Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники використовують шкідливі PDF-файли у якості приманки, щоб перенаправляти користувачів на підроблені сторінки Google Drive, які рекламують завантаження “відео”. Замість медіафайлів сайти надають підписані RMM-інсталяційні пакети, включаючи такі інструменти, як Syncro, ScreenConnect, NinjaOne та SuperOps, які забезпечують зловмисникам надійний віддалений доступ та постійність на компрометованих кінцевих точках.
Розслідування
AhnLab спостерігали фішинг-активність на основі PDF з використанням імен файлів, таких як Invoice_Details.PDF, та перенаправленням жертв на домени, такі як adobe-download-pdf.com або подібний до drivegoogle.com портал. Доставлені RMM-інсталяційні пакети були підписані повторно використаним сертифікатом та мали параметри установки (наприклад, ключ та ID клієнта), які відповідали стадійним або автоматизованим розгортанням. Інсталятори були створені з використанням загальних пакетних фреймворків, таких як Advanced Installer чи NSIS і в деяких випадках служили завантажувачами для отримання додаткових корисних навантажень після виконання.
Захист
Обмежте або заблокуйте виконання неавторизованих RMM-інструментів, включаючи бінарні файли, які не підписані або неочікувано підписані, та введіть жорсткіші контроли для встановлення програм віддаленого доступу. Застосуйте сувору перевірку прикріплень електронної пошти для виявлення PDF-приманок та підозрілої поведінки перенаправлення, блокуйте відомі шкідливі домени на шлюзі та проксі-рівнях. Підтверджуйте підписи коду та деталі видавця перед дозволом на встановлення, тримайте схвалені RMM-продукти оновленими та обмежуйте їх використання лише до авторизованих адміністраторів.
Відповідь
Сповіщайте, коли RMM-інсталяційні пакети виконуються з ненадійних джерел та коли кінцеві точки отримують доступ до визначених імен файлів, URL або схем перенаправлення. Ізолюйте уражені хости, збирайте артефакти інсталяції та телеметрію виконання, та проводьте судову тріаж для виявлення будь-яких вторинних корисних навантажень, завантажених після встановлення. Видаліть підозрілий RMM-агент, скиньте потенційно скомпрометовані облікові дані та розширте полювання на спроби розгортання RMM по всьому середовищу.
“graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffdd99 classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#dddddd %% Node definitions attack_phishing[“<b>Дія</b> – <b>T1566.001 Спірфішинг Прикріплення</b><br />Жертва отримує електронний лист зі шкідливим PDF-додатком”] class attack_phishing action file_pdf[“<b>Файл</b> – <b>T1204.002 Виконання Користувачем</b><br />Шкідливий PDF відкрито жертвою”] class file_pdf file page_masquerade[“<b>Дія</b> – <b>T1036.008 Маскування</b><br />PDF перенаправляє на підроблену сторінку Google Drive”] class page_masquerade action installer_signed[“<b>Файл</b> – <b>T1553.002 Підрив Контролю Довіри</b><br />Установник підписаний легітимним на вигляд сертифікатом”] class installer_signed file exe_masquerade[“<b>Файл</b> – <b>T1036.001 Маскування</b><br />Установник маскується під валідний виконуваний файл”] class exe_masquerade file nsis_payload[“<b>Зловмисне програмне забезпечення</b> – <b>T1027.009 Вбудовані Корисні Навантаження</b><br />Пакет NSIS вбудовує додаткові зловмисні компоненти”] class nsis_payload malware rmm_tool[“<b>Інструмент</b> – <b>T1219 Програмне Забезпечення Віддаленого Доступу</b><br />Встановлено Syncro / NinjaOne / SuperOps / ScreenConnect”] class rmm_tool tool remote_desktop[“<b>Процес</b> – <b>T1219.002 Віддалений Робочий Стіл</b><br />Забезпечує можливості віддаленого робочого столу для зловмисника”] class remote_desktop process %% Connections showing attack flow attack_phishing u002du002d>|постачає| file_pdf file_pdf u002du002d>|відкриває та запускає| page_masquerade page_masquerade u002du002d>|пропонує завантаження| installer_signed installer_signed u002du002d>|маскується під| exe_masquerade exe_masquerade u002du002d>|містить| nsis_payload nsis_payload u002du002d>|встановлює| rmm_tool rmm_tool u002du002d>|дозволяє| remote_desktop “
