SOC Prime Bias: Критичний

30 Apr 2026 17:21

Profero | Rapid-IR

WindowsAudit Backdoor: всередині .NET RAT, що ховається в Discord

Ruslan Mikhalov Керівник досліджень загроз у SOC Prime

Стежити

WindowsAudit Backdoor: всередині .NET RAT, що ховається в Discord

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Profero IRT виявив бекдор .NET 8 під назвою WindowsAudit.exe , що використовує Discord як основний канал командування та керування, з підтримкою MQTT та Telegram як резервні шляхи зв’язку. Зловмисне ПЗ працює як служба Windows, створює резервну копію себе, встановлює кілька механізмів стійкості, здійснює крадіжку облікових даних, зловживання з Active Directory та дії з уникнення захисту. Воно також налаштовує тунелі WireGuard для підтримки таємного латерального руху в середовищі. Загальна тактика натякає на те, що нападники можуть готуватися до пізнішої стадії з використанням програм-вимагачів.

Розслідування

Дослідники отримали WindowsAudit бінарний файл, підтвердили, що це модульний троянець для віддаленого доступу на C#, та провели реверс-інженіринг вбудованого компонента DLL. Їх аналіз деталізував техніки стійкості зловмисного ПЗ, архітектуру зв’язку, можливості крадіжки облікових даних та методи уникнення, зокрема AMSI та ETW. Команда також дослідила пов’язаний крапляч, названий WinSATSvc, який, ймовірно, був розроблений для відновлення зловмисного ПЗ у разі видалення. З цієї роботи дослідники витягнули набір індикаторів компрометації для підтримки пошуку та виявлення.

Пом’якшення

Рекомендовані виявлення включають моніторинг створення WindowsAudit служби, пов’язані з Run ключами, GlobalWindowsAuditSingleInstance мютекса та підозрілі запуски Add-MpPreference методами. Захисникам слід також блокувати або попереджати про TLS-трафік на Discord і інфраструктуру HiveMQ, а також стежити за змінами safe-boot у bcdedit та створенням підозрілих запланованих завдань. Будь-яка конфігурація тунелю WireGuard, пов'язана із зловмисним ПЗ, має бути видалена, а всі механізми стійкості, встановлені бекдором, мають бути відключені. safe-boot changes and suspicious scheduled task creation. Any WireGuard tunnel configuration tied to the malware should be removed, and all persistence mechanisms established by the backdoor should be disabled.

Реагування

Організаціям слід негайно шукати опубліковані індикатори компрометації, ізолювати уражені системи та зупинити WindowsAudit службу. Слід зібрати образи пам’яті та диска для судово-медичної експертизи, вилучити зловмисні бінарні файли та скинути будь-які скомпрометовані облікові дані. Командам безпеки також слід переконатися, що неавторизовані виключення EDR були видалені, підтвердити, що зміни конфігурації режиму безпеки були скасовані, і продовжувати моніторинг на предмет повторної інсталяції або відновлення компонентів зловмисного ПЗ.

