MITER ATT & CK T1064 Сценарии

Сулейман Озарслан, PhD

В 2019 году Picus Labs проанализировала 48813 вредоносных программ, чтобы определить тактику, методы и процедуры (TTP), используемые злоумышленниками в этих вредоносных файлах. Picus Labs классифицировала каждую наблюдаемую ТТП, используя структуру MITER ATT & CK ®. В результате настоящего исследования 445018 TTP, наблюдаемых в прошлом году, были сопоставлены с ATT & CK, чтобы определить 10 наиболее распространенных методов, используемых злоумышленниками. обнаружил, что скрипты были шестым по распространенности техникой ATT & CK, которую злоумышленники использовали в своих вредоносных программах.

Упражнения красных и синих команд

Red Teaming - Как моделировать?

В этом упражнении мы объясняем реальный код VBA, который использовался вредоносным ПО Emotet. Мы проанализировали эту полезную нагрузку в следующих сообщениях нашего блога:

• Технический анализ Emotet - Часть 1: раскрыть злой код
• Технический анализ Emotet - представлена ​​часть 2 PowerShell

Эта полезная нагрузка была включена в следующий документ Word:

В 2014 году исследователи впервые определили Emotet как банковское вредоносное ПО, ворующее конфиденциальную и личную информацию. Теперь злоумышленники используют Emotet как инфраструктуру как услугу (IaaS) для доставки вредоносных программ, в том числе других банковских троянов. Emotet включил различные методы обфускации и уклонения, чтобы избежать обнаружения в своей полезной нагрузке.

Если вы хотите узнать больше о MITER ATT & CK, загляните в нашу группу LinkedIn со всеми последними новостями! Https://www.linkedin.com/groups/8955879/

Вкратце, код VBA, встроенный в документ Word, выполняет закодированную команду PowerShell с помощью WMI, затем код PowerShell загружает вторую полезную нагрузку Emotet. Инструментарий управления Windows (WMI) - это инфраструктура для управления данными и операциями в операционных системах на базе Windows [23].

Разберем и проанализируем команду:

• Do While GetObject(winmgmtS:win32_Process).Create(): В Do While loop метод Create из Win32_Process class WMI используется для создания нового процесса. Первая переменная этого метода - это код CommandLine для выполнения, который в этом коде является командой PowerShell.
• Powershell -w hidden: Нет параметра с именем -w согласно официальной PowerShell документации [24]. Фактически, параметр -w завершается PowerShell как параметр -WindowStyle из-за функции завершения подстроки параметра PowerShell. Злоумышленники обычно используют параметр -WindowStyle со значением Hidden во вредоносных PowerShell командах, чтобы избежать обнаружения.
• -en: Подобно -w, согласно официальной документации PowerShell [24] не существует параметра с именем -en. Параметр -en завершается как параметр -EncodedCommand с помощью PowerShell. -EncodedCommand принимает строковую версию команды в кодировке base-64. Следовательно, мы должны использовать декодирование base64, чтобы выявить команду PowerShell.

Мы получим следующий код после base64 декодирования, удаления ненужных переменных, обратных кавычек (`) и плюсов (+), а также установки значений переменных и украшения кода. Вы можете прочитать подробности этого процесса деобфускации в нашем блоге [25].

Вкратце, этот код пытается загрузить файл из URLS, включенных в массив $list, в заданном порядке с помощью метода Net.WebClient.DownloadFile и сохраняет загруженный файл в каталог $env:userprofile как 937.exe.

В заключение, код VBA, приведенный в этом упражнении, включает следующие методы MITER ATT & CK:

• T1059.005 Интерпретатор команд и сценариев: Visual Basic
• T1047 Инструментарий управления Windows
• T1059.001 Интерпретатор команд и сценариев: PowerShell
• T1564.003 Скрыть артефакты: скрытое окно
• T102 Обфусцированные файлы или информация

Blue Teaming - Как обнаружить?

Следующее правило сигмы можно использовать для обнаружения WMI DLL, загружаемых с помощью макросов VBA в файлах Word, Excel, PowerPoint и Outlook:

использованная литература

[23] stevewhims, Инструментарий управления Windows. [Онлайн]. Доступно: https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-start-page. [Доступ: 11 августа 2020 г.]

[24] SteveL-MSFT, about_PowerShell_exe - PowerShell. [Онлайн]. Доступно: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_powershell_exe. [Доступ: 11 августа 2020 г.]

[25] С. Озарслан, Технический анализ Emotet - презентация PowerShell, часть 2. [Онлайн]. Доступно: https://www.picussecurity.com/blog/emotet-technical-analysis-part-2-powershell-unveiled. [Доступ: 12 августа 2020 г.]

Первоначально опубликовано на https://www.picussecurity.com.