Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
У статті висвітлюється відродження про-російського хактивістського колективу CyberVolk та його нової сім’ї програм-вимагачів під назвою VolkLocker. Цей заснований на Golang зловмисник націлений на системи Windows і Linux і використовує Telegram для командування та контролю. Він використовує жорстко закодований майстер-ключ AES-256-GCM, який також записується у відкритому вигляді в директорію %TEMP%, що фактично створює незаплановану можливість дешифрування. VolkLocker також втручається в налаштування реєстру, вимикає засоби безпеки та здійснює спроби руйнівних дій проти системи, як тільки вбудований таймер закінчується.
Розслідування
Дослідники вивчили зразок VolkLocker і зазначили, що він розповсюджується без обфускації коду, натомість рекомендують використовувати UPX для упаковки. Програма-вимагач проводить перевірки середовища, перераховує доступні диски, шифрує дані із використанням статичного майстер-ключа, і зберігає цей ключ у прихованому файлі резервної копії. Збереження здійснюється шляхом копіювання виконуваного файлу у кілька шляхів і внесення змін до реєстру. Токени бота Telegram та адреса Bitcoin є обов’язковими елементами конфігурації для успішної роботи.
Пом’якшення
Захисники повинні спостерігати за зафіксованими змінами реєстру, створенням файлу резервної копії ключа у відкритому вигляді та з’явленням кількох копій одного і того ж виконуваного файлу в місцях автозавантаження. Блокування вихідного трафіку до доменів, пов’язаних з Telegram, та маркування бінарників, упакованих UPX, можуть допомогти знизити ризик. Рекомендується підтримання регулярних офлайн або незмінюваних резервних копій та запобігання автоматичного видалення тіньових копій об’єму.
Відповідь
Після виявлення негайно ізолюйте скомпрометовану кінцеву точку, отримайте файл резервної копії ключа у відкритому вигляді з %TEMP%, і використовуйте відомий майстер-ключ для дешифрування файлів. Відновіть всі екземпляри виконуваного файлу VolkLocker, відновіть змінені значення реєстру та перезапустіть будь-які вимкнені рішення безпеки. Проведіть судову рецензію Telegram-трафіку C2 і продовжуйте моніторинг для подальшого зловживання розкритим токеном бота.
graph TB %% Визначення класів classDef technique fill:#99ccff classDef malware fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#e6e6e6 classDef operator fill:#ff9900 %% Підвищення привілеїв tech_pe_bypass_uac[“<b>Техніка</b> – <b>T1548.002 Обхід контролю облікових записів (UAC)</b><br/><b>Опис</b>: Захоплює HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command для отримання підвищених прав”] class tech_pe_bypass_uac technique %% Закріплення (Persistence) tech_persistence_rc[“<b>Техніка</b> – <b>T1037.004 Скрипти ініціалізації під час завантаження або входу: RC-скрипти</b><br/><b>Опис</b>: Копіює корисне навантаження у каталоги автозапуску”] class tech_persistence_rc technique tech_persistence_startup[“<b>Техніка</b> – <b>T1037.005 Елементи автозапуску</b><br/><b>Опис</b>: Розміщує cvolk.exe у папці автозапуску користувача”] class tech_persistence_startup technique tech_persistence_active[“<b>Техніка</b> – <b>T1547.014 Active Setup</b><br/><b>Опис</b>: Реєструє записи Active Setup для закріплення”] class tech_persistence_active technique file_cvolk[“<b>Файл</b> – cvolk.exe<br/>Шлях: %APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup”] class file_cvolk file file_svchost[“<b>Файл</b> – svchost.exe<br/>Шлях: %PUBLIC%\\Documents”] class file_svchost file file_wlanext[“<b>Файл</b> – wlanext.exe<br/>Шлях: %SYSTEMDRIVE%\\ProgramData\\Microsoft\\Network”] class file_wlanext file file_windowsupdate[“<b>Файл</b> – WindowsUpdate.exe<br/>Шлях: %TEMP%”] class file_windowsupdate file %% Ухилення від захисту tech_account_removal[“<b>Техніка</b> – <b>T1531 Видалення доступу до облікових записів</b><br/><b>Опис</b>: Вимикає облікові записи користувачів і системні інструменти”] class tech_account_removal technique tech_exclusive_control[“<b>Техніка</b> – <b>T1668 Ексклюзивний контроль</b><br/><b>Опис</b>: Модифікує реєстр для блокування Диспетчера задач, CMD, Defender”] class tech_exclusive_control technique tech_impair_defenses[“<b>Техніка</b> – <b>T1562.010 