"graph TB %% Визначення класів classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#99ff99 classDef operator fill:#ff9900 %% Вузли u2013 Техніки та Інструменти exploit_remote_services["Техніка – T1210 Використання віддалених сервісів Копіювати зловмисний бінарний файл на віддалені хости через SMB і запускати його з sc.exe"] class exploit_remote_services technique lateral_smb["Техніка – T1080 Латеральний рух через спільний контент Розповсюджувати через SMB і виконувати віддалені команди"] class lateral_smb technique wmi_event_sub["Техніка – T1546.003 Підписка на події Windows Management Instrumentation Реєстрація події WMI, яка викликає корисне навантаження для стійкості"] class wmi_event_sub technique scheduled_task["Техніка – T1053 Заплановане завдання/робота Створіть завдання, яке працює в безпечному режимі, щоб видалити EDR і переу2011озброїти зловмисне ПЗ після перезавантаження"] class scheduled_task technique defender_exclusion["Техніка – T1564.012 Сховати артефакти: виключення файлових шляхів Додати виключення Windows Defender для шляху інсталяції та виконуваного файлу"] class defender_exclusion technique safe_mode_boot["Техніка – T1562.009 Завантаження в безпечному режимі Завантажиться в безпечному режимі, щоб перевстановити компоненти"] class safe_mode_boot technique vpn_proxy["Техніка – T1090 Проксі та T1572 Тунелювання протоколу Розгорніть WireGuard VPN і SOCKS5 проксі для тунелювання трафіку"] class vpn_proxy technique c2_discord["Техніка – T1102.002 Веб-сервіс: Discord Використовуйте Discord як основний канал командування та контролю"] class c2_discord technique c2_mqtt["Техніка – T1102 Веб-сервіс (MQTT) Вторинний C2 через MQTT брокер"] class c2_mqtt technique c2_fallback["Техніка – T1008 Канали резервного копіювання Переключитися на MQTT або Telegram, коли Discord недоступний"] class c2_fallback technique rat["Зловмисне ПЗ – Інструмент віддаленого доступу (RAT)"] class rat malware os_cred_dump["Техніка – T1003 Зйомка облікових даних ОС Знімати пам’ять LSASS за допомогою MiniDumpWriteDump"] class os_cred_dump technique shadow_copy["Техніка – T1003.007 Копія тіні тома Вилучати SAM і SYSTEM вулики через тіньові копії"] class shadow_copy technique browser_passwords["Техніка – T1555.003 Облікові дані з веб-браузерів Розшифрувати збережені паролі за допомогою DPAPI"] class browser_passwords technique cred_manager["Техніка – T1555.004 Облікові дані з Менеджера облікових даних Windows Вилучати збережені облікові дані"] class cred_manager technique golden_ticket["Техніка – T1558.001 Золотий квиток Створити підроблений Kerberos TGT для адміністратора домену"] class golden_ticket technique silver_ticket["Техніка – T1558.002 Срібний квиток Підробляти сервіси квитки для цільових сервісів"] class silver_ticket technique pass_hash["Техніка – T1550.002 Передача гешу Повторно використовувати NTLM геш для аутентифікації"] class pass_hash technique pass_ticket["Техніка – T1550.003 Передача квитка Повторно використовувати Kerberos квиток для латерального руху"] class pass_ticket technique dc_sync["Техніка – T1003.006 DCSync Примусити контролер домену до реплікації даних облікових даних"] class dc_sync technique dc_auth["Техніка – T1556.001 Аутентифікація контролера домену Змінити процес аутентифікації на DC"] class dc_auth technique process_hollowing["Техніка – T1055.012 Процес Hollowing Інжектувати код в підвищений процес"] class process_hollowing technique apc_injection["Техніка – T1055.004 Асинхронний виклик процедури Інжектувати код через APC"] class apc_injection technique clear_event_logs["Техніка – T1070.001 Очистка журналів подій Windows Видалити докази діяльності"] class clear_event_logs technique screen_capture["Техніка – T1113 Зйомка екрану Зняти знімки екрану"] class screen_capture technique video_capture["Техніка – T1125 Запис відео Записати відео робочого столу"] class video_capture technique audio_capture["Техніка – T1123 Запис аудіо Записувати звук мікрофона"] class audio_capture technique keylogging["Техніка – T1056.001 Кейлогінг Записувати натискання клавіш"] class keylogging technique exfil_discord["Техніка – T1041 Екфільтрація через канал командування та контролю Завантажити дані як вкладення Discord"] class exfil_discord technique exfil_mqtt["Техніка – T1041 Екфільтрація через канал командування та контролю Відправити дані через MQTT повідомлення"] class exfil_mqtt technique %% Логічні оператори (необов’язково) op_and1(("AND")) class op_and1 operator %% Зв’язки u2013 Потік атаки exploit_remote_services –>|копіює бінарний через SMB| lateral_smb lateral_smb –>|виконує віддалену команду з sc.exe| wmi_event_sub wmi_event_sub –>|забезпечує стійкість| scheduled_task scheduled_task –>|працює в безпечному режимі| safe_mode_boot safe_mode_boot –>|перевслужває зловмисне ПЗ| vpn_proxy vpn_proxy –>|тунелює трафік| c2_discord c2_discord –>|основний канал керування| rat rat –>|збирає облікові дані| os_cred_dump os_cred_dump –>|отримує LSASS дамп| shadow_copy os_cred_dump –>|подрібнює| browser_passwords os_cred_dump –>|подрібнює| cred_manager os_cred_dump –>|включає| golden_ticket os_cred_dump –>|включає| silver_ticket golden_ticket –>|забезпечує доступ адміністратора домену| pass_hash silver_ticket –>|надає доступ до сервісу| pass_ticket rat –>|використовує| pass_hash rat –>|використовує| pass_ticket rat –>|використовує| dc_sync rat –>|використовує| dc_auth rat –>|підвищує через| process_hollowing rat –>|підвищує через| apc_injection rat –>|очищує журнали| clear_event_logs rat –>|знімає| screen_capture rat –>|знімає| video_capture rat –>|знімає| audio_capture rat –>|знімає| keylogging screen_capture –>|екфільтрує через| exfil_discord video_capture –>|екфільтрує через| exfil_discord audio_capture –>|екфільтрує через| exfil_discord keylogging –>|екфільтрує через| exfil_discord exfil_discord –>|запасний на випадок| exfil_mqtt c2_discord –>|запасний на випадок| c2_fallback c2_fallback –>|використовує| c2_mqtt c2_mqtt –>|отримує екфільтровані дані| exfil_mqtt "

