Пилотная история: Нестандартные подходы приносят успехи - кейс NTA + песочница

Злоумышленники развивают вредоносное ПО, чтобы его не обнаруживали антивирусы, межсетевые экраны, IPS, почтовые и веб-шлюзы. Как тогда от них защищаться? Есть решение — песочницы. Песочница запускает файл в изолированной виртуальной среде, анализирует действия, которые он совершает в системе, и выдает вердикт о том, безопасен этот файл или нет.

В этот раз мы проводили пилот с очень интересным кейсом, в котором использовали не только песочницу, но и систему анализа сетевого трафика.

В рамках пилотного проекта в качестве средств анализа использовались:

• экспертиза: PT ESC, PT IoC, PT Crawler, PT Categorizer, PT ML, PT DPI.
• антивирусы: ClamAV, NANO, VBA32.
• источник данных трафика: PTNAD.

PT Sandbox — песочница, которая позволяет обнаруживать новые вирусы, эксплойты нулевого дня, программы-вымогатели и другое сложное вредоносное ПО. Она не только детектирует угрозы, но и не допускает их проникновение в контур компании, обеспечивая комплексную защиту от целенаправленных атак и массовых угроз.

PT NAD — система глубокого анализа трафика для выявления аномальной сетевой активности и сложных целенаправленных атак на периметре и внутри сети организации.

В рамках пилота с помощью PT Sandbox проводился анализ, входящих электронных писем, в том числе вложений, извлеченных из сетевого трафика, разобранного PT NAD, было выявлено 81 событие, представляющее потенциальную угрозу.

На email c почтового адреса nishiyama@srmi.co.jp было отправлено письмо с темой, содержащее в себе файл【电子发票】: 22632020518862400758.html, который PT Sandbox задетекировал как троян.

Согласно классификации трояна «crime_win_ZZ_Phishing_Trojan_Form» в ходе выполнения статического анализа сделали вывод о том, что он является фишинговым.

PTSandbox был обнаружен и проверен файл GoogleUpdateSetup.exe. В ходе PT Sandbox выяснилось, что данный файл является трояном-вымогателем. В ходе поведенческого анализа PT Sandbox также выяснилось, что данный файл создал ещё один файл (dropped файл) – googleupdate.exe. googleupdate.exe PT Sandbox был также проверен и в ходе статического анализа выяснилось, что данный файл также является трояном-вымогателем (ByHash)

Трояны-вымогатели (ransomware) - программы, которые требуют что-либо взамен за восстановление работоспособности устройства.

Cпочтового адреса apac@imarcgroup.com был отправлен архив с расширением .ace – Air Waybill no 6979374150.jpg.ace. PTSandboxзадетекировал данный архив как установщик ВПО (согласно классификации ВПО Dropper), а исполняемый файл, который в нём содержится (согласно классификации ВПО ContainsPE) (одноимённый с названием архива, но с разрешением .exe) – как загрузчик ВПО (TrojanLoader).

Установщики ВПО – тип вредоносного ПО, задача которого заключается в скрытой установке других вредоносных компонентов (например, вирусов, шпионских программ, руткитов).

Загрузчики ВПО – это вспомогательное вредоносное программное обеспечение, которое используется для загрузки дополнительных компонентов с управляющих серверов злоумышленника или сторонних интернет-ресурсов.

Согласно классификации ВПО (TrojanLoader.MSIL.DaVinci.Heur), такое ВПО написано на языке .NET, может загружать и устанавливать дополнительные вредоносные файлы, запускать различные системные процессы, изменять настройки. Может собирать конфиденциальную информацию (кейлоггер) и отправлять ее злоумышленникам.

Данный архив содержит в себе исполняемый файл – Air Waybill no 6979374150.jpg.exe и в ходе статического анализа PT Sandbox выяснилось, что он является загрузчиком ВПО.

C почтового адреса vuakem@vuakem.com был отправлено письмо с темой «Shipping Records for container», содержащее архив с расширением .zip – Shipping Records.zip. В данном архиве содержится FresheR.exe – исполняемый файл, который в ходе статического анализа PTSandbox был задетекирован как вирус.

Данный вирус при запуске может осуществлять кражу персональных данных, выступать в роли кейлоггера, отслеживать активность на компьютере, устанавливать дополнительное вредоносное ПО.

C почтового адреса chel2@oktamix.ru было отправлено письмо 2-4056240.eml с темой «СОЖ для электроэрозионной обработки!!!», содержащее в себе фото с расширением .url – photo_2025-04-10_13-30-29.jpg(~119 КБ).url, которое PT Sandbox в результате поведенческого анализа было задетекировано как бэкдор.

Бэкдор – тип вируса или вредоносного ПО, который создаёт скрытый доступ к компьютеру или сети, позволяя злоумышленникам контролировать систему без ведома пользователя.

В ходе поведенческого анализа было выявлено, что данный файл с разрешением .url создаёт три вредоносных процесса chrome.exe. Каждый из трёх процессов был проверен. Каждый из процессов имеет классификацию бэкдора – apt_mem_RU_TA505_Backdoor_FlawedGrace (выявлено в ходе статического анализа).