Вимкнення або модифікація засобів безпеки</b><br/><b>Опис</b>: Вимикає моніторинг у реальному часі”] class tech_impair_defenses technique %% Ухилення від віртуалізації tech_vm_check[“<b>Техніка</b> – <b>T1497.002 Перевірки на основі активності користувача</b><br/><b>Опис</b>: Перевіряє MAC-префікси та ключі реєстру віртуальних машин”] class tech_vm_check technique %% Шифрування файлів tech_custom_archive[“<b>Техніка</b> – <b>T1560.003 Архівація власним методом</b><br/><b>Опис</b>: Шифрує файли за допомогою AES-256-GCM із жорстко закодованим головним ключем”] class tech_custom_archive technique tech_upx_packing[“<b>Техніка</b> – <b>T1027.015 Обфусковані/стиснуті файли: UPX</b><br/><b>Опис</b>: Пакує бінарні файли за допомогою UPX”] class tech_upx_packing technique %% Резервне копіювання ключа file_key_backup[“<b>Файл</b> – system_backup.key<br/>Розташування: %TEMP%<br/><b>Проблема</b>: Головний ключ зберігається у відкритому вигляді”] class file_key_backup file %% Блокування відновлення системи tech_vss_delete[“<b>Техніка</b> – <b>T1490 Блокування відновлення системи</b><br/><b>Опис</b>: Видаляє всі тіньові копії томів через vssadmin”] class tech_vss_delete technique %% Знищення даних tech_disk_wipe[“<b>Техніка</b> – <b>T1561.001 Очищення вмісту диска: Файли</b><br/><b>Опис</b>: Видаляє файли з папок Документи, Робочий стіл, Завантаження, Зображення”] class tech_disk_wipe technique tech_bsod[“<b>Техніка</b> – <b>T1499.004 Відмова в обслуговуванні кінцевої точки: Експлуатація застосунку</b><br/><b>Опис</b>: Викликає BSOD через NtRaiseHardError”] class tech_bsod technique %% Командування та керування tech_c2_telegram[“<b>Техніка</b> – <b>T1102.002 Веб-сервіс: Двосторонній зв’язок</b><br/><b>Опис</b>: Використовує Telegram-бота для C2 з динамічним визначенням адрес”] class tech_c2_telegram technique %% Видалення індикаторів tech_file_deletion[“<b>Техніка</b> – <b>T1070.004 Видалення файлів</b><br/><b>Опис</b>: Видаляє тимчасові файли та встановлює атрибути «прихований/системний»”] class tech_file_deletion technique %% Ланцюг атаки tech_pe_bypass_uac –>|дозволяє| tech_persistence_rc tech_persistence_rc –>|копіює| file_cvolk tech_persistence_rc –>|копіює| file_svchost tech_persistence_rc –>|копіює| file_wlanext tech_persistence_rc –>|копіює| file_windowsupdate tech_persistence_rc –>|створює| tech_persistence_startup tech_persistence_rc –>|створює| tech_persistence_active tech_persistence_startup –>|розміщує| file_cvolk tech_persistence_active –>|реєструє| file_cvolk tech_persistence_rc –>|призводить до| tech_account_removal tech_account_removal –>|модифікує| tech_exclusive_control tech_exclusive_control –>|вимикає| tech_impair_defenses tech_impair_defenses –>|готує| tech_vm_check tech_vm_check –>|обходить| tech_custom_archive tech_custom_archive –>|використовує| tech_upx_packing tech_upx_packing –>|створює| file_cvolk tech_custom_archive –>|записує| file_key_backup tech_custom_archive –>|запускає| tech_vss_delete tech_vss_delete –>|блокує відновлення для| tech_disk_wipe tech_disk_wipe –>|після чого виконується| tech_bsod tech_bsod –>|сигналізує| tech_c2_telegram tech_c2_telegram –>|звітує| tech_file_deletion tech_file_deletion –>|видаляє| file_key_backup %% Стилізація class tech_pe_bypass_uac,tech_persistence_rc,tech_persistence_startup,tech_persistence_active,tech_account_removal,tech_exclusive_control,tech_impair_defenses,tech_vm_check,tech_custom_archive,tech_upx_packing,tech_vss_delete,tech_disk_wipe,tech_bsod,tech_c2_telegram,tech_file_deletion technique class file_cvolk,file_svchost,file_wlanext,file_windowsupdate,file_key_backup file
Потік атак
Виявлення
Виявлення артефактів програми-вимагача CyberVolk [Подія файлу Windows]
Переглянути
Підвищення привілеїв та завершення процесу програмою-вимагачем CyberVolk [Створення процесу Windows]
Переглянути
IOC (HashSha1) для виявлення: CyberVolk повертається | Недосконалий VolkLocker приносить нові функції зі зростанням болю
Переглянути
Можливе модифікування реєстру для блокування системних інструментів (через cmdline)
Переглянути
Вимкнення захисту Windows Defender (через подію реєстру)
Переглянути
Виконання симуляції
Передумова: Повинна бути пройдена перевірка телеметрії та базового стану.
