмент</b> – <b>Назва</b>: VBS Скрипт<br /><b>Розташування</b>: %TEMP%”] class tool_vbs_script tool action_execution_powershell[“<b>Дія</b> – <b>T1059.001 PowerShell</b>: PowerShell скрипти-завантажувачі отримують додаткові навантаження.”] class action_execution_powershell action tool_ps_downloader[“<b>Інструмент</b> – <b>Назва</b>: PowerShell Завантажувач<br /><b>Функція</b>: Одержує навантаження з віддаленого сервера.”] class tool_ps_downloader tool action_obfuscation[“<b>Дія</b> – Техніки заплутування: Base64 кодування, непотрібний код, поліморфні секції, динамічна резолюція API (T1027.008, T1027.014, T1027.016, T1027.007).”] class action_obfuscation action action_defense_evasion[“<b>Дія</b> – <b>T1055 Ін’єкція процесу</b>: .NET інжектор впорскує Remcos RAT у довірений процес AddInProcess32.exe.”] class action_defense_evasion action tool_dotnet_injector[“<b>Інструмент</b> – <b>Назва</b>: .NET Інжектор<br /><b>Призначення</b>: Вдовує шкідливий код у інші процеси.”] class tool_dotnet_injector tool process_addinprocess[“<b>Процес</b> – <b>Назва</b>: AddInProcess32.exe<br /><b>Законність</b>: Довірений процес Microsoft Office.”] class process_addinprocess process malware_remcos[“<b>Шкідлива програма</b> – <b>Назва</b>: Remcos RAT<br /><b>Здібності</b>: Віддалене управління, збирання облікових даних, кейлогінг, захоплення медіа.”] class malware_remcos malware action_browser_cred[“<b>Дія</b> – <b>T1555.003 Облікові дані в браузерах</b>: Збирає збережені облікові дані браузера.”] class action_browser_cred action action_keylogging[“<b>Дія</b> – <b>T1056.001 Кейлогінг</b>: Захоплює натискання клавіш.”] class action_keylogging action action_collection[“<b>Дія</b> – Збір даних користувача через екран, аудіо та відео.”] class action_collection action action_screenshot[“<b>Дія</b> – <b>T1113 Захоплення екрану</b>: Захоплює знімки екрану.”] class action_screenshot action action_audio[“<b>Дія</b> – <b>T1123 Захоплення аудіо</b>: Записує аудіо з мікрофону.”] class action_audio action action_video[“<b>Дія</b> – <b>T1125 Захоплення відео</b>: Захоплює відео з веб-камери.”] class action_video action action_c2[“<b>Дія</b> – <b>T1071.001 Веб-протоколи</b>: Захищене веб-спілкування та використання вебхуку Discord.”] class action_c2 action tool_discord_webhook[“<b>Інструмент</b> – <b>Назва</b>: Вебхук Discord<br /><b>Використання</b>: Канал для фіксації та ексфільтрації.”] class tool_discord_webhook tool action_exfiltration[“<b>Дія</b> – <b>T1567.004 Ексфільтрація через веб-служби</b>: Дані відправляються нападнику через вебхук Discord.”] class action_exfiltration action %% Зв’язки action_initial_access u002du002d>|використовує| tool_malicious_installer tool_malicious_installer u002du002d>|доставляє| action_execution_vbs action_execution_vbs u002du002d>|записує_та_виконує| tool_vbs_script action_execution_vbs u002du002d>|запускає| action_execution_powershell tool_ps_downloader u002du002d>|завантажує_навантаження| action_obfuscation action_obfuscation u002du002d>|дозволяє| action_defense_evasion action_defense_evasion u002du002d>|впорскує| tool_dotnet_injector tool_dotnet_injector u002du002d>|цілить| process_addinprocess process_addinprocess u002du002d>|розміщує| malware_remcos malware_remcos u002du002d>|збирає| action_browser_cred malware_remcos u002du002d>|записує| action_keylogging malware_remcos u002du002d>|захоплює| action_collection action_collection u002du002d>|знімки_екрану| action_screenshot action_collection u002du002d>|аудіо| action_audio action_collection u002du002d>|відео| action_video malware_remcos u002du002d>|спілкується| action_c2 action_c2 u002du002d>|використовує| tool_discord_webhook action_c2 u002du002d>|відправляє_дані| action_exfiltration action_exfiltration u002du002d>|через| tool_discord_webhook “
Потік атаки