C почты ramirex@ramirexplasticos.com было отправлено письмо с темой «Re : NEW ORDER», содержащее в себе архив с расширением .gz (RAR) - NEW ORDER.gz, который PT Sandbox был задетекирован как «класс ВПО не указан».

Сам архив имеет классификацию ВПО Win32.PhishingPE.Heur, то есть архив является фишинговым, однако исполняемый файл NEW ORDER.exe, который содержится в архиве, согласно статическому анализу, не представляет угрозы.

C почтового адреса opzsa@ventanaserra.com было отправлено письмо с темой «B/L FHAM0175175 MBL YMJAN670249153Container No.:YMMU6442136», содержащее в себе архив с расширением .rar (RAR) – bill of lading.rar. В нём содержится исполняемый файл bill of lading.exe который PT Sandbox в результате поведенческого анализа был задетекирован как троян.

Данный троян может внедрять свой код в контекст существующего процесса (например, в процесс браузера или системного приложения) – вредоносный код работает под видом легитимного приложения, что затрудняет обнаружение; добавляет привилегии к токену процесса (получение прав администратора); позволяет создавать бэкдоры и удалённый доступ (устанавливать скрытые соединения с удалённым сервером, принимать команды от атакующего). Благодаря ПА видно, какие опасные процессы запускаются: внедрение в пустой процесс, внедрение кода в процесс с использованием SetThreadContext (для внедрения своего кода в контекст существующего процесса)

PT Sandbox был проверен архив Updated Price LIST.rar. В нём содержится исполняемый файл Updated Price LIST.exe который PT Sandbox в результате поведенческого анализа был задетекирован как установщик ВПО.

Данное ВПО, согласно базе данных PTIoC относится к семейству ВПО – Formbook. ВПО такого семейства крадут пароли браузеров и хранилищ, выполняют функцию кейлоггера, инжектируются в браузеры для сбора чувствительной информации, позволяют реализовать удаленное управление системой. В ходе поведенческого анализа выяснилось, что процессы, запускаемые исполняемым файлом Updated PriceLIST.exe не представляют угрозы.

C почтового адреса credit@hhipune.com было отправлено письмо с темой «FW:PAYMENT DONE!!!», содержащее в себе архив с расширением .gz (RAR) – IMG REF.Payment Copy.pdf.exe.rar. В нём содержится исполняемый файл IMG REF. Payment Copy.pdf.exe который PT Sandbox в результате поведенческого анализа был задетекирован как средство кражи учётных данных.

Данное ПО может добавлять привилегии в процесс (управление другими процессами), осуществлять инъекцию кода в процессы, осуществлять кражу учетных данных, скрывать следы присутствия.

В ходе поведенческого анализа, дампы памяти двух процессов proc – img ref.payment copy.pdf.exe, задетектировались как средство кражи учетных данных.

Statement of account.zip содержит исполняемый файл Statement of account.exe – PT Sandbox задетекирован как вирус семейства ВПО Sabsik.

Такой вирус может использоваться как кейлоггер, использоваться для создания бэкдоров, изменять системные настройки, распространять другие вирусы, использоваться как ransomware (вымогатель).

В ходе поведенческого анализа выяснилось, что данный исполняемый файл запускает ещё 3 вредоносных процесса:

1. nssm_32.exe - согласно статическому анализу, определяется как пентест-инструменты

NSSM (Non-Sucking Service Manager) – это открытый инструмент для создания и управления службами Windows. Он позволяет преобразовать обычные исполняемые файлы или скрипты в системные службы, которые автоматически запускаются при старте системы и работают даже при выходе пользователя из системы.
Хакерские, пентестерские инструменты пользуются инструментами вроде nssm для обеспечения постоянного контроля над системой.

• Атакующий использует NSSM для установки новой службы Windows, которая указывает на вредоносный исполняемый файл, скрипт или payload.
• Служба настроена на автоматический запуск при старте системы, гарантируя, что вредоносное ПО будет работать после перезагрузки.
• Служба может иметь название, похожее на системные службы (например, "WindowsUpdate" или "SecurityService"), чтобы избежать подозрений.

2. nssm_64.exe - согласно статическому анализу, определяется как пентест-инструменты, то же, что и nssm_32.exe, но для 64-битных версий Windows.

3. wi5de4-1.exe - согласно статическому анализу, определяется как троян.
Такой троян может красть данные, создавать бэкдоры, устанавливать другое вредоносное ПО (dropped файлы), управлять системой и собирать информацию (кейлоггер).

4. Также был определён ещё один процесс – unins000.exe - потенциально нежелательное ПО

C почтового адреса abdul.wahab@gerrys.com.pk было отправлено письмо с темой «RE: URGENT!! BL Draft Copy», содержащее в себе архив с расширением .rar (RAR) – Draft Copy.rar. В нём содержится исполняемый файл DraftCopy.exe который PT Sandbox в результате поведенческого анализа был задетекирован как программа-шпион.