Потік Атаки

Виявлення

Можливі точки стійкості [ASEPs – Реєстр/NTUSER Hive] (через registry_event)

Команда SOC Prime

30 квітня 2026

Переглянути

Можлива спроба зв’язку з доменами за IP (через dns)

Команда SOC Prime

30 квітня 2026

Переглянути

Підозрілі виконання Bcdedit (через cmdline)

Команда SOC Prime, Нейт Гуадженті

29 квітня 2026

Переглянути

Підозрілі зміни параметрів Windows Defender (через powershell)

Команда SOC Prime

29 квітня 2026

Переглянути

Можливе зловживання Discord як C2 каналу (через dns_query)

Команда SOC Prime

29 квітня 2026

Переглянути

Виявлення єдиного інстансу Mutex WindowsAudit RAT [Windows Sysmon]

Правила AI від SOC Prime

29 квітня 2026

Переглянути

Канал командування та контролю бекдора WindowsAudit [Підключення до мережі Windows]

Правила AI від SOC Prime

29 квітня 2026

Переглянути

Виявлення бекдора WindowsAudit та пов’язаних з ним дій [Створення процесу Windows]

Правила AI від SOC Prime

29 квітня 2026

Переглянути

Виконання Симуляції

Передумова: Перевірка телеметрії та базовий політний тест повинен пройти.

Аргументація: Цей розділ детально описує точне виконання техніки супротивника (TTP), призначене для запуску правила виявлення. Команди та наратив МАЮТЬ прямо відбивати TTPs, що ідентифіковані, та мають на меті генерувати точний телеметричний сигнал, що очікується логікою виявлення. Абстрактні або неконкретні приклади призведуть до неправильної діагностики.

Атака – Наратив та команди:
Зловмисник розгорнув бекдор WindowsAudit на хості жертви. Для отримання команд бекдор виконує DNS-запити до Discord CDN (gateway.discord.gg) та до зловмисного MQTT брокера, розміщеного на *.hivemq.cloud. Ці запити виконуються через нативні API Windows (жодні зовнішні інструменти), щоб залишатися малопомітними. DNS-запити є єдиним спостережуваним артефактом, який використовується сигма-правилом для виявлення.

Сценарій регресійного тестування:

# Сімуляція маяка DNS WindowsAudit C2
# Генерує точні DNS-запити, які спостерігає правил Sigma.

$c2Endpoints = @(
    "gateway.discord.gg",
    "malicious1.hivemq.cloud",
    "malicious2.hivemq.cloud"
)

foreach ($fqdn in $c2Endpoints) {
    try {
        # Використовуйте нативний DNS-резольвер Windows
        Resolve-DnsName -Name $fqdn -Type A -ErrorAction Stop | Out-Null
        Write-Host "[+] Запит $fqdn"
    } catch {
        Write-Warning "Не вдалося вирішити $fqdn (імітація C2)"
    }
    Start-Sleep -Seconds 5   # імітує реалістичний інтервал маяка
}

Команди очищення:

# Очистьте DNS-кеш, щоб видалити сліди симульованих запитів
ipconfig /flushdns
Write-Host "[*] Кеш DNS очищено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно