Водяна Панда (Земля Луска): Кампанії, Шкідливе ПЗ та TTP
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Aquatic Panda є групою APT, що діє в інтересах Китаю, і зосереджена на зборі розвідданих та промисловому шпигунстві. Група використовує різноманітний арсенал шкідливого ПЗ, включаючи SprySOCKS, ShadowPad та BIOPASS RAT, щоб атакувати критичні галузі. Її операції також включають експлуатацію вразливостей, таких як Log4Shell, та використання передових руткітів для збереження прихованості.
Розслідування
Звіт окреслює численні кампанії, включаючи Operation FishMedley та атаки із залученням серверів VMware Horizon. Він вивчає технічний дизайн бекдора SprySOCKS, включаючи функціональність руткіта у режимі ядра та функції стійкості. Аналіз також деталізує конкретні TTP групи для початкового доступу, виконання та уникання захисту.
Профілактика
Організації повинні перевірити свою захищеність від відомих методів групи Aquatic Panda за допомогою платформ симуляції та тестування. Ключові заходи профілактики включають оновлення вразливостей Log4j, таких як CVE-2021-44228 та моніторинг несанкціонованих запланованих завдань або підозрілих змін у службах Windows. Сильне виявлення на кінцевих точках також є важливим для ідентифікації завантаження DLL та активації процесів.
Реагування
Якщо виявлено діяльність Aquatic Panda, реагуючим особам слід негайно ізолювати уражені системи, щоб зупинити бічне переміщення. Розслідування повинні зосереджуватися на несанкціонованих змінах в реєстрі, особливо в налаштуваннях Print Processors або IFEO. Форензичний аналіз має пріоритетизувати збір пам’яті з підозрілих процесів та перевірку запланованих завдань і служб Windows.
"flowchart TD step_resource_development["Розробка ресурсів: Реєстрація доменів-омографів та підготовка JNDI/Log4Shell інструментів"] step_initial_access["Початковий доступ: Експлуатація Log4j (CVE-2021-44228) у VMware Horizon"] step_execution["Виконання: Завантажувальні рамки PowerShell, cmd/C з curl/wget, Заплановані завдання та Служби Windows"] step_persistence["Стійкість: Створення Служб Windows, Запланованих завдань та реєстрація DLL Print Processor"] step_privilege_escalation["Ескалація привілеїв: Впорскування в IFEO та маніпуляція з маркером доступу через CreateProcessAsUserW"] step_defense_impairment["Усунення оборони: Зміна Брандмауера Windows Host з імітацією ICMPv6"] step_credential_access["Доступ до облікових даних: Знімання пам’яті LSASS, крадіжка SAM/SYSTEM hive, крадіжка облікових даних браузера та Password Filter DLL"] step_discovery["Розвідка: Перерахування служб, процесів, системної інформації та програмних продуктів безпеки"] step_collection["Збір: Кеївлогінг та архівування даних за допомогою WinRAR"] step_command_and_control["Командування та контроль: TCP/UDP/WebSockets з AES-128 та сигналізація трафіку на основі WFP"] step_stealth["Скритність: Руткіт у режимі ядра (RawWNPF), Впорскування процесів, Завантаження DLL на стороні та уникнення пісочниці"] rules_for_step_stealth("<b>Назва правила</b>: Підозрілий шлях процесу (через cmdline)<br/><b>ID правила</b>: f28587e8-2aa1-4e6b-bdd1-ad0ce520346a") step_exfiltration["Експфільтрація: Передача даних через C2 або Dropbox (dbxcli)"] step_resource_development –>|призводить до| step_initial_access step_initial_access –>|призводить до| step_execution step_execution –>|призводить до| step_persistence step_persistence –>|призводить до| step_privilege_escalation step_privilege_escalation –>|призводить до| step_defense_impairment step_defense_impairment –>|призводить до| step_credential_access step_credential_access –>|призводить до| step_discovery step_discovery –>|призводить до| step_collection step_collection –>|призводить до| step_command_and_control step_command_and_control –>|призводить до| step_stealth step_stealth –>|призводить до| step_exfiltration step_stealth -.->|виявлено| rules_for_step_stealth "
Потік атаки
Виявлення
Можлива стиснення даних для інфільтрації або ексфільтрації (через cmdline)
Переглянути
Можливе перерахування служб (через cmdline)
Переглянути
Можливе зняття копії SAM/SYSTEM/SECURITY (через cmdline)
Переглянути
Можливе зняття облікових даних за допомогою Comsvcs.dll (через cmdline)
Переглянути
Можливе зняття облікових даних за допомогою comsvcs.dll (через powershell)
Переглянути
Підозрілі зміни Брандмауера через CLI (через cmdline)
Переглянути
Нетиповий ланцюжок системних процесів (через створення процесів)
Переглянути
Можливі функції доступності через зловживання реєстром (через cmdline)
Переглянути
Можливі точки стійкості [ASEPs – Software/NTUSER Hive] (через події реєстру)
Переглянути
Підозріле створення служби для стійкості (через систему)
Переглянути
Операції зображення служб рідким процесом (через події реєстру)
Переглянути
Підозріле місце виконання виконуваного файлу/скрипту через [cmd.exe /C] (через cmdline)
Переглянути
Виклик підозрілих класів/методів .NET з командного рядка Powershell (через створення процесів)
Переглянути
Schtasks вказує на підозрілий каталог/бінарний файл/скрипт (через cmdline)
Переглянути
Підозрілий шлях процесу (через cmdline)
Переглянути
Виділення пам’яті Hollowing процесу [Windows Sysmon]
Переглянути
Зміни в реєстрі для підміни налагоджувача та стійкості Print Processor [Події реєстру Windows]
Переглянути
Створення запланованого завдання та завантаження шкідливого PowerShell [Створення процесів Windows]
Переглянути
## Виконання симуляції
Передумова: Перевірка телеметрії та базового рівня перед польотом повинна пройти.
Обґрунтування: Цей розділ деталізує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди і наратив МАЮТЬ безпосередньо відображати ідентифіковані TTP і прагнути генерувати точну телеметрію, яку очікує логіка виявлення. Абстрактні або непов’язані приклади призведуть до неправильної діагностики.
-
Атака: наратив і команди: Супротивник має намір виконати hollowing процесу, щоб приховати шкідливий код у легітимному контейнері процесу. Для перевірки, чи спрацьовує поточне (хоча і недосконале) виявлення, супротивник запустить
powershell.exeз конкретного каталогу. Це імітує початковий етап атаки Living-off-the-Land (LotL), де супротивник використовує стандартний системний інструмент, щоб розпочати свою шкідливу діяльність, таку як ін’єкція в пам’ять або забирання облікових даних. Мета – згенеруватиСтворення процесуподію, деЗображенняполе містить зворотний слеш, як визначено в логіці виявлення. -
Скрипт тесту регресії:
# Імітація запуску процесу, який задовольняє (слабку) логіку виявлення # Це імітує початок сесії супротивника, використовуючи стандартний інструмент $targetProcess = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" Write-Host "Виконання: $targetProcess" Start-Process -FilePath $targetProcess -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command Write-Host 'Симуляція активна'" -
Команди очищення:
# Постійні зміни не внесено; очищення для цієї симуляції не потребується. Write-Host "Очищення симуляції завершено."