Данное ПО используется для записи нажатий клавиш (кейлоггер), для слежки за активностью пользователя (фиксирует открытые окна, сделанные скриншоты). Кроме того, такое ПО может скрывать своё присутствие в системе различными методами.

C почтового адреса roseu@eri-rwanda.com было отправлено письмо с темой «SOA OF MARCH>Please check and confirm», содержащее в себе архив с расширением .zip (ZIP) – SOA 31 MARCH.zip. В нём содержится исполняемый файл SOA 31 MARCH.exe который PT Sandbox в результате поведенческого анализа был задетекирован как вирус.

SOA 31 MARCH.exe при запуске создаёт четыре процесса nsmm_32.exe, nsmm_64.exe, wi5de4~1.exe и unins000 – аналогичные п. п. 4.10. В дампе памяти SOA 31 MARCH.exe содержится процесс soa 31 march.exe, который PT Sandbox был задетекирован как вирус.

Кроме того, процесс создаёт файл notification_click_helper.exe, который по результатам статического анализа является трояном-вымогателем. Данное ВПО используется для шифрования файлов (шифровальщик), делая их недоступными для пользователя; может изменять реестр Windows; внедрять свой вредоносный код в процессы и проверять наличие в системе антивирусов.

C почтового адреса newmkt@winkong.net было отправлено письмо с темой «RE: MV ALIADO – S – REQ-19-00064», содержащее в себе архив с расширением .rar (RAR) – REQ_CD_82A0811_F_82A0811_Rev_F.rar. В нём содержится исполняемый файл REQ_CD_82A0811_F_82A0811_Rev_F.exe который PT Sandbox в результате статичного анализа был задетекирован как вирус – антивирусом ClamAV, как троян – антивирусом VBA32.

Вирус Expiro (согласно классификации) внедряет свой вредоносный код в исполняемые файлы, что нарушает их целостность и функциональность.

Троян осуществляет сбор конфиденциальных данных, используется для создания бэкдоров, устанавливает другое ВПО.

Invoice.exe PT Sandbox был задетекирован как троян.

Данный троян может выступать в роли кейлоггера, осуществлять кражу чувствительной информации, создавать бэкдоры, маскироваться под легитимные процессы.

C почтового адреса singapore@mercuryfreight.com было отправлено письмо с темой «Attached Payment», содержащее в себе исполняемый файл embin.exe, который PT Sandbox был задетекирован как программа-шпион – PTESC, как пентест-инструменты антивирусом ClamAV и как троян-вымогатель антивирусом VBA32. В классификации трояна-вымогателя указано «AgentTesla».

AgentTesla относится к шпионскому ПО. Троян-шпион, написанный на языке C# на платформе .NET, собирает пользовательскую информацию, перехватывает нажатия клавиш. Сегодняшние версии отправляют собранную информацию на одноразовые почтовые ящики. Когда-то AgentTesla позиционировался и продавался как легитимный инструмент для слежки.

C почтового адреса sales@intairainbow.com было отправлено письмо с темой «Shipment Document BL,INV and packing list», содержащее в себе архив Shipment Document BL,INV and packing list.jpg.ace. В данном архиве содержится файл Shipment Document BL,INV and packing list.jpg.exe, который PT Sandbox в ходе статического анализа был задетекирован как троян.

Данный троян создан с использованием скриптового языка AutoIt, который часто используется для автоматизации задач в Windows, но может также использоваться для создания вредоносных программ. Относится к категории скрытных и опасных программ, которые маскируются под легитимное ПО. Может осуществлять сбор чувствительной информации, используется как кейлоггер, может устанавливать другие ВПО, может изменять реестр и системные настройки.

C почтового адреса sbcjewelery@gmail.com было отправлено письмо с темой «FW: Payment Confirmation», содержащее в себе архив PAGO_USD4OK.rar. В данном архиве содержится исполняемый файл PAGO_USD4OK.exe, который PT Sandbox в ходе статического анализа был задетекирован как троян антивирусом ClamAV, как троян-вымогатель антивирусом VBA32.

Исполняемый файл Quotation.exe в ходе статического анализа PT Sandbox был задетекирован как троян антивирусом ClamAV и экспертным центром Positive Technologies PT ESC, как бэкдор – антивирусом VBA32.

Файл INQ_MB2-Materials_Specifications.exe в ходе статического анализа был задетектирован PT Sandbox как троян.

С почтового адреса set@sunhinelogix.com был отправлен архив «FINAL DOC.rar». В данном архиве содержится исполняемый файл FINALDOC.com, который в ходе статического анализа был задетектирован PTSandbox как пентест-инструменты.

За месяц мы обнаружили:

• Следы использования различных троянов, троянов-вымогателей, фишинговых троянов. Потенциально это может привести к финансовым потерям и потере чувствительной информации.
• Следы использования шпионского ПО: программы-шпионы, средства кражи учетных данных, которое может привести к краже конфиденциальной информации.
• Установщики и загрузчики ВПО.
• Различные вирусы.
• Бэкдоры.
• Пентест-инструменты.

Оставляйте заявку на тест-драйв >> ОС ТАВИТЬ ЗАЯВКУ