- 20,415
- 46
- 8 Ноя 2022
Sideloading превращает доверенный компонент в проводник для вредоносного кода.
В середине августа исследователи столкнулись с новым вымогателем Cephalus сразу в двух отдельных инцидентах. На фоне недавних появлений семейств вроде Crux и KawaLocker внимание привлекла записка с требованием выкупа, начинавшаяся словами «We're Cephalus». В обоих случаях злоумышленники получали первоначальный доступ через RDP по скомпрометированным учетным данным без многофакторной аутентификации, а для возможной утечки данных использовали облачный сервис MEGA.
Наиболее примечательным в цепочке атаки стал способ запуска шифровальщика. Преступники прибегали к DLL-подмене с использованием легитимного компонента SentinelOne: из каталога «Загрузки» запускался файл SentinelBrowserNativeHost.exe, который подхватывал библиотеку SentinelAgentCore.dll, а та уже загружала data.bin с собственно кодом вымогателя. На одном из хостов попытка была пресечена Защитником Microsoft, на другом — шифрование стартовало. Параметров командной строки при запуске не наблюдалось, что косвенно указывает на отсутствие «сетевого» развертывания по доступным шарам.
Важно подчеркнуть, что в обеих пострадавших организациях действительно использовались продукты SentinelOne. При этом попадание SentinelBrowserNativeHost.exe в папку «Загрузки» выглядит нетипично: телеметрия показала миллионы легитимных запусков этого исполняемого файла в инфраструктурах клиентов за сутки, но не из пользовательских «Downloads», что делает подобное расположение хорошим индикатором подозрительной активности. Современные SIEM-системы способны выявлять подобные аномалии — например, правило DLL_Side_Loading в MaxPatrol SIEM обнаруживает подмену библиотеки в папке с бинарным файлом и дальнейшую её загрузку в процесс.
Перед шифрованием Cephalus старается лишить систему шансов на восстановление и ослепить защиту. Наблюдалось удаление теневых копий томов и последовательность PowerShell-команд и изменений реестра, направленных на отключение компонентов Защитника Windows , добавление исключений и остановку связанных служб. Эти действия предшествовали созданию записки и самому процессу шифрования, что соответствует типовой тактике современных группировок. Модули поведенческой аналитики, такие как MaxPatrol BAD, способны зафиксировать подобную активность: любой нетипичный запуск процесса, подгрузка библиотек или операции, выходящие за рамки обычного поведения, высоко оцениваются AI/ML-модулями, позволяя оперативно обнаружить атаку на ранних этапах.
Ещё одна деталь — сами записки с требованиями. В обнаруженных случаях текст начинался с прямой самопрезентации («We're Cephalus»), содержал утверждения о похищении «конфиденциальных данных» и инструкции для связи. В отличие от ранее публиковавшихся в соцсетях вариантов, записка была адресована домену пострадавшей организации и включала ссылки на две «новостные статьи» о предыдущих атаках Cephalus — вероятно, чтобы усилить давление и придать себе видимость «известности». В некоторых случаях жертве предлагали перейти по ссылке GoFile и с паролем проверить образец якобы вывезенных файлов.
MEGA в обеих историях фигурировала не только как конечная точка для обмена, но и в процессной линии на хосте: фиксировались запуски MEGAcmdUpdater.exe, а в одном из инцидентов — даже через Планировщик заданий. Это укладывается в модель «двойного вымогательства» , где к шифрованию добавляется предварительная эксфильтрация. NTA/NDR-системы, такие как PT NAD , способны детектировать различные стадии атак ransomware-группировок, включая подозрительные RDP-соединения, горизонтальное перемещение, взаимодействие с сервисами облачного хранения и эксфильтрацию данных.
Набор технических признаков уже складывается в узнаваемый профиль. В наблюдениях встречались расширение «.sss» у зашифрованных файлов и файл записки «recover.txt». Среди артефактов — путь C:\Users\[user]\Downloads как рабочий каталог оператора, имя рабочей станции Desktop-uabs01, а также контрольные суммы компонентов цепочки: SHA-256 для SentinelBrowserNativeHost.exe — 0d9dfc113712054d8595b50975efd9c68f4cb8960eca010076b46d2fba3d2754 и для SentinelAgentCore.dll — 82f5fb086d15a8079c79275c2d4a6152934e2dd61cc6a4976b492f74062773a7.
Cephalus вписывается в привычный ландшафт вымогателей, но сочетает старые входные точки с нетривиальной техникой запуска через легитимный исполняемый файл. Практические выводы для защитников остаются актуальными: закрыть RDP без MFA, мониторить аномальные запуски SentinelBrowserNativeHost.exe, особенно из пользовательских каталогов, ограничить или контролировать использование MEGA и подобных инструментов, а также отслеживать любые попытки вмешательства в настройки и службы Защитника Windows. Чем лучше видны действия до момента шифрования, тем выше шанс оборвать атаку до появления «записок» и простоев.
