СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
18 декабря
#ИБ

RAT через Dropbox: PowerShell‑dropper с жёстко закодированными учётными данными

Исследовательская платформа RuneAI в составе команды Nextron выявила скрипт, который по своим возможностям и архитектуре соответствует трояну удаленного доступа (RAT) с функциональностью командования и контроля (C2). В отчёте описаны несколько критических уязвимостей и тактик злоупотребления, включая жестко закодированные учетные данные Dropbox, доставку полезной нагрузки через Dropbox, закрепление в системе через папку автозагрузки Windows и возможность непроверенного удаленного выполнения команд.

Ключевые выводы

  • Жестко закодированные учетные данные Dropbox: в исходном коде найдены client_id, client_secret и refresh_token, встроенные в общедоступный репозиторий, что создаёт риск кражи и повторного использования токенов.
  • Доставка через Dropbox и использование PowerShell: скрипт загружает ZIP-файлы из Dropbox и выполняет их через PowerShell, фактически функционируя как Dropper.
  • Закрепление в системе: вредонос копирует пакетный файл в папку автозагрузки Windows, обеспечивая запуск при каждой перезагрузке устройства.
  • Непроверенное удалённое выполнение команд: скрипт читает команды из файла в Dropbox и выполняет их без верификации, после чего отправляет вывод обратно в Dropbox по указанному пути.
  • C2 через Dropbox: обмен командами и результатами осуществляется средствами Dropbox API/файловой структуры, что усложняет обнаружение при отсутствии мониторинга облачных ресурсов.

Технический анализ

Автоматизированный анализ RuneAI выявил структуру и поведение, типичное для RAT: удалённое исполнение команд, обмен данными с управляющим сервером (в данном случае — через Dropbox), загрузка дополнительных модулей и механизм автозапуска. Последующее ручное расследование и обратный инжиниринг, проведённые командой Nextron, подтвердили результаты автоматов и позволили детализировать угрозу.

Особо опасными признаны следующие моменты:

  • Наличие секретов (client_id, client_secret, refresh_token) непосредственно в исходном коде, доступном публично — это позволяет злоумышленнику получить доступ к связанному облачному хранилищу и использовать его как C2-инфраструктуру.
  • Использование PowerShell для извлечения и выполнения компонентов из ZIP — типичный приём для уклонения от сигнатурного обнаружения и для быстрой доставки payload без необходимости привилегированных установщиков.
  • Отсутствие верификации команд: команды читаются из файла в Dropbox и выполняются «как есть», что делает возможным выполнение произвольных команд на скомпрометированной машине.

«Автоматизированный анализ RuneAI и последующая ручная проверка Nextron подтвердили: это не просто экспериментальный скрипт — по своей функциональности он представляет реальную угрозу в виде RAT с C2 через облако», — говорится в выводах исследования.

Последствия и риски

Комбинация жёстко закодированных токенов и возможности удалённого выполнения команд открывает следующие риски:

  • неавторизованный доступ к файлам и данным в Dropbox;
  • загрузка и запуск дополнительных вредоносных модулей на целевой машине;
  • устойчивое присутствие в ОС благодаря автозагрузке;
  • использование легитимного облачного сервиса для сокрытия C2-трафика, что затрудняет обнаружение обычными сетевыми средствами мониторинга.

Рекомендации по защите

На основе анализа специалисты Nextron рекомендуют следующие меры предотвращения и реагирования:

  • немедленно отозвать и/или ротация любых обнаруженных жестко закодированных Dropbox-токенов (refresh_token, client_secret и пр.);
  • провести аудит исходного кода на предмет жёстко встроенных секретов и внедрить практики Secret Management (использование vault, environment variables и т.п.);
  • ограничить использование PowerShell: внедрить Constrained Language Mode, блокировать выполнение несigned скриптов, внедрить Application Control/WHitelisting;
  • мониторить и логировать доступы к корпоративным аккаунтам Dropbox, настраивать оповещения о массовых или необычных операциях API;
  • сканировать и контролировать содержимое папки Startup, следить за изменениями в автозагрузке;
  • внедрять EDR/AV с возможностью аналитики поведения для обнаружения действий типа «Dropper» и удалённого выполнения команд;
  • регулярно проводить ревизию и тестирование методологий обнаружения, сочетая автоматизированный анализ (как RuneAI) и ручной обратный инжиниринг.

Заключение

Исследование Nextron на базе RuneAI демонстрирует, как злоумышленники могут комбинировать простые, но эффективные приёмы — жестко закодированные облачные креденшалы, загрузку через облако и PowerShell-исполнение — чтобы получить и удерживать контроль над системой. Ключ к снижению риска — оперативная ротация и хранение секретов, усиление контроля за исполнением скриптов и мониторинг облачных сервисов на предмет подозрительной активности.

Дальнейшие исследования и публикации команды Nextron помогут организациям адаптировать защитные методики и повысить устойчивость к подобным атакам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: