CyberVolk знову заявляє про себе: нові функції та вразливості VolkLocker
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
У статті висвітлюється відродження про-російського хактивістського колективу CyberVolk та його нової сім’ї програм-вимагачів під назвою VolkLocker. Цей заснований на Golang зловмисник націлений на системи Windows і Linux і використовує Telegram для командування та контролю. Він використовує жорстко закодований майстер-ключ AES-256-GCM, який також записується у відкритому вигляді в директорію %TEMP%, що фактично створює незаплановану можливість дешифрування. VolkLocker також втручається в налаштування реєстру, вимикає засоби безпеки та здійснює спроби руйнівних дій проти системи, як тільки вбудований таймер закінчується.
Розслідування
Дослідники вивчили зразок VolkLocker і зазначили, що він розповсюджується без обфускації коду, натомість рекомендують використовувати UPX для упаковки. Програма-вимагач проводить перевірки середовища, перераховує доступні диски, шифрує дані із використанням статичного майстер-ключа, і зберігає цей ключ у прихованому файлі резервної копії. Збереження здійснюється шляхом копіювання виконуваного файлу у кілька шляхів і внесення змін до реєстру. Токени бота Telegram та адреса Bitcoin є обов’язковими елементами конфігурації для успішної роботи.
Пом’якшення
Захисники повинні спостерігати за зафіксованими змінами реєстру, створенням файлу резервної копії ключа у відкритому вигляді та з’явленням кількох копій одного і того ж виконуваного файлу в місцях автозавантаження. Блокування вихідного трафіку до доменів, пов’язаних з Telegram, та маркування бінарників, упакованих UPX, можуть допомогти знизити ризик. Рекомендується підтримання регулярних офлайн або незмінюваних резервних копій та запобігання автоматичного видалення тіньових копій об’єму.
Відповідь
Після виявлення негайно ізолюйте скомпрометовану кінцеву точку, отримайте файл резервної копії ключа у відкритому вигляді з %TEMP%, і використовуйте відомий майстер-ключ для дешифрування файлів. Відновіть всі екземпляри виконуваного файлу VolkLocker, відновіть змінені значення реєстру та перезапустіть будь-які вимкнені рішення безпеки. Проведіть судову рецензію Telegram-трафіку C2 і продовжуйте моніторинг для подальшого зловживання розкритим токеном бота.
Потік атак
Виявлення
Виявлення артефактів програми-вимагача CyberVolk [Подія файлу Windows]
Переглянути
Підвищення привілеїв та завершення процесу програмою-вимагачем CyberVolk [Створення процесу Windows]
Переглянути
IOC (HashSha1) для виявлення: CyberVolk повертається | Недосконалий VolkLocker приносить нові функції зі зростанням болю
Переглянути
Можливе модифікування реєстру для блокування системних інструментів (через cmdline)
Переглянути
Вимкнення захисту Windows Defender (через подію реєстру)
Переглянути
Виконання симуляції
Передумова: Повинна бути пройдена перевірка телеметрії та базового стану.
Причина: У цьому розділі детально описується точне виконання техніки противника (TTP), призначеної для ініціювання правила виявлення. Команди та наратив МУСЯТЬ безпосередньо відображати ідентифіковані TTP та спрямовуватися на генерування точної телеметрії, очікуваної логікою виявлення. Абстрактні або непов’язані приклади приведуть до неправильного діагностування.
-
Опис атаки та команди:
- Мета: Отримати привілеї SYSTEM на робочій станції звичайного користувача, уникнувши засобів безпеки.
-
Крок 1 – Обхід UAC: Зловмисник запускає ms-settings.exe з командним рядком, який змушує процес викликати
NtRaiseHardError, відомий недокументований API, який може викликати підвищення прав UAC, що може бути автоматично прийнято в певних неправильно налаштованих випадках. -
Крок 2 – Руйнування захисту: Відразу після підвищення, той самий командний рядок викликає taskkill.exe для завершення відомих інструментів аналізу (
procmon.exe,processhacker.exe, і т.д.), які можуть спостерігати за привілейованими процесами. -
Отримана телеметрія: Єдина подія створення процесу, де Image = ms-settings.exe та CommandLine містить як
taskkill.exeтаNtRaiseHardError, відповідно довибору.
# Комбінована шкідлива команда – налаштована, щоб виглядати як параметри ms-settings.exe $maliciousCmd = '"C:WindowsSystem32ms-settings.exe" "taskkill.exe /F /IM procmon.exe" "NtRaiseHardError"' Start-Process -FilePath "$env:SystemRootsystem32ms-settings.exe" -ArgumentList $maliciousCmd -
Скрипт для регресійного тестування: Наступний скрипт PowerShell відтворює точну атаку і може бути повторно використаний для автоматизованого регресійного тестування.
<# .SYNOPSIS Імітує обхід UAC за допомогою ms-settings CyberVolk + техніку завершення інструменту аналізу. .DESCRIPTION Запускає ms-settings.exe з налаштованим списком аргументів, який включає taskkill.exe та NtRaiseHardError. Генерує специфічну телеметрію створення процесу, необхідну для запуску правила виявлення Sigma. .NOTES Запустіть з аккаунту звичайного користувача. Забезпечте, щоб у цільовому середовищі було увімкнено логування створення процесів. #> # Параметри (при необхідності налаштуйте) $msSettings = "$env:SystemRootsystem32ms-settings.exe" $analysisTools = @("procmon.exe","processhacker.exe","ida64.exe") $killCmd = "taskkill.exe /F /IM " + ($analysisTools -join " /IM ") $hardError = "NtRaiseHardError" # Побудуйте шкідливий рядок аргументів $argList = @($killCmd, $hardError) -join " " Write-Host "Запуск ms-settings.exe з шкідливими аргументами..." Start-Process -FilePath $msSettings -ArgumentList $argList Write-Host "Виконана команда:" Write-Host "`"$msSettings`" $argList" -
Команди очищення: Після перевірки зупиніть будь-які процеси ms-settings.exe та відновіть нормальний стан системи.
# Зупиніть будь-які процеси ms-settings, які ще можуть працювати Get-Process -Name "ms-settings" -ErrorAction SilentlyContinue | Stop-Process -Force # Необов’язково: Переконайтесь, що жодні інструменти аналізу не були випадково зупинені foreach ($tool in @("procmon","processhacker","ida64")) { if (Get-Process -Name $tool -ErrorAction SilentlyContinue) { Write-Host "$tool ще запущено." } else { Write-Host "$tool було зупинено (очікувано для тесту)." } }