Спільний арсенал: Визначення спільних TTP серед RAT

Резюме

Повідомлення Splunk переглядає, скільки троянів для віддаленого доступу та сімейства крадіїв збігаються з однією основою технік MITRE ATT&CK. Воно виділяє повторювані дії, такі як передача інструментів в середину, виявлення хостів і мережі, стійкість через реєстр і заплановані завдання, уникнення захисту та викрадення облікових даних. Водночас, воно відзначає невеликі відмінності у реалізації, які можуть допомогти розділити сімейства під час розбірки. Такий підхід підтримує більш послідовне полювання на кілька сімейств.

Розслідування

Команда зіставила близько вісімнадцяти сімейств шкідливих програм з ATT&CK, підсумувала перетинання TTP та включила практичні фрагменти коду, що охоплюють стійкість, маніпуляцію токенами та використання веб-сервісів. Приклади охоплюють запити WMI, запис ключів Run, створення schtasks і команди PowerShell, які додають виключення Windows Defender.

Пом’якшення

Керівництво надає пріоритет детекціям, орієнтованим на техніки, над назвами сімейств: звертайте увагу на зловживання загальними утилітами (schtasks, reg, WMI), обмежуйте вихідний веб-трафік служб та зміцнюйте контроль доступу до облікових даних. Також рекомендується посилити політику виключень Windows Defender і налаштувати оповіщення про зміни привілеїв токенів.

Реакція

Коли ці техніки виявляються, ізолюйте кінцеву точку, зберіть ключові артефакти (вулик реєстру, визначення запланованих завдань, журнали командного рядка) і шукати пов’язані IOCs у всій інфраструктурі. Видаліть стійкість, застосуйте блокування на основі індикаторів для відомих доменів і хешів, та розширте виявлення для покриття спільних поведінок.

Виконання симуляції

Попередня умова: Перевірка телеметрії та базової передстартової перевірки має бути пройдена.

Пояснення: У цьому розділі детально описується точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та оповідь МАЮТЬ безпосередньо відображати ідентифіковані TTP та створювати саме ту телеметрію, яку очікує логіка виявлення.

• Оповідь та команди атаки:

  1. Розвідка: Атакуючий перераховує версію ОС, щоб переконатися, що цільова машина є Windows, здатною використовувати ключі Run.
  2. Підготовка корисного навантаження: Обрано безпечний тестовий виконуваний файл (notepad.exe), щоб уникнути справжнього шкідливого впливу, водночас представляючи типове корисне навантаження для стійкості.
  3. Імплант стійкості: З використанням reg.exe, зловмисник записує нове значення рядка під назвою ProvingMalware під HKCUSoftwareMicrosoftWindowsCurrentVersionRun, яке вказує на C:WindowsSystem32notepad.exe. Це створює EventID 4657 з шляхом ключа Run, дотримуючись правила детекції.
  4. Перевірка: Атакуючий перевіряє реєстр, щоб підтвердити наявність значення.

• Скрипт тестування регресії:

  # -------------------------------------------------
  # Перевірка – Симуляція стійкості ключів Run у реєстрі
  # -------------------------------------------------
  try {
      # 1. Перевірити, чи ОС є Windows
      if (-not $IsWindows) {
          throw "Скрипт може працювати лише на Windows."
      }
  
      # 2. Визначити шлях ключа Run та шкідливе навантаження
      $runKey = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
      $valueName = "ProvingMalware"
      $payloadPath = "$env:SystemRootSystem32notepad.exe"
  
      # 3. Записати шкідливий ключ Run (це викликає EventID 4657)
      New-ItemProperty -Path $runKey -Name $valueName -Value $payloadPath -PropertyType String -Force |
          Out-Null
  
      Write-Host "[+] Ключ Run $valueName додано під $runKey, вказуючи на $payloadPath"
  }
  catch {
      Write-Error "[!] $($_.Exception.Message)"
  }

• Команди очищення:

  # Видалити значення симуляції стійкості
  $runKey = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
  $valueName = "ProvingMalware"
  if (Test-Path "$runKey") {
      Remove-ItemProperty -Path $runKey -Name $valueName -ErrorAction SilentlyContinue
      Write-Host "[+] Очищено ключ Run $valueName"
  }