СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
2 марта
#ИБ

Salat stealer: обнаружение и противодействие с помощью Wazuh

«Salat stealer — это быстро развивающийся похититель информации на базе Go, распространяемый с помощью модели ‘Вредоносное ПО как услуга’ (MaaS)» — так кратко можно охарактеризовать угрозу, описанную в отчете. Вредоносное ПО специализируется на сборе конфиденциальной информации с конечных точек Windows и сочетает в себе методы скрытности и закрепления, чтобы снизить вероятность обнаружения и повысить вероятность успешной эксфильтрации данных.

Ключевые характеристики угрозы

  • Платформа и распространение: реализован на Go; распространяется по модели MaaS (Malware-as-a-Service).
  • Цели: учетные данные браузеров, сессии Telegram, информация о криптовалютных кошельках.
  • Методы сокрытия: проверки на наличие виртуальных сред, упаковка UPX, взаимодействие с интерфейсом AMSI для обхода средств защиты.
  • Поведение на хосте: создание временных файлов в каталоге %Temp% для обработки собранных данных; копирование себя в доверенные каталоги, имитируя легитимные исполняемые файлы; установка закрепления через запись в реестр HKCUSoftwareMicrosoftWindowsCurrentVersionRun.
  • Командно‑управляющая инфраструктура: передача похищенных данных на C2 через HTTPS с использованием резервных доменов для поддержания устойчивого соединения.

Индикаторы и поведение, важные для обнаружения

Salat stealer демонстрирует набор действий, по которым можно оперативно определять компрометацию:

  • создание и использование временных файлов в %Temp% для агрегации учетных данных;
  • загрузка и запуск UPX‑упакованных бинарей;
  • взаимодействие с AMSI (подозрительные загрузки amsi.dll и попытки обхода сканирования);
  • попытки чтения и эксфильтрации данных из браузерных профилей и файлов сессий Telegram;
  • установка Persist через запись в ключи запуска реестра (HKCUSoftwareMicrosoftWindowsCurrentVersionRun);
  • установление исходящих HTTPS‑соединений с подозрительными/известно вредоносными C2‑доменами и IP.

Как Wazuh помогает обнаруживать Salat stealer

Для выявления активности Salat stealer в отчете описан подход, основанный на платформе Wazuh с интеграцией Sysmon и VirusTotal. Ключевые элементы обнаружения:

  • Sysmon: повышенная телеметрия системных событий (создание процессов, загрузка DLL, сетевые соединения, изменения реестра и т.д.).
  • Пользовательские правила Wazuh: ряд детектов, нацеленных на поведение, типичное для Stealer‑семейств:
  • Rule 100601 — фиксирует, когда процесс SmartScreen загружает urlmon.dll, что может указывать на сетевую разведку или загрузку вредоносного контента;
  • Rule 100602 — сигнализирует о загрузке amsi.dll и/или подозрительных попытках взаимодействия с AMSI (индикатор попыток обхода защиты);
  • Rule 100603 — выявляет выполнение скриптов PowerShell в временных каталогах, что часто сопутствует пост‑эксплуатационным сценариям;
  • Rule 100604 — отслеживает изменения реестра, в том числе создание ключей запуска, типичных для закрепления;
  • Rule 100605 — обнаруживает исходящие соединения к известным вредоносным IP‑адресам;
  • Rule 100606 — помечает подозрительные DNS‑запросы, например к резервным доменам C2.

Кроме того, интеграция Wazuh с VirusTotal позволяет автоматически отправлять хэши вновь созданных или изменённых файлов на анализ в VirusTotal, что даёт дополнительную проверку в режиме реального времени и облегчает автоматизированный ответ (например, удаление подтверждённых вредоносных файлов).

Практические рекомендации по защите

Учитывая описанное поведение Salat stealer, организациям и пользователям рекомендуется следующие меры:

  • развернуть и правильно настроить Wazuh с интеграцией Sysmon для повышения видимости событий;
  • включить и поддерживать интеграцию с VirusTotal для автоматического анализа новых файлов и оперативного реагирования;
  • настроить и поддерживать пользовательские правила детектирования, аналогичные Rule 100601–100606, с учётом локального окружения;
  • контролировать и ограничивать исполнение PowerShell (Execution Policy, AMSI, Application Control);
  • мониторить запись и исполнение файлов в %Temp% и другие подозрительные локации;
  • внедрить application allow‑listing и контроль целостности критичных каталогов;
  • ограничить привилегии пользователей, особенно на рабочих станциях, где хранятся криптокошельки;
  • ввести многофакторную аутентификацию (MFA) для критичных сервисов и кошельков, где это возможно;
  • блокировать известные C2‑домены/IP на сетевом уровне и проводить регулярную переоценку списка индикаторов.

Вывод

Salat stealer — эволюционирующая угроза, сочетающая в себе современные техники уклонения и эффективные механизмы сбора информации. Применение комплексного подхода: расширенная телеметрия (Sysmon), проактивные правила обнаружения в Wazuh и интеграция с VirusTotal — даёт организациям реальные шансы быстро выявлять и нейтрализовать инциденты, связанные с этим стилером. Постоянная адаптация стратегий обнаружения и оперативный мониторинг критичны для защиты от подобных целенаправленных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: