Компании Cybereason удалось обнаружить вредоносную кампанию GhostShell, целью которой является кибершпионаж. Жертвами атак GhostShell становятся телекоммуникационные и аэрокосмические компании многих стран, включая Россию. Злоумышленники осуществляют кражу данных о критических объектах, организационной инфраструктуре и технологиях. 

Одним из основных используемых инструментов является RAT ShellClient, следы сборок которого прослеживаются вплоть до 2018 года, и, судя по текущей структуре и коду, он все еще находится в активной доработке.

https://www.binarydefense.com/wp-content/uploads/2021/10/image.png

Самый ранний отслеживаемый вариант был скомпилирован 6 ноября 2018 года и был специально назван svchost.exe, чтобы он мог маскироваться под законный двоичный файл Windows. Ранние варианты не очень богаты функционалом и техниками сокрытия, в отличие от их преемников.

Более поздние версии маскируются под RuntimeBroker.exe и являются модульной исполняемой (Portable Executable – PE) структурой, использующей Costura Fody архиватор для упаковки каждого из модулей. ShellClient RAT при запуске выполняет одно из следующих действий:

  • установку и запуск вредоносной службы под видом Network Hosts Detection Service – nhdService (для эскалации привилегий до системных);

  • запуск через Service Control Manager (SCM), создание реверс-шелла и коммуникация с С2С сервером;

  • запуск вредоносного процесса, сбор фингерпринта ПК (BIOS данные, MAC адрес, сетевые настройки ipinfo[.]io/ip, информация об установленном антивирусном продукте) – все это формирует идентификатор зараженной машины.

Последние версии ShellClient используют облачные хранилища для маскировки C&C-соединений, в частности Dropbox, через API c AES шифрованием (api.dropboxdapi[.]com и content.dropboxapi[.]com), чтобы смешиваться с легитимным трафиком. Вредонос сканирует ресурс С&С с определенной периодичностью (2 секунды). Зараженный агент проверяет папку команд, парсит и удаляет их из папки С&С, выполняет на ПК жертвы, выгружает результат в папку на С&С сервере (на Dropbox). 

Полный набор обнаруженных исследователями команд выглядит следующим образом:


Command

Description

code10

Query hostname, malware version, executable path, IP address and Antivirus products 

code11

Execute an updated version of ShellClient

code12

Self delete using InstallUtil.exe

code13

Restart the ShellClient service

code20

Start a CMD shell

code21

Start a PowerShell shell

code22

Add to the results message the following line: “Microsoft Windows Command Prompt Alternative Started …”

code23

Open a TCP Client

code24

Start a FTP client

code25

Start a Telnet client

Code26

Execute a shell command

code29

Kill active CMD or PowerShell shell

code31

Query files and directories

code32

Create a Directory

code33

Delete files and folders

code34

Download a file to the infected machine

code35

Upload a File to Dropbox

code36

Does nothing

code37

Download a file to the infected machine and execute it

code38

Lateral movement using WMI



Распространение по горизонтали идет, конечно же, через сервис net use, WMI и PAExec (Redistributable  PsExec):

image21-Oct-01-2021-06-16-43-67-PM


Перед отправкой украденные данные шифруются WinRar (rar.exe):

image1-3


Ввиду продуманной маскировки ShellClient RAT достаточно сложно обнаружить. Так, сетевой внешний трафик может быть принят за вполне легитимные попытки синхронизации Dropbox. А благодаря постоянному совершенствованию вредоносного агента точечный сигнатурный анализ также не эффективен. 

Обнаружение подобных хорошо спланированных целевых атак возможно только через целый комплекс мер, реализующих принцип эшелонированной обороны, включая анализ аномалий в сетевом трафике как внешнем, так и внутреннем, анализ поведения файлов на ПК пользователей, мониторинг и анализ инцидентов и другие направления Security Operations (SecOps). Для эффективной реализации всех процессов, и всех требуемых бизнесу услуг от данного направления обычно организуются Security Operations Centers (SOC).

При этом важно отметить, что без проведения оценки рисков, в том или ином виде, с той или иной степенью детализации и результативности, приступать к реализации SOC не целесообразно. Помимо того, что этого требуют основные отраслевые регуляторы и стандарты, очень важно помнить, что, только основываясь на постоянном и цикличном процессе оценки и анализа рисков, можно получать и обновлять знания о контролируемой инфраструктуре, актуальных угрозах и, что немаловажно, о допустимой стоимости применяемых контрмер. Это информация, которую крайне сложно недооценить, особенно при выборе соответствующих сервисов и продуктов. 

Для дополнения используемой методики оценки рисков, инженеры и аналитики Центра Киберустойчивости ACRC группы компаний Angara предлагают свои уникальные наработки по автоматизированной атрибуции потенциальных угроз и TTP, основанной на публичных данных, полученных в ходе расследований реальных, подтвержденных инцидентов ИБ, включая возможность приведения итоговых результатов к соответствию новой методике оценки угроз БДУ ФСТЭК и маппинга к различным ресурсам MITRE (MITRE ATT&CK®, MITRE SHIELD®). 

Результаты, полученные в итоге, во-первых, будут гарантированно повторяемыми благодаря автоматизации, а значит применимыми в рамках цикла PDCA. Во-вторых, помогут в процессе оценки и выбора решений классов XDR, MDR и др. Дополнительно в случае, если полезная нагрузка от применения механизмов противодействия (mitigation) превышает полезную нагрузку от разработки сценариев выявления, выдаются соответствующие рекомендации по реализации компенсирующих мер. 

За всей интересующей информацией о услуге автоматизированной атрибуции актуальных сценариев реализации угроз и соответствующих TTP можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.