Безкоштовне програмне забезпечення для конвертації – Перетворення будь-якої системи з чистої на інфіковану за секунди
Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Кампанії з шкідливою рекламою на легітимних сайтах просувають фальшиві «конвертори», які виглядають безпечно, але встановлюють у фоновому режимі стійке шкідливе програмне забезпечення для віддаленого доступу. Після виконання, інсталятор зазвичай розміщує компоненти бекдора у %LocalAppData% та створює заплановані завдання, які безперервно запускають шкідливе завантаження, забезпечуючи зловмиснику доступ після перезавантаження системи. Операція базується на ротаційному наборі доменів-дублікатів, підписаних (але шкідливих) бінарних файлів та простому робочому процесі командування та управління на базі HTTP. Захисники можуть звернути увагу на виявлення аномальних запланованих завдань, підозрілого виконання з шляхів, доступних для запису користувачем, та вихідного трафіку на виявлену інфраструктуру C2.
Розслідування
Дослідники відтворили шлях інфікування від шкідливої реклами на Google до сторінок посадки, розміщених на підроблених доменах, таких як pokemoninfinitefusion.net, convertyfileapp.com та conmateapp.com, які зрештою доставляють фінальні завантаження. Доставлені бінарні файли є виконуваними файлами .NET, підписаними вкраденими сертифікатами, і вони встановлюють настройку, створюючи заплановане завдання, яке запускає UpdateRetriever.exe з %LocalAppData%. Телеметрія показала, що шкідливе ПЗ періодично звертається до confetly.com для отримання оновлень або інструкцій. Аналітики також підтвердили пов’язані артефакти файлової системи та конфігурації, включаючи маркер id.txt та визначення запланованого завдання, що використовується для збереження бекдора активним.
Пом’якшення
Увімкніть та реалізуйте ведення журналу для створення запланованих завдань (ідентифікатор події безпеки 4698) та телеметрії модифікації реєстру (наприклад, Sysmon Event ID 13). Зменшіть ризик виконання, блокуючи або жорстко контролюючи запуски процесів з %LocalAppData%, використовуючи AppLocker або WDAC, і повідомляйте про заплановані завдання, які вказують на каталоги, доступні для запису користувача. Розглядайте підозрілі або ново виявлені сертифікати підпису коду як високий ризик — скасуйте або заблокуйте їх, якщо можливо — та додайте контроль домену для відомої шкідливої інфраструктури. На мережевому рівні розгорніть виявлення діяльності вихідного потоку HTTP на confetly.com і пов’язані шаблони URL та розгляньте можливість запобігання прямого трафіку в Інтернет з робочих станцій користувачів, коли це доцільно.
Реакція
Коли виявлено підозріле заплановане завдання або коли спостерігаються виконувані файли, що працюють з %LocalAppData%, ізолюйте кінцеву точку та збережіть докази (XML завдання, розміщені бінарні файли та відповідні проксі/DNS-журнали). Негайно блокувати confetly.com та будь-яку пов’язану інфраструктуру, щоб перервати командування та контроль. Видаліть шкідливе заплановане завдання, знищте артефакти завантаження та проведіть повну відновлювальну роботу на кінцевій точці, щоб підтвердити, що не залишилося жодної вторинної стійкості. Нарешті, проведіть пошук всередині підприємства за тими ж індикаторами (імена/шляхи завдань, UpdateRetriever.exe, id.txt та зазначені домени) для оцінки додаткових уражених систем.
