Зловмисне програмне забезпечення, замасковане під відеофайли з використанням інструментів RMM (Syncro, SuperOps, NinjaOne і т.д.)
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники використовують шкідливі PDF-файли у якості приманки, щоб перенаправляти користувачів на підроблені сторінки Google Drive, які рекламують завантаження “відео”. Замість медіафайлів сайти надають підписані RMM-інсталяційні пакети, включаючи такі інструменти, як Syncro, ScreenConnect, NinjaOne та SuperOps, які забезпечують зловмисникам надійний віддалений доступ та постійність на компрометованих кінцевих точках.
Розслідування
AhnLab спостерігали фішинг-активність на основі PDF з використанням імен файлів, таких як Invoice_Details.PDF, та перенаправленням жертв на домени, такі як adobe-download-pdf.com або подібний до drivegoogle.com портал. Доставлені RMM-інсталяційні пакети були підписані повторно використаним сертифікатом та мали параметри установки (наприклад, ключ та ID клієнта), які відповідали стадійним або автоматизованим розгортанням. Інсталятори були створені з використанням загальних пакетних фреймворків, таких як Advanced Installer чи NSIS і в деяких випадках служили завантажувачами для отримання додаткових корисних навантажень після виконання.
Захист
Обмежте або заблокуйте виконання неавторизованих RMM-інструментів, включаючи бінарні файли, які не підписані або неочікувано підписані, та введіть жорсткіші контроли для встановлення програм віддаленого доступу. Застосуйте сувору перевірку прикріплень електронної пошти для виявлення PDF-приманок та підозрілої поведінки перенаправлення, блокуйте відомі шкідливі домени на шлюзі та проксі-рівнях. Підтверджуйте підписи коду та деталі видавця перед дозволом на встановлення, тримайте схвалені RMM-продукти оновленими та обмежуйте їх використання лише до авторизованих адміністраторів.
Відповідь
Сповіщайте, коли RMM-інсталяційні пакети виконуються з ненадійних джерел та коли кінцеві точки отримують доступ до визначених імен файлів, URL або схем перенаправлення. Ізолюйте уражені хости, збирайте артефакти інсталяції та телеметрію виконання, та проводьте судову тріаж для виявлення будь-яких вторинних корисних навантажень, завантажених після встановлення. Видаліть підозрілий RMM-агент, скиньте потенційно скомпрометовані облікові дані та розширте полювання на спроби розгортання RMM по всьому середовищу.
Потік Атаки
Виявлення
Можлива Спроба Встановлення RMM Програмного Забезпечення Використанням MsiInstaller (через журнали додатків)
Переглянути
Альтернативне Програмне Забезпечення Віддаленого Доступу / Управління (через систему)
Переглянути
Альтернативне Програмне Забезпечення Віддаленого Доступу / Управління (через аудит)
Переглянути
Альтернативне Програмне Забезпечення Віддаленого Доступу / Управління (через створення процесу)
Переглянути
Можлива Активність Командного та Контрольного Центру Через Спробу Комунікації З Домейном Програмного Забезпечення Віддаленого Доступу (через DNS)
Переглянути
IOC (HashMd5) для виявлення: Зловмисне Програмне Забезпечення Замасковане під Відеофайли з Використанням RMM Засобів (Syncro, SuperOps, NinjaOne тощо)
Переглянути
Зловмисне Використання RMM Засобів через PDF Фішинг [Створення Процесу Windows]
Переглянути
Виконання Симуляції
Передумова: Повинна пройти Телеметрія та Перевірка Поточного Стану.
Обґрунтування: Цей розділ детально описує точне виконання техніки зловмисника (TTP), розробленої для активації правила виявлення. Команди та наратив МАЮТЬ точно відображати ідентифіковані TTPs і мати на меті згенерувати очікувану телеметрію, відповідну логіці виявлення. Абстрактні або не пов’язані приклади приведуть до помилкової діагностики.
-
Наратив Атаки та Команди:
-
Доставка Фішингу: Зловмисник відправляє спірфішинговий електронний лист зі шкідливим PDF під назвою “Invoice #12345.pdf”. PDF містить шкідливе JavaScript навантаження, яке відкривши, зберігає
Syncro.exeв%TEMP%. -
Виконання: Корисне навантаження запускає команду PowerShell для обходу політики виконання та запуску бінарника:
powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'" -
Отримання Телеметрії: Windows фіксує подію ID 4688 з
Image = C:Users<user>AppDataLocalTempSyncro.exe, відповідаючи правилу Sigma зImage|endswith: 'Syncro.exe'. Попередження генерується з Високою серйозністю.
-
-
Скрипт Тесту Регресії: Наступний скрипт відтворює точну поведінку в контрольованому середовищі. Він копіює відомий RMM бінарний файл (для тестових цілей) в тимчасову директорію та виконує його з безпечним прапором, забезпечуючи отримання тієї ж події створення процесу.
# ------------------------------------------------- # Симуляційний Скрипт – Активувати Правило Процесу RMM-Засобу # ------------------------------------------------- # Передумови: # - Копія Syncro.exe розміщена у C:Tools (легітимний бінарний файл для тестування) # - Адміністративні права для запису в %TEMP% # ------------------------------------------------- $src = "C:ToolsSyncro.exe" $dest = "$env:TEMPSyncro.exe" Write-Host "[*] Копіювання RMM бінарного файлу в тимчасове місце розташування..." Copy-Item -Path $src -Destination $dest -Force Write-Host "[*] Виконання бінарного файлу для генерування телеметрії створення процесу..." Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden Write-Host "[+] Виконання завершено. Перевірте виявлення у SIEM." # ------------------------------------------------- -
Команди Очищення: Видаліть тестовий бінарний файл та заверште будь-які залишкові процеси.
# Завершити будь-які залишкові процеси Syncro Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force # Видалити тимчасову копію Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Очищення завершено."