Вимагальне ПЗ Tengu: від початкового доступу до шифрування
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Tengu — це операція Ransomware-as-a-Service, що дотримується моделі подвійного вимагання. Перед початком шифрування зловмисники використовують Living Off the Land Binaries для запуску шкідливих програм і ексфільтрації конфіденційних даних до хмарного сховища MEGA. Комунікації з жертвами та переговори щодо оплати відбуваються через портал на базі Tor.
Дослідження
Звіт містить повний ланцюжок проникнення Tengu, починаючи з початкового доступу через фішинг або вкрадені облікові дані і закінчуючи шифруванням даних. Він робить акцент на використанні легітимних адміністраторських утиліт, таких як PowerShell та Rclone, які допомагають зловмисникам зливатися з нормальною активністю та зменшувати ймовірність виявлення.
Пом’якшення
Команди безпеки повинні впроваджувати сильну багатофакторну автентифікацію для зниження ризику зловживання обліковими даними на службах RDP та VPN. Організації також повинні контролювати підозрілу діяльність LOLBin, обмежувати несанкціоноване використання платформ хмарного зберігання та зберігати регулярні офлайн-резервні копії, які можуть підтримувати відновлення.
Відповідь
Якщо виявлено активність Tengu, негайно ізолюйте уражені системи для зупинки бічного переміщення та додаткової ексфільтрації даних. Перевірте журнали подій Windows та конфігурації сервісів на предмет несанкціонованих модифікацій та активуйте процедури реагування на інцидент для визначення обсягу розголошення даних та активності шифрування.
Потік атаки
Виявлення
Можлива ексфільтрація даних через інструмент Rclone (через командний рядок)
Перегляд
Можлива активність ухилення від захисту через підозріле використання Wevtutil (через командний рядок)
Перегляд
Підозріла активність VSSADMIN (через командний рядок)
Перегляд
Виконання Tengu Ransomware за допомогою LOLBins [створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка телеметрії та базових налаштувань повинна бути пройдена.
Обґрунтування: У цьому розділі описується точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та опис повинні безпосередньо відображати ідентифіковані TTP та спрямовуватися на генерування очікуваної телеметрії згідно з логікою виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.
-
Історія атаки та команди: Атака має на меті ініціювати фазу розгортання шифрувальника Tengu. Щоб уникнути виявлення простими сигнатурами антивірусу, вони використовують техніки “Життя за рахунок зовнішніх засобів” (LotL). Зловмисник спочатку використовує
powershell.exeдля завантаження підготовчого навантаження, а потім використовуєrundll32.exeдля виконання шкідливої DLL. Це імітує поведінку, описану в ланцюгу атак Tengu, де легітимні бінарні файли Windows використовуються для здійснення шкідливої діяльності, намагаючись злитися з рутинною адміністративною активністю. -
Сценарій регресійного тестування:
# Сценарій симуляції виконання Tengu Ransomware # Цей сценарій імітує використання LOLBins для запуску правила виявлення. Write-Host "[*] Запуск симуляції виконання Tengu Ransomware..." -ForegroundColor Cyan # 1. Імітація завантаження вантажу через PowerShell (T1059.001) Write-Host "[*] Імітація завантаження вантажу через PowerShell..." -ForegroundColor Yellow powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Імітація завантаження шкідливого вантажу...'" # 2. Імітація розвідки на базі CMD (T1059.003) Write-Host "[*] Імітація розвідки на базі CMD..." -ForegroundColor Yellow cmd.exe /c "whoami /all" # 3. Імітація виконання Rundll32 (T1218.011) Write-Host "[*] Імітація виконання шкідливої DLL через Rundll32..." -ForegroundColor Yellow rundll32.exe javascript:"alert('Виконання симульованого навантаження Tengu');" Write-Host "[+] Симуляція завершена. Перевірте SIEM на наявність оповіщень." -ForegroundColor Green -
Команди очищення:
# Жодні постійні файли або реєстрові ключі в цій симуляції не змінювались. # Виконані команди є віртуальними процесами. Write-Host "[*] Очищення не потрібне, оскільки постійних артефактів не створено." -ForegroundColor Cyan