Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Троянізований інсталятор EmEditor був використаний для поширення багатоступеневого ланцюга зловмисного програмного забезпечення. Компрометований інсталятор завантажує PowerShell-скрипти з доменів, контрольованих атакуючими, а потім отримує наступні завантаження, які збирають облікові дані, деталі хосту та середовища, а також ексфільтрують результати. Механізм доставки співпадає з технікою “водопій”, коли шлях завантаження у постачальника компрометується, щоб дістатися до користувачів, які шукають легальне програмне забезпечення.
Розслідування
Аналіз виявив, що пакет MSI було змінено для запуску вбудованої команди PowerShell, яка зв’язувалася зі сфальсифікованими доменами з тематикою EmEditor. Початковий скрипт потім завантажував дві додаткові стадії, відповідальні за антианалізну поведінку, крадіжку облікових даних та фіксацію системи, перед тим як переслати зібрані дані на сервер командного управління. Розслідування задокументувало конкретні індикатори, включаючи унікальні рядки і специфічні URL-адреси, що використовувалися в ланцюзі виконання.
Пом’якшення
Перевірте цілісність інсталяційного файлу, використовуючи перевірку підпису коду постачальника та перевірку хешів перед розгортанням. Застосуйте суворі контролі та моніторинг PowerShell, і спостерігайте за поведінкою, пов’язаною з відключенням ETW або іншого телеметрії. Впровадьте фільтрацію мережі для виявлених зловмисних доменів і сповіщайте про аномальну вихідну HTTPS-активність.
Реагування
Полюйте на командний рядок PowerShell, що згадує зловмисні домени, блокуйте відповідні URL/домени, ізолюйте постраждалі кінцеві точки та зберігайте судово-медичні артефакти, такі як змінений MSI. Проведіть огляд ланцюга поставок для робочого процесу розповсюдження постачальника та координуйте повідомлення користувачів і надання рекомендацій з усунення.
“graph TB %% Class definitions classDef technique fill:#ffcc99 classDef file fill:#e6e6fa classDef command fill:#add8e6 classDef server fill:#ffd700 classDef tool fill:#d3d3d3 %% Technique nodes tech_T1195[“<b>Техніка</b> – T1195 Компрометація ланцюга постачання:<br/>Компрометація програмного забезпечення для розповсюдження шкідливого коду.”] class tech_T1195 technique tech_T1199[“<b>Техніка</b> – T1199 Довірчі відносини:<br/>Використання відносин з довіреним постачальником для доставки шкідливого контенту.”] class tech_T1199 technique tech_T1546_016[“<b>Техніка</b> – T1546.016 Виконання, що запускається подією (Пакети встановлення):<br/>CustomAction в MSI запускає скрипт під час виконання встановлення.”] class tech_T1546_016 technique tech_T1059_001[“<b>Техніка</b> – T1059.001 PowerShell:<br/>Виконання команд PowerShell для завантаження та запуску завантажень.”] class tech_T1059_001 technique tech_T1027[“<b>Техніка</b> – T1027 Зашифровані файли або інформація:<br/>Завантаження сильно зашифровані з використанням маніпуляцій рядків та кодування.”] class tech_T1027 technique tech_T1620[“<b>Техніка</b> – T1620 Рефлектуюче завантаження коду:<br/>Зловмисний код завантажується в пам’ять рефлектуючи без запису на диск.”] class tech_T1620 technique tech_T1497[“<b>Техніка</b> – T1497 Віртуалізація/Ухиляння від пісочниці:<br/>Перевірка середовищ аналізу за допомогою логіки на базі користувацької активності та часу.”] class tech_T1497 technique tech_T1218_007[“<b>Техніка</b> – T1218.007 Виконання проксі системного двійкового файлу:<br/>Msiexec використовується як довірений двійковий файл для запуску шкідливого MSI.”] class tech_T1218_007 technique tech_T1555_004[“<b>Техніка</b> – T1555.004 Облікові дані з сховищ паролів:<br/>Витяг збережених облікових даних з Windows Credential Manager.”] class tech_T1555_004 technique tech_T1082[“<b>Техніка</b> – T1082 Виявлення інформації про систему:<br/>Збір деталей ОС, апаратного та програмного забезпечення.”] class tech_T1082 technique tech_T1016_001[“<b>Техніка</b> – T1016.001 Виявлення підключення до Інтернету:<br/>Визначення статусу мережевого підключення.”] class tech_T1016_001 technique tech_T1592_002[“<b>Техніка</b> – T1592.002 Збір інформації про жертву (Програмне забезпечення):<br/>Перелічує встановлені додатки та версії.”] class tech_T1592_002 technique tech_T1102[“<b>Техніка</b> – T1102 Веб-сервіс:<br/>Використовує HTTPS веб-сервіси для керування та контролю комунікації.”] class tech_T1102 technique tech_T1090_002[“<b>Техніка</b> – T1090.002 Проксі Зовнішній проксі:<br/>Трафік маршрутизований через зовнішній проксі-сервер.”] class tech_T1090_002 technique tech_T1070_001[“<b>Техніка</b> – T1070.001 Видалення індикаторів (Очистка журналів Windows):<br/>Вимикає ETW та очищає журнали для приховування активності.”] class tech_T1070_001 technique tech_T1546_013[“<b>Техніка</b> – T1546.013 Виконання, що запускається подією (Профіль PowerShell):<br/>Стійкість через шкідливий скрипт профілю