Из года в год Positive Technologies проводит масштабные международные соревнования по кибербезопасности Standoff, которые собирают сильнейших специалистов blue team и red team. Очередная кибербитва Standoff 15 проходила на киберфестивале Positive Hack Days 21–24 мая. Формат соревнований предполагает столкновение команд защитников и атакующих в рамках максимально реалистичной инфраструктуры, которая имитирует компании из различных отраслей.
В ходе соревнования защитники используют средства защиты информации (СЗИ) не только для обнаружения и расследования, но и для реагирования и отражения атак. В числе средств защиты была и PT Sandbox — продвинутая песочница для защиты от неизвестного вредоносного программного обеспечения (ВПО), использующая почти все современные методы обнаружения вредоносов. На Standoff песочница подсвечивает почтовые угрозы и помогает остальным средствам защиты понять, является ли тот или иной файл, найденный в сети или на конечных точках, вредоносным. Например, анализирует файлы, извлеченные из трафика PT NAD и PT ISIM, а также находит вредоносы в файлах с рабочих станций, присылаемых MaxPatrol EDR. Помимо синергии со средствами защиты, PT Sandbox активно используется защитниками для детального изучения функций ВПО, использованного в ходе атаки.
Кибербитва — это важное испытание для экспертизы PT Sandbox, своего рода ежегодный экзамен. На Standoff мы проверяем способность песочницы обнаруживать техники злоумышленников и корректируем ее экспертизу. А в этой статье мы решили поделиться с вами тем, что же наловила песочница и какие инструменты наиболее популярны у красных команд. Это интересно, потому что атакующие в ходе соревнований ограничены по времени, у них нет возможности месяцами готовить атаку на инфраструктуру, а значит, в соревновании точно будут задействованы самые надежные, ходовые инструменты и методы, доступные и реальным злоумышленникам.
Статистика по классам ВПО
Важное примечание: в данной статистике мы рассматриваем только обнаруженное песочницей ВПО — самодостаточные инструменты в виде файлов, которые попадают в инфраструктуру и наносят ей определенный ущерб. К примеру: атака на веб-сервис с эксплуатацией уязвимости не попадет в эту статистику, а ВПО, которое затем будет использовано в рамках постэксплуатации веб-сервиса, — вполне может сюда попасть.
Важное примечание № 2: современное ВПО является модульным, один и тот же вредонос может включать в себя эксплойт, использовать какой-либо инструмент сбора учетных данных и являться трояном. Чтобы не считать один и тот же файл за три разных угрозы, мы выбирали ту, которая имеет наибольший уровень опасности по нашей классификации. К примеру список классов [Банковский троян, Троян, Хактул] приводится к классу Банковский троян. Также в результате этого одни и те же семейства могут попасть в разные классы ВПО.
Как видим на рисунке 1, трояны и бэкдоры занимают большую часть атак. Это неудивительно, потому что одной из первых целей команд атакующих является закрепление в системе. И если оно успешно осуществлено, то в ход идут остальные инструменты, предназначенные для выполнения конкретных задач в целевых системах.
Бэкдор
На рисунке 2 показано, что в категории бэкдоров самыми популярными обнаруженными угрозами стали различные реверс-шеллы и веб-шеллы на PHP, Cobalt Strike и Meterpreter. Другие встреченные угрозы: Sliver, Havoc, бэкдоры на VBA, Donut, Adaptix, Posh, ReverseSSH, Shellter, Protux, RShell.
Трояны
Трояны представляют собой обобщенный класс ВПО для скрытного похищения какой-либо информации. Большая часть троянов в рамках соревнований была представлена в виде офисных документов с внедренными VBA-скриптами.
Загрузчик ВПО
Вредоносы, которые подгружают вредоносный код по сети при запуске, попадают в эту категорию.
Самыми популярными инструментами этого семейства оказались семплы, реализованные с использованием нагрузок Metasploit, вредоносный код в офисных документах, а также вредоносы, реализующие подключение удаленного шаблона к офисному документу.
Установщик ВПО
В числе установщиков ВПО, как видно на рисунке 4, подавляющее большинство заняли дропперы Cobalt Strike и вредоносные PDF-файлы. Также было замечено небольшое число попыток использования вредоносных SVG-файлов, PowerShell-дропперов.
Банковский троян
В рамках данного класса ВПО не было отмечено каких-то конкретных семейств или инструментов.
Хактул
В данную категорию попали как вредоносные утилиты, так и легитимные средства, которые потенциально могут быть использованы злоумышленником во вредоносных целях.
Лидирующую позицию в списке занимает SharpHound — инструмент для сбора данных в Active Directory. Также отметились Fscan (сканирование сети), LigoloTunnel, Mimikatz, Alien, различные «картошки» (EfsPotato, GodPotato, JuicyPotato), Mimipy, NSSM, pspy, nircmd, Sysutils, SauronEye, LinPEAS, LaZagne, Winexec, KrbRelay, Netcat.
Эксплойты
Как ни странно, почти половина обнаруженных файлов-эксплойтов относятся к уязвимости CVE-2022-0847 (DirtyPipe) в ядре Linux. Остальные обнаруженные эксплойты относятся к CVE-2025-24071, CVE-2025-24054, CVE-2024-38144, CVE-2024-21447, CVE-2024-21345, CVE-2023-29360, CVE-2022-0847, CVE-2021-4034, PrintSpoofer, CVE-2021-3156, CVE-2021-4034, CVE-2023-34918, CVE-2023-4911, CVE-2018-4993, CVE-2021-22555, LocalPotato, SweetPotato.
Троян-PSW
К обнаруженным троянам — похитителям учетных данных в этом году относятся семплы, использующие Mimikatz (55%), Watson (19%), Sysutils (14%), LaZagne (7%).
Трояны-прокси
В этом году популярнейшими инструментами для проксирования стали LigoloNG (60%) и Chisel (34%).
Интересные семплы
Для нас как экспертов PT Sandbox наибольший интерес представляют вредоносы, которые детектируются исключительно с помощью поведенческого анализа песочницы. Наличие таких детектов подтверждает, что даже в ходе соревнований команды атакующих используют ВПО, которое не могут обнаружить статические и эвристические механизмы.
И на самом деле, таких семплов обнаружилось немало: были и батники, и множество ODT/PSF/DOC-дропперов, и DOC-файлы с бэкдорами.
Далее мы рассмотрим только некоторые из них.
PoC для CVE-2024-38144
Семпл, реализующий эксплуатацию августовской уязвимости в ядре Windows. Сам по себе данный экземпляр не детектится антивирусами и не находится в открытом доступе.
При этом видны заимствования из репозитория со скомпилированными PoC https://github.com/youcannotseemeagain/ele/tree/main. К примеру, на рисунке 7 представлено сравнение строк этих семплов.
Данная уязвимость является критически опасной и позволяет повысить привилегии в Windows.
На рисунке 9 показан вывод PoC в консоль во время эксплуатации в PT Sandbox: сначала семпл проверяет версию ОС, и если версия не подходит, то прекращает свою работу.
Поведение семпла при эксплуатации было обнаружено экспертизой песочницы.
Поддельное обновление Microsoft Edge
Исполняемый файл Windows, подражающий легитимному обновлению Microsoft Edge. Антивирусами не детектируется, потому что сгенерирован Cobalt Strike. По поведению в нем все довольно обычно для нашей экспертизы: семпл всего лишь внедряет вредоносный код в легитимный Notepad. Поведенческий граф и наши вердикты можно увидеть на рисунке 11.
Также, за счет того что PT Sandbox снимает и анализирует дампы в ходе поведенческого анализа, с помощью статического анализа дампов все-таки удалось понять, что это Cobalt Strike.
Такой комбинированный анализ позволяет защититься от изменения свойств ВПО. Например, если злоумышленники накроют старую функциональность новым упаковщиком или протектором, то в статике семпл уже не будет обнаружен, но в нашем поведенческом анализе — вполне.
ELF-стилер
Исполняемый файл Linux, попавшийся в поведенческом анализе в ходе скачивания нагрузки.
Далее скачанная нагрузка запускается и пытается получить доступ к учетным данным в системе. ВПО не представляет из себя чего-то необычного, но оно также было обнаружено не статическими методами, а с помощью поведенческого анализа.
Эксплойт CVE-2024-38193
Семпл использует PoC из https://github.com/killvxk/CVE-2024-38193-Nephster/tree/main, это эксплойт для критически опасной уязвимости в ядре Windows, приводящей к повышению привилегий.
Для эксплойтов характерно использование легитимных механизмов работы ОС, и в результате их бывает достаточно сложно идентифицировать статически; данный эксплойт тоже не был пойман антивирусными движками. А в поведенческом анализе возможно эффективное обнаружение результата выполнения эксплойта, поэтому семпл был обозначен как вредоносный.
Бэкдор Sliver
Свежий майский семпл, засветившийся на VirusTotal в преддверии PHDays.
На момент соревнований он еще не обнаруживался антивирусами, но наша песочница ловила его уже тогда.
Примечательно, что, помимо детекта на дампы, семпл ловится лишь нашей новой сетевой ML-моделью, обнаруживающей вредоносный трафик, генерируемый малварью в ходе поведенческого анализа. Подробнее ознакомиться с ней можно в другой статье. Эта модель является еще одним средством, позволяющим обнаружить неизвестное ВПО.
ODT-загрузчик
К слову о вредоносном трафике: были обнаружены и такие семплы, которые детектировались исключительно нашей новой сетевой ML-моделью.
Внутри данного ODT-документа был вредоносный макрос, загружающий следующую стадию ВПО с управляющего сервера. К сожалению, из-за ошибки ВПО не смогло ее корректно скачать и запустить, но даже за подозрительное взаимодействие с C2 малварь была поймана в PT Sandbox.
Поддельный установщик визуальной новеллы
Любите ли вы деревья так, как любят их разработчики этого семпла? Treelover.exe — свежий образец, пытающийся мимикрировать под установщик визуальной новеллы — дейтсима… с деревьями?
Но не стоит ему доверять, под капотом у него лишь загрузчик ВПО из Metasploit ☹
Помимо вердиктов на дамп, данный семпл был также пойман за опасное сетевое поведение.
Примечательно, что семплов с подобными функциями и названием было множество, то есть команда красных подготовила различные вариации данного образца — что-то в виде DOC-файлов, ELF-файлов и различные виды EXE-семплов. Какие-то из образцов были успешно обнаружены АВ-движками и отнесены к семейству бэкдоров Protux.
Заключение
Итак, в ходе кибербитвы Standoff 15 на PHDays песочница PT Sandbox обнаружила более 1200 уникальных (по хеш-сумме) образцов ВПО. Порядка 100 образцов (~8%) были обнаружены исключительно в ходе комбинированного поведенческого анализа. Это в очередной раз доказывает необходимость поведенческого анализа для обнаружения ВПО различной сложности. По результатам анализа можно заметить, что бóльшая часть обнаруженных семплов использует вполне привычные техники и инструменты, но атакующие маскируют даже самые простые из них таким образом, чтобы успешно избежать обнаружения статическими методами.
Данил Архипов, стажер отдела экспертизы PT Sandbox
Шаих Галиев, руководитель отдела экспертизы PT Sandbox
@ Антивирусная лаборатория экспертного центра PT ESC
