Распространённое мнение об усилении кибератак гласит, что злоумышленники становятся всё более продвинутыми и изощрёнными. Многочисленные отчёты по безопасности создают впечатление, что атаки представляют собой гладкое, логичное выполнение заранее подготовленного плана. Однако более глубокий анализ телеметрии EDR (системы предотвращения угроз конечных точек) или журналов событий Windows часто показывает иную картину. Вместо безупречного исполнения сценария, злоумышленники часто экспериментируют, реагируют на внешние факторы и исправляют собственные ошибки.
Описание
Яркой иллюстрацией этого стали три недавних инцидента, расследованных аналитиками компании Huntress. Во всех случаях наблюдались схожие тактики, техники и процедуры (TTP), а также инфраструктура, что указывало на одного и того же актора. Его целью, по-видимому, было создание постоянного доступа (persistence) с помощью конкретного набора инструментов. Исходной точкой компрометации во всех трёх случаях был процесс веб-сервера Microsoft IIS (w3wp.exe), что позволяло выполнять команды на конечной точке.
Первый инцидент: борьба с защитой и упорство
6 ноября была атакована компания из сферы жилой застройки. Анализ журналов показал, что после первоначальной разведки (команды whoami, netstat) злоумышленник попытался с помощью утилиты certutil.exe скачать вредоносный файл agent.exe. Однако Microsoft Defender заблокировал эту команду. Столкнувшись с этим препятствием, актор изменил подход: на конечную точку был доставлен файл 815.exe, написанный на Go, который не детектировался защитным решением. Его запуск потребовал нескольких попыток.
Несмотря на изоляцию заражённой системы, атака продолжилась. Уязвимость на веб-сервере не была оперативно устранена, что позволило злоумышленнику вернуться. 1 декабря была предпринята попытка запуска agent.exe, который сначала был классифицирован как нежелательное приложение (PUA), а через два дня, после обновления Defender, детектирован как "ShellcodeRunner" и помещён в карантин. Это не остановило атакующих. 8 декабря они вновь получили доступ и развернули на системе переименованную копию легитимного инструмента удалённого управления GotoHTTP.
Второй инцидент: упреждающие действия и новые ошибки
17 ноября была атакована производственная компания. Здесь злоумышленник, судя по всему, учёл опыт предыдущей неудачи. Примерно через 30 секунд после запуска test.exe (который оказался тем же agent.exe, идентифицированным как SparkRAT) были выполнены серии команд PowerShell. Эти команды добавляли исключения в Microsoft Defender для ключевых путей и расширений файлов, чтобы предотвратить блокировку вредоносного ПО.
Затем актор скопировал agent.exe под именем dllhost.exe в системную папку, скрыл файл с помощью attrib.exe и попытался зарегистрировать его как службу Windows с именем WindowsUpdate для обеспечения постоянного доступа. Однако эта служба не смогла запуститься, что зафиксировали журналы Service Control Manager. Анализ логов веб-сервера показал, что активность началась днём ранее с IP-адреса 188.253.126[.]202, который также фигурировал в первом инциденте.
Третий инцидент: повторение сценария
25 ноября произошла атака на организацию в сфере общих услуг. Сценарий практически полностью повторил второй инцидент: те же команды на добавление исключений в Defender, те же исполняемые файлы и та же неудачная попытка запуска вредоносной службы для обеспечения постоянного доступа. Предшествующая активность в логах веб-сервера также была зафиксирована.
Выводы для защитников
Эти три случая демонстрируют общие черты в инфраструктуре и методах одной группы злоумышленников. Однако их поведение не было линейным и предопределённым. В первом инциденте актор не пытался отключить защиту, а просто менял инструменты при столкновении с препятствиями. Во втором и третьем случаях, предположительно извлекая урок из прошлого, он стал упреждающе настраивать исключения в Microsoft Defender. Тем не менее, это не привело к полному успеху из-за ошибок в реализации механизма постоянного доступа.
Индустрия часто говорит, что тактики угроз постоянно эволюционируют. Пристальное наблюдение за несколькими инцидентами показывает, что иногда эти изменения действительно связаны с уроками, извлечёнными из предыдущих неудач. В других случаях злоумышленники могут упорно использовать одни и те же методы, даже если они не работают. Для специалистов по защите понимание конкретных препятствий, с которыми сталкиваются атакующие, и их реакций на эти препятствия даёт ценное представление о том, как противостоять их поведению. Это особенно важно, поскольку они часто возвращаются и пытаются атаковать снова, демонстрируя заметное упорство даже перед лицом неудач.
Индикаторы компрометации
IPv4
- 103.36.25.169
- 103.36.25.171
- 110.172.104.95
- 188.253.121.101
- 188.253.126.202
- 188.253.126.205
SHA256
- 272de450450606d3c71a2d97c0fcccf862dfa6c76bca3e68fe2930d9decb33d2
- 66a28bd3502b41480f36bd227ff5c2b75e0d41900457e5b46b00602ca2ea88cf
- 909460d974261be6cc86bbdfa27bd72ccaa66d5fa9cbae7e60d725df13d7e210
