Компании Cybereason удалось обнаружить вредоносную кампанию GhostShell, целью которой является кибершпионаж. Жертвами атак GhostShell становятся телекоммуникационные и аэрокосмические компании многих стран, включая Россию. Злоумышленники осуществляют кражу данных о критических объектах, организационной инфраструктуре и технологиях.
Одним из основных используемых инструментов является RAT ShellClient, следы сборок которого прослеживаются вплоть до 2018 года, и, судя по текущей структуре и коду, он все еще находится в активной доработке.
Самый ранний отслеживаемый вариант был скомпилирован 6 ноября 2018 года и был специально назван svchost.exe, чтобы он мог маскироваться под законный двоичный файл Windows. Ранние варианты не очень богаты функционалом и техниками сокрытия, в отличие от их преемников.
Более поздние версии маскируются под RuntimeBroker.exe и являются модульной исполняемой (Portable Executable – PE) структурой, использующей Costura Fody архиватор для упаковки каждого из модулей. ShellClient RAT при запуске выполняет одно из следующих действий:
-
установку и запуск вредоносной службы под видом Network Hosts Detection Service – nhdService (для эскалации привилегий до системных);
-
запуск через Service Control Manager (SCM), создание реверс-шелла и коммуникация с С2С сервером;
-
запуск вредоносного процесса, сбор фингерпринта ПК (BIOS данные, MAC адрес, сетевые настройки ipinfo[.]io/ip, информация об установленном антивирусном продукте) – все это формирует идентификатор зараженной машины.
Последние версии ShellClient используют облачные хранилища для маскировки C&C-соединений, в частности Dropbox, через API c AES шифрованием (api.dropboxdapi[.]com и content.dropboxapi[.]com), чтобы смешиваться с легитимным трафиком. Вредонос сканирует ресурс С&С с определенной периодичностью (2 секунды). Зараженный агент проверяет папку команд, парсит и удаляет их из папки С&С, выполняет на ПК жертвы, выгружает результат в папку на С&С сервере (на Dropbox).
Полный набор обнаруженных исследователями команд выглядит следующим образом:
Command |
Description |
code10 |
Query hostname, malware version, executable path, IP address and Antivirus products |
code11 |
Execute an updated version of ShellClient |
code12 |
Self delete using InstallUtil.exe |
code13 |
Restart the ShellClient service |
code20 |
Start a CMD shell |
code21 |
Start a PowerShell shell |
code22 |
Add to the results message the following line: “Microsoft Windows Command Prompt Alternative Started …” |
code23 |
Open a TCP Client |
code24 |
Start a FTP client |
code25 |
Start a Telnet client |
Code26 |
Execute a shell command |
code29 |
Kill active CMD or PowerShell shell |
code31 |
Query files and directories |
code32 |
Create a Directory |
code33 |
Delete files and folders |
code34 |
Download a file to the infected machine |
code35 |
Upload a File to Dropbox |
code36 |
Does nothing |
code37 |
Download a file to the infected machine and execute it |
code38 |
Lateral movement using WMI |
Распространение по горизонтали идет, конечно же, через сервис net use, WMI и PAExec (Redistributable PsExec):
Перед отправкой украденные данные шифруются WinRar (rar.exe):
Ввиду продуманной маскировки ShellClient RAT достаточно сложно обнаружить. Так, сетевой внешний трафик может быть принят за вполне легитимные попытки синхронизации Dropbox. А благодаря постоянному совершенствованию вредоносного агента точечный сигнатурный анализ также не эффективен.
Обнаружение подобных хорошо спланированных целевых атак возможно только через целый комплекс мер, реализующих принцип эшелонированной обороны, включая анализ аномалий в сетевом трафике как внешнем, так и внутреннем, анализ поведения файлов на ПК пользователей, мониторинг и анализ инцидентов и другие направления Security Operations (SecOps). Для эффективной реализации всех процессов, и всех требуемых бизнесу услуг от данного направления обычно организуются Security Operations Centers (SOC).
При этом важно отметить, что без проведения оценки рисков, в том или ином виде, с той или иной степенью детализации и результативности, приступать к реализации SOC не целесообразно. Помимо того, что этого требуют основные отраслевые регуляторы и стандарты, очень важно помнить, что, только основываясь на постоянном и цикличном процессе оценки и анализа рисков, можно получать и обновлять знания о контролируемой инфраструктуре, актуальных угрозах и, что немаловажно, о допустимой стоимости применяемых контрмер. Это информация, которую крайне сложно недооценить, особенно при выборе соответствующих сервисов и продуктов.
Для дополнения используемой методики оценки рисков, инженеры и аналитики Центра Киберустойчивости ACRC группы компаний Angara предлагают свои уникальные наработки по автоматизированной атрибуции потенциальных угроз и TTP, основанной на публичных данных, полученных в ходе расследований реальных, подтвержденных инцидентов ИБ, включая возможность приведения итоговых результатов к соответствию новой методике оценки угроз БДУ ФСТЭК и маппинга к различным ресурсам MITRE (MITRE ATT&CK®, MITRE SHIELD®).
Результаты, полученные в итоге, во-первых, будут гарантированно повторяемыми благодаря автоматизации, а значит применимыми в рамках цикла PDCA. Во-вторых, помогут в процессе оценки и выбора решений классов XDR, MDR и др. Дополнительно в случае, если полезная нагрузка от применения механизмов противодействия (mitigation) превышает полезную нагрузку от разработки сценариев выявления, выдаются соответствующие рекомендации по реализации компенсирующих мер.
За всей интересующей информацией о услуге автоматизированной атрибуции актуальных сценариев реализации угроз и соответствующих TTP можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.