graph TB %% Class Definitions classDef technique fill:#c2e0ff classDef operator fill:#ffcc66 %% Nodes – Techniques initial_access[“<b>Техніка</b> – <b>T1659 Шкідлива реклама</b><br/><b>Опис</b>: Зловмисник використовує шкідливі онлайн-оголошення для доставки шкідливого контенту жертвам шляхом інʼєкції контенту.”] class initial_access technique user_execution[“<b>Техніка</b> – <b>T1204 Виконання користувачем</b><br/><b>Опис</b>: Жертва вручну натискає на шкідливу рекламу та запускає завантажений пейлоад.”] class user_execution technique dropper[“<b>Техніка</b> – <b>T1036.001 Маскування: недійсний цифровий підпис</b><br/><b>Опис</b>: Підписаний виконуваний файл-конвертер маскується під легітимний інструмент, обходячи механізми довіри.”] class dropper technique subvert_trust[“<b>Техніка</b> – <b>T1553 Підрив механізмів довіри</b><br/><b>Опис</b>: Підписаний бінарний файл обходить механізми безпеки, що базуються на довірі до цифрового підпису.”] class subvert_trust technique powershell[“<b>Техніка</b> – <b>T1059.001 PowerShell</b><br/><b>Опис</b>: Запускається PowerShell-скрипт для створення запланованого завдання з метою закріплення.”] class powershell technique scheduled_task[“<b>Техніка</b> – <b>T1053 Заплановане завдання</b><br/><b>Опис</b>: Створюється заплановане завдання для регулярного запуску виконуваного файлу UpdateRetriever.”] class scheduled_task technique persistence[“<b>Техніка</b> – <b>T1053 Заплановане завдання (Закріплення)</b><br/><b>Опис</b>: Заплановане завдання забезпечує довготривале виконання шкідливого оновлювача.”] class persistence technique c2_https[“<b>Техніка</b> – <b>T1071.001 Веб-протоколи</b><br/><b>Опис</b>: Трафік керування та управління передається через HTTPS із використанням стандартних веб-протоколів.”] class c2_https technique compression[“<b>Техніка</b> – <b>T1027.015 Архівація через утиліти</b><br/><b>Опис</b>: Пейлоади зберігаються у ZIP-архівах для обходу виявлення.”] class compression technique %% Operator Node (AND logic) op_and((“AND”)) class op_and operator %% Connections – Flow initial_access –>|leads_to| user_execution user_execution –>|delivers| dropper dropper –>|uses| subvert_trust dropper –>|stores_payloads_in| compression dropper –>|executes| powershell powershell –>|creates| scheduled_task scheduled_task –>|enables| persistence persistence –>|communicates_with| c2_https
Потік Атаки
Detections
Possible Defense Evasion Activity By Suspicious Use of Wevtutil (via cmdline)
View
Suspicious Scheduled Task (via audit)
View
Scheduled Task via COM Object (via powershell)
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 7
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 5
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 6
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 4
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 1
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 3
View
IOCs (HashSha256) to detect: Free Converter Software – Convert Any System from Clean to Infected in Seconds Part 2
View
Індикатори компрометації (HashSha1) для виявлення: Безкоштовне програмне забезпечення для конвертації – перетворіть будь-яку систему з чистої на інфіковану за секунди
View
Зміна реєстру запланованих завдань для стійкості шкідливого ПЗ [Подія реєстру Windows]
View
Виявлення створення запланованого завдання для стійкості шкідливого ПЗ [Журнал безпеки Microsoft Windows]
View
Виявлення шкідливого навантаження ConvertMate та створення файлів UUID [Подія файлової системи Windows]
View
Simulation Execution
Prerequisite: The Telemetry & Baseline Pre‑flight Check must have passed.
Rationale: This section details the precise execution of the adversary technique (TTP) designed to trigger the detection rule. The commands and narrative MUST directly reflect the TTPs identified and aim to generate the exact telemetry expected by the detection logic.
-
Опис атаки та команди:
Атака, яка вже отримала локальний доступ до системи, бажає підтримувати стійкість після перезавантаження. Вони вирішують зловживати реєстровою базою планувальника завдань Windows, оскільки це метод «життя на поверхні», який уникає створення нових виконуваних файлів. Використовуючиreg.exe, вони додають нове визначення завдання безпосередньо підTaskCacheTasksвуликом, що вказує на шкідливе завантаження, розміщене в%LocalAppData%. Цей запис генерує Event 13 з Sysmon зRegistryPath, що відповідає правилам селектора, викликаючи спрацьовування оповіщення. -
Regression Test Script:
# ------------------------------------------------------------------------- # Сценарій PowerShell для симуляції стійкості запланованого завдання T1547.014 / T1574.014 # ------------------------------------------------------------------------- # Змінні $taskGuid = [guid]::NewGuid().ToString("B").ToUpper() # напр. {A1B2C3D4-...} $payload = "$env:LOCALAPPDATAmalwareevil.exe" $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" # Переконайтеся, що каталог для завантаження існує (симуляція) New-Item -Path (Split-Path $payload) -ItemType Directory -Force | Out-Null # (У реальній атаці шкідливий бінарний файл буде розміщений тут) # Створіть ключ реєстру для запланованого завдання New-Item -Path $regPath -Force | Out-Null # Додайте мінімальні потрібні значення (Task XML був би набагато більшим, ми зберігаємо його простим) New-ItemProperty -Path $regPath -Name "Path" -Value $payload -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "Id" -Value $taskGuid -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "SecurityDescriptor" -Value "O:BAG:SYD:(A;;FA;;;SY)(A;;FA;;;BA)" -PropertyType String -Force | Out-Null Write-Host "[+] Завдання реєстру записано в $regPath – правило виявлення має спрацювати." -
Команди очищення:
# Видаляємо запис реєстру шкідливого запланованого завдання $taskGuid = (Get-ItemProperty -Path "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks*").Id $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" Remove-Item -Path $regPath -Recurse -Force # За бажанням видалити фіктивне завантаження Remove-Item -Path "$env:LOCALAPPDATAmalware" -Recurse -Force Write-Host "[+] Очистка завершена."