SOC Prime Bias: Високий

02 Jul 2026 06:38 UTC

Еволюція інструментарію UAC-0226 від WinRAR ADS до віддзеркалюючого завантаження GIFTEDCROOK

Author Photo
SOC Prime Team linkedin icon Стежити
Еволюція інструментарію UAC-0226 від WinRAR ADS до віддзеркалюючого завантаження GIFTEDCROOK
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисник UAC-0226 поліпшив свій ланцюг доставки, використовуючи уразливість обходу шляху WinRAR разом з альтернативними потоками даних NTFS для безшумного встановлення наполегливості. Кампанія покладається на багатостадійний завантажувач PowerShell, щоб розгортати відображений PE без заголовків, відомий як GIFTEDCROOK. Шкідливе програмне забезпечення призначене для збору облікових даних браузера, даних конфігурації VPN і конфіденційних документів із скомпрометованих систем.

Розслідування

Аналіз розкладає складний потік виконання, побудований навколо зараженого архіву WinRAR, PDF-приманки та прихованого файлу LNK, розміщеного в папці автозагрузки Windows. Дослідники ідентифікували процедуру користувацького адитивного декодування та вдосконалений відображуваний завантажувач, що мапує DLL безпосередньо в пам’ять. Телеметрія також показала, що завантажувач відправляє статус виконання на свій сервер командування та контролю через настроєну 16-байтну структуру.

Пом’якшення

Організації повинні пріоритизувати оновлення WinRAR для вирішення вразливостей обходу шляху. Забезпечення суворої політики виконання PowerShell та моніторинг незвичної активності альтернативних потоків даних NTFS можуть допомогти зірвати ранні стадії компрометації. Командам безпеки варто також звертати увагу на несанкціоновані файли, що з’являються в папках автозагрузки, і підозрілу поведінку виділеної пам’яті, таку як NtAllocateVirtualMemory.

Відповідь

Якщо виявлена така активність, негайно ізолюйте уражені хости, щоб запобігти подальшому витоку даних. Перевірте C:ProgramData каталог на наявність підозрілих файлів без розширень і перегляньте папку автозавантаження користувача на наявність несанкціонованих ярликів LNK. Проведіть форензіку пам’яті для ідентифікації відображених DLL, а також перевірте журнали мережі на зв’язок з виявленою інфраструктурою командування і контролю.

Потік атаки

Виконання симуляції

Передумови: Телеметрія та перевірка базової лінії повинні були пройдені.

Обґрунтування: Цей розділ деталізує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та наратив повинні безпосередньо відображати виявлені TTP та орієнтуватися на створення очікуваної телеметрії за допомогою логіки виявлення. Абстрактні або непов’язані приклади можуть призвести до неправильної діагностики.

  • Наратив і команди атаки: Супротивник має на меті розгорнути вантаж стилера. Щоб мінімізувати слідовність і уникнути взаємодії користувача, вони розміщують вантаж у C:ProgramDataWC3. Потім вони викликають PowerShell з набором прапорців ‘living-off-the-land’, щоб обійти політику виконання і приховати вікно від користувача. Команда використовує iex (Invoke-Expression) для виконання команди, яка ссилається на підготовлений файл, імітуючи поведінку відображеного завантаження кампанії UAC-0226.

  • Скрипт регресійного тестування:

    # 1. Налаштування: Створити конкретний каталог, використовуваний у правилі виявлення
    $targetDir = "C:ProgramDataWC3"
    if (!(Test-Path $targetDir)) {
        New-Item -Path $targetDir -ItemType Directory -Force
    }
    
    # 2. Створити файл-заглушку вантажу для задоволення вимог шляху
    $dummyFile = "$targetDirpayload.ps1"
    "Write-Output 'Simulated Malicious Payload'" | Out-File -FilePath $dummyFile -Encoding ascii
    
    # 3. Виконати шкідливий ланцюг команд (це повинно запустити правило)
    # Використовуємо Start-Process, щоб забезпечити захоплення командного рядка як нового процесу
    Start-Process powershell.exe -ArgumentList "-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command ""iex (Get-Content $dummyFile)""" -WindowStyle Hidden
    
    Write-Host "[+] Симуляція команди виконана. Перевірте ваш SIEM на наявність сповіщення."
  • Команди очищення:

    # Видалити каталог і файли-заглушки, створені під час симуляції
    Remove-Item -Path "C:ProgramDataWC3" -Recurse -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Очистка завершена."