Виявлення
Виклик підозрілих методів .NET з PowerShell (через powershell)
Переглянути
Можливі шаблони Remcos RAT (через подію в реєстрі)
Переглянути
Підозрілі строки PowerShell (через cmdline)
Переглянути
Файл зображення було створено підозрілим процесом (через file_event)
Переглянути
Можливе зловживання Discord як каналом C2 (через проксі)
Переглянути
Підозрілі вилучені файли з архіву (через file_event)
Переглянути
Підозрілі строки PowerShell (через powershell)
Переглянути
Підозрілий контроль та управління за допомогою незвичайного запиту DNS верхнього рівня (TLD) (через dns)
Переглянути
Ймовірне використання хакінг-інструментів Windows [Частина 3] (через file_event)
Переглянути
Незвичайний домен верхнього рівня в командному рядку (через cmdline)
Переглянути
Виклик підозрілих класів/методів .NET з командного рядка PowerShell (через створення процесу)
Переглянути
Підозрілий процес використовує URL у командному рядку (через cmdline)
Переглянути
IOC (HashMd5) для виявлення: Розповсюдження Remcos RAT серед користувачів Кореї
Переглянути
IOC (DestinationIP) для виявлення: Розповсюдження Remcos RAT серед користувачів Кореї
Переглянути
IOC (SourceIP) для виявлення: Розповсюдження Remcos RAT серед користувачів Кореї
Переглянути
Розповсюдження Remcos RAT шляхом маскування як інструменту перевірки списку блокування [Подія Windows File]
Переглянути
Виявлення C&C-серверного зв’язку Remcos RAT [З’єднання мережі Windows]
Переглянути
Ін’єкція Remcos RAT у AddInProcess32.exe [Створення процесу Windows]
Переглянути
Виконання симуляції
Передумова: перевірка даних і базовий тест перед польотом повинні бути пройдені.
Сценарій атаки та команди
- Вхід (T1105): Атакувач розміщує шкідливий usercon.exe (Remcos RAT) на C2-сервері під виглядом утиліти “blocklist-lookup”.
- Завантаження: Жертва клацає на посилання, і файл зберігається в
%USERPROFILE%DownloadsProgramsusercon.exe. - Виконання (T1059): Атакувач використовує однорядковий PowerShell для безшумного запуску payload з шляху завантаження, уникаючи взаємодії з користувачем.
- Після виконання: RAT встановлює вихідний C2 через HTTP (T1071) та створює персистентність через автозапуск реєстру (T1547) – ці пізні стадії є за межами поточної правила, але ілюструють повний ланцюжок атаки.
Скрипт регресійного тестування
# ---------------------------------------------------------
# Симуляція Remcos RAT – активує правило Sigma
# ---------------------------------------------------------
# 1. Визначте шлях до шкідливого payload (відповідає правилу)
$maliciousPath = "$env:USERPROFILEDownloadsProgramsusercon.exe"
# 2. Створіть тестовий виконуваний payload (лише заголовок PE – безпечно для тестування)
Set-Content -Path $maliciousPath -Value ([Byte[]]@(0x4D,0x5A,0x90,0x00,0x03,0x00,0x00,0x00,0x04,0x00,0x00,0x00,0xFF,0xFF,0x00,0x00,0xB8,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x40,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00)) -Encoding Byte
# 3. Виконайте payload тихо (симуляція запуску з командного рядка атакуючого)
Start-Process -FilePath $maliciousPath -WindowStyle Hidden -PassThru
# 4. Додатково: випускаємо фальшиве мережеве з'єднання для ілюстрації пізніших етапів
# (не потрібно для активування правила Sigma)
# Invoke-WebRequest -Uri "http://malicious.c2.example.com/ping" -UseBasicParsing
Write-Host "Симуляцію виконано – перевірте SIEM для запуску правила."Команди очищення
# ---------------------------------------------------------
# Видалення артефактів, створених симуляцією
# ---------------------------------------------------------
$maliciousPath = "$env:USERPROFILEDownloadsProgramsusercon.exe"
if (Test-Path $maliciousPath) {
Remove-Item -Path $maliciousPath -Force
Write-Host "Видалено $maliciousPath"
} else {
Write-Host "Артефакт не знайдено за адресою $maliciousPath"
}