Причина: У цьому розділі детально описується точне виконання техніки противника (TTP), призначеної для ініціювання правила виявлення. Команди та наратив МУСЯТЬ безпосередньо відображати ідентифіковані TTP та спрямовуватися на генерування точної телеметрії, очікуваної логікою виявлення. Абстрактні або непов’язані приклади приведуть до неправильного діагностування.
-
Опис атаки та команди:
- Мета: Отримати привілеї SYSTEM на робочій станції звичайного користувача, уникнувши засобів безпеки.
-
Крок 1 – Обхід UAC: Зловмисник запускає ms-settings.exe з командним рядком, який змушує процес викликати
NtRaiseHardError, відомий недокументований API, який може викликати підвищення прав UAC, що може бути автоматично прийнято в певних неправильно налаштованих випадках. -
Крок 2 – Руйнування захисту: Відразу після підвищення, той самий командний рядок викликає taskkill.exe для завершення відомих інструментів аналізу (
procmon.exe,processhacker.exe, і т.д.), які можуть спостерігати за привілейованими процесами. -
Отримана телеметрія: Єдина подія створення процесу, де Image = ms-settings.exe та CommandLine містить як
taskkill.exeтаNtRaiseHardError, відповідно довибору.
# Комбінована шкідлива команда – налаштована, щоб виглядати як параметри ms-settings.exe $maliciousCmd = '"C:WindowsSystem32ms-settings.exe" "taskkill.exe /F /IM procmon.exe" "NtRaiseHardError"' Start-Process -FilePath "$env:SystemRootsystem32ms-settings.exe" -ArgumentList $maliciousCmd -
Скрипт для регресійного тестування: Наступний скрипт PowerShell відтворює точну атаку і може бути повторно використаний для автоматизованого регресійного тестування.
<# .SYNOPSIS Імітує обхід UAC за допомогою ms-settings CyberVolk + техніку завершення інструменту аналізу. .DESCRIPTION Запускає ms-settings.exe з налаштованим списком аргументів, який включає taskkill.exe та NtRaiseHardError. Генерує специфічну телеметрію створення процесу, необхідну для запуску правила виявлення Sigma. .NOTES Запустіть з аккаунту звичайного користувача. Забезпечте, щоб у цільовому середовищі було увімкнено логування створення процесів. #> # Параметри (при необхідності налаштуйте) $msSettings = "$env:SystemRootsystem32ms-settings.exe" $analysisTools = @("procmon.exe","processhacker.exe","ida64.exe") $killCmd = "taskkill.exe /F /IM " + ($analysisTools -join " /IM ") $hardError = "NtRaiseHardError" # Побудуйте шкідливий рядок аргументів $argList = @($killCmd, $hardError) -join " " Write-Host "Запуск ms-settings.exe з шкідливими аргументами..." Start-Process -FilePath $msSettings -ArgumentList $argList Write-Host "Виконана команда:" Write-Host "`"$msSettings`" $argList" -
Команди очищення: Після перевірки зупиніть будь-які процеси ms-settings.exe та відновіть нормальний стан системи.
# Зупиніть будь-які процеси ms-settings, які ще можуть працювати Get-Process -Name "ms-settings" -ErrorAction SilentlyContinue | Stop-Process -Force # Необов’язково: Переконайтесь, що жодні інструменти аналізу не були випадково зупинені foreach ($tool in @("procmon","processhacker","ida64")) { if (Get-Process -Name $tool -ErrorAction SilentlyContinue) { Write-Host "$tool ще запущено." } else { Write-Host "$tool було зупинено (очікувано для тесту)." } }