В середине августа исследователи столкнулись с новым вымогателем Cephalus сразу в двух отдельных инцидентах. На фоне недавних появлений семейств вроде Crux и KawaLocker внимание привлекла записка с требованием выкупа, начинавшаяся словами «We're Cephalus». В обоих случаях злоумышленники получали первоначальный доступ через RDP по скомпрометированным учетным данным без многофакторной аутентификации, а для возможной утечки данных использовали облачный сервис MEGA.
Наиболее примечательным в цепочке атаки стал способ запуска шифровальщика. Преступники прибегали к DLL-подмене с использованием легитимного компонента SentinelOne: из каталога «Загрузки» запускался файл SentinelBrowserNativeHost.exe, который подхватывал библиотеку SentinelAgentCore.dll, а та уже загружала data.bin с собственно кодом вымогателя. На одном из хостов попытка была пресечена Защитником Microsoft, на другом — шифрование стартовало. Параметров командной строки при запуске не наблюдалось, что косвенно указывает на отсутствие «сетевого» развертывания по доступным шарам.
Важно подчеркнуть, что в обеих пострадавших организациях действительно использовались продукты SentinelOne. При этом попадание SentinelBrowserNativeHost.exe в папку «Загрузки» выглядит нетипично: телеметрия показала миллионы легитимных запусков этого исполняемого файла в инфраструктурах клиентов за сутки, но не из пользовательских «Downloads», что делает подобное расположение хорошим индикатором подозрительной активности. Современные SIEM-системы способны выявлять подобные аномалии — например, правило DLL_Side_Loading в MaxPatrol SIEM обнаруживает подмену библиотеки в папке с бинарным файлом и дальнейшую её загрузку в процесс.
Перед шифрованием Cephalus старается лишить систему шансов на восстановление и ослепить защиту. Наблюдалось удаление теневых копий томов и последовательность PowerShell-команд и изменений реестра, направленных на отключение компонентов Защитника Windows , добавление исключений и остановку связанных служб. Эти действия предшествовали созданию записки и самому процессу шифрования, что соответствует типовой тактике современных группировок. Модули поведенческой аналитики, такие как MaxPatrol BAD, способны зафиксировать подобную активность: любой нетипичный запуск процесса, подгрузка библиотек или операции, выходящие за рамки обычного поведения, высоко оцениваются AI/ML-модулями, позволяя оперативно обнаружить атаку на ранних этапах.
Ещё одна деталь — сами записки с требованиями. В обнаруженных случаях текст начинался с прямой самопрезентации («We're Cephalus»), содержал утверждения о похищении «конфиденциальных данных» и инструкции для связи. В отличие от ранее публиковавшихся в соцсетях вариантов, записка была адресована домену пострадавшей организации и включала ссылки на две «новостные статьи» о предыдущих атаках Cephalus — вероятно, чтобы усилить давление и придать себе видимость «известности». В некоторых случаях жертве предлагали перейти по ссылке GoFile и с паролем проверить образец якобы вывезенных файлов.
MEGA в обеих историях фигурировала не только как конечная точка для обмена, но и в процессной линии на хосте: фиксировались запуски MEGAcmdUpdater.exe, а в одном из инцидентов — даже через Планировщик заданий. Это укладывается в модель «двойного вымогательства» , где к шифрованию добавляется предварительная эксфильтрация. NTA/NDR-системы, такие как PT NAD , способны детектировать различные стадии атак ransomware-группировок, включая подозрительные RDP-соединения, горизонтальное перемещение, взаимодействие с сервисами облачного хранения и эксфильтрацию данных.
Набор технических признаков уже складывается в узнаваемый профиль. В наблюдениях встречались расширение «.sss» у зашифрованных файлов и файл записки «recover.txt». Среди артефактов — путь C:\Users\[user]\Downloads как рабочий каталог оператора, имя рабочей станции Desktop-uabs01, а также контрольные суммы компонентов цепочки: SHA-256 для SentinelBrowserNativeHost.exe — 0d9dfc113712054d8595b50975efd9c68f4cb8960eca010076b46d2fba3d2754 и для SentinelAgentCore.dll — 82f5fb086d15a8079c79275c2d4a6152934e2dd61cc6a4976b492f74062773a7.
Cephalus вписывается в привычный ландшафт вымогателей, но сочетает старые входные точки с нетривиальной техникой запуска через легитимный исполняемый файл. Практические выводы для защитников остаются актуальными: закрыть RDP без MFA, мониторить аномальные запуски SentinelBrowserNativeHost.exe, особенно из пользовательских каталогов, ограничить или контролировать использование MEGA и подобных инструментов, а также отслеживать любые попытки вмешательства в настройки и службы Защитника Windows. Чем лучше видны действия до момента шифрования, тем выше шанс оборвать атаку до появления «записок» и простоев.
- Источник новости
- www.securitylab.ru