PowerShell.”] class tech_T1546_013 technique tech_T1068[“<b>Техніка</b> – T1068 Експлуатація для підвищення привілеїв:<br/>Можливе використання локальних експлойтів для отримання вищих привілеїв.”] class tech_T1068 technique %% File, tool, command and server nodes file_msi[“<b>Файл</b> – EmEditor.msi:<br/>Компрометований інсталятор MSI, розміщений на сторінці завантаження постачальника.”] class file_msi file tool_msiexec[“<b>Інструмент</b> – Msiexec:<br/>Виконавчий файл Windows Installer, використовується для запуску шкідливого MSI.”] class tool_msiexec tool command_ps[“<b>Команда</b> – PowerShell:<br/>CustomAction запускає PowerShell, що завантажує скрипти через Invoke-WebRequest.”] class command_ps command server_c2[“<b>Сервер</b> – C2 HTTPS:<br/>https://cachingdrive.com/gate/init/2daef8cd”] class server_c2 server %% Connections showing attack flow tech_T1195 u002du002d>|доставляє| file_msi tech_T1199 u002du002d>|завантажує| file_msi file_msi u002du002d>|виконано за допомогою| tool_msiexec tool_msiexec u002du002d>|запускає| tech_T1546_016 tech_T1546_016 u002du002d>|запускає| command_ps command_ps u002du002d>|виконує| tech_T1059_001 command_ps u002du002d>|використовує шифрування| tech_T1027 command_ps u002du002d>|завантажує код рефлектуючи| tech_T1620 command_ps u002du002d>|перевіряє пісочницю| tech_T1497 command_ps u002du002d>|проксі виконання через msiexec| tech_T1218_007 command_ps u002du002d>|витягує облікові дані| tech_T1555_004 command_ps u002du002d>|збирає інформацію про систему| tech_T1082 command_ps u002du002d>|виявляє підключення до інтернету| tech_T1016_001 command_ps u002du002d>|перелічує програмне забезпечення| tech_T1592_002 command_ps u002du002d>|спілкується з| server_c2 server_c2 u002du002d>|використовує| tech_T1102 server_c2 u002du002d>|направляє через| tech_T1090_002 command_ps u002du002d>|очищує журнали| tech_T1070_001 command_ps u002du002d>|встановлює стійкість| tech_T1546_013 command_ps u002du002d>|може викликати| tech_T1068 “
Потік атаки
Детекції
Завантаження або вивантаження через Powershell (через cmdline)
Перегляд
Можливий проект NoMSbuild (через powershell)
Перегляд
Виклик підозрілих методів .NET з Powershell (через powershell)
Перегляд
Підозрілі рядки Powershell (через powershell)
Перегляд
Зловмисне спілкування EmEditor з сервером C&C та фіксація системи [Windows Network Connection]
Перегляд
Виявлення зловмисних команд PowerShell, що націлені на користувачів EmEditor [Windows Powershell]
Перегляд
Виявлено підозрілу діяльність у компрометованому інсталяторі EmEditor [Windows Створення процесу]
Перегляд
Виконання симуляції
Передумови: перевірка телеметрії та базового рівня повинні пройти.
Обґрунтування: Цей розділ детально описує точне виконання техніки зловмисника (TTP), призначеної для запуску правила детекції. Команди та опис повинні безпосередньо відображати виявлені ТТр та спрямовуватися на генерацію тієї самої телеметрії, яку очікує логіка детекції.
-
Оповідь атаки та команди:
Зловмисник компрометував офіційний інсталяційний пакет EmEditor. Після запуску інсталятора жертвою, шкідливий виконуваний файл звертається до закодованого домену C2cachingdrive.com/gate/init/2daef8cd. Цей вихідний запит завантажує вторинне навантаження, яке підвищує привілеї та викрадає облікові дані. Атакуючий використовує стандартну командну лінію Windows (cmd.exe) для запуску інсталятора, забезпечуючи, щоб зловмисний URL-адрес з’являвся у процесі створення події, що відповідає умові шуканої рядки правила Sigma. -
Скрипт регресійного тестування:
# -------------------------------------------------------------- # Імітація зловмисного виконання компрометованого інсталятора EmEditor # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" $maliciousUrl = "https://cachingdrive.com/gate/init/2daef8cd" # Переконайтеся, що інсталятор існує (заповнювач – у реальному тесті, скопіюйте безпечний exe) if (-not (Test-Path $installerPath)) { Write-Error "Інсталятор не знайдено за адресою $installerPath" exit 1 } # Виконайте інсталятор з зловмисним аргументом Write-Host "[*] Запуск компрометованого інсталятора..." Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait Write-Host "[+] Виконання завершено. Перевірте, чи спрацювало правило детекції." # -------------------------------------------------------------- -
Команди очищення:
# -------------------------------------------------------------- # Видалення будь-яких артефактів, залишених симульованим тестом # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "[*] Видалено бінарний файл інсталятора." } # (Опціонально) Видаліть завантажені навантаження, якщо вони були матеріалізовані $downloadedPath = "$env:TEMPpayload.bin" if (Test-Path $downloadedPath) { Remove-Item $downloadedPath -Force Write-Host "[*] Видалено завантажене зловмисне навантаження." } # --------------------------------------------------------------