Потік Атаки
Виявлення
Можлива Спроба Встановлення RMM Програмного Забезпечення Використанням MsiInstaller (через журнали додатків)
Переглянути
Альтернативне Програмне Забезпечення Віддаленого Доступу / Управління (через систему)
Переглянути
Альтернативне Програмне Забезпечення Віддаленого Доступу / Управління (через аудит)
Переглянути
Альтернативне Програмне Забезпечення Віддаленого Доступу / Управління (через створення процесу)
Переглянути
Можлива Активність Командного та Контрольного Центру Через Спробу Комунікації З Домейном Програмного Забезпечення Віддаленого Доступу (через DNS)
Переглянути
IOC (HashMd5) для виявлення: Зловмисне Програмне Забезпечення Замасковане під Відеофайли з Використанням RMM Засобів (Syncro, SuperOps, NinjaOne тощо)
Переглянути
Зловмисне Використання RMM Засобів через PDF Фішинг [Створення Процесу Windows]
Переглянути
Виконання Симуляції
Передумова: Повинна пройти Телеметрія та Перевірка Поточного Стану.
Обґрунтування: Цей розділ детально описує точне виконання техніки зловмисника (TTP), розробленої для активації правила виявлення. Команди та наратив МАЮТЬ точно відображати ідентифіковані TTPs і мати на меті згенерувати очікувану телеметрію, відповідну логіці виявлення. Абстрактні або не пов’язані приклади приведуть до помилкової діагностики.
-
Наратив Атаки та Команди:
-
Доставка Фішингу: Зловмисник відправляє спірфішинговий електронний лист зі шкідливим PDF під назвою “Invoice #12345.pdf”. PDF містить шкідливе JavaScript навантаження, яке відкривши, зберігає
Syncro.exeв%TEMP%. -
Виконання: Корисне навантаження запускає команду PowerShell для обходу політики виконання та запуску бінарника:
powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'" -
Отримання Телеметрії: Windows фіксує подію ID 4688 з
Image = C:Users<user>AppDataLocalTempSyncro.exe, відповідаючи правилу Sigma зImage|endswith: 'Syncro.exe'. Попередження генерується з Високою серйозністю.
-
-
Скрипт Тесту Регресії: Наступний скрипт відтворює точну поведінку в контрольованому середовищі. Він копіює відомий RMM бінарний файл (для тестових цілей) в тимчасову директорію та виконує його з безпечним прапором, забезпечуючи отримання тієї ж події створення процесу.
# ------------------------------------------------- # Симуляційний Скрипт – Активувати Правило Процесу RMM-Засобу # ------------------------------------------------- # Передумови: # - Копія Syncro.exe розміщена у C:Tools (легітимний бінарний файл для тестування) # - Адміністративні права для запису в %TEMP% # ------------------------------------------------- $src = "C:ToolsSyncro.exe" $dest = "$env:TEMPSyncro.exe" Write-Host "[*] Копіювання RMM бінарного файлу в тимчасове місце розташування..." Copy-Item -Path $src -Destination $dest -Force Write-Host "[*] Виконання бінарного файлу для генерування телеметрії створення процесу..." Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden Write-Host "[+] Виконання завершено. Перевірте виявлення у SIEM." # ------------------------------------------------- -
Команди Очищення: Видаліть тестовий бінарний файл та заверште будь-які залишкові процеси.
# Завершити будь-які залишкові процеси Syncro Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force # Видалити тимчасову копію Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Очищення завершено."