«Salat stealer — это быстро развивающийся похититель информации на базе Go, распространяемый с помощью модели ‘Вредоносное ПО как услуга’ (MaaS)» — так кратко можно охарактеризовать угрозу, описанную в отчете. Вредоносное ПО специализируется на сборе конфиденциальной информации с конечных точек Windows и сочетает в себе методы скрытности и закрепления, чтобы снизить вероятность обнаружения и повысить вероятность успешной эксфильтрации данных.
Ключевые характеристики угрозы
- Платформа и распространение: реализован на Go; распространяется по модели MaaS (Malware-as-a-Service).
- Цели: учетные данные браузеров, сессии Telegram, информация о криптовалютных кошельках.
- Методы сокрытия: проверки на наличие виртуальных сред, упаковка UPX, взаимодействие с интерфейсом AMSI для обхода средств защиты.
- Поведение на хосте: создание временных файлов в каталоге %Temp% для обработки собранных данных; копирование себя в доверенные каталоги, имитируя легитимные исполняемые файлы; установка закрепления через запись в реестр HKCUSoftwareMicrosoftWindowsCurrentVersionRun.
- Командно‑управляющая инфраструктура: передача похищенных данных на C2 через HTTPS с использованием резервных доменов для поддержания устойчивого соединения.
Индикаторы и поведение, важные для обнаружения
Salat stealer демонстрирует набор действий, по которым можно оперативно определять компрометацию:
- создание и использование временных файлов в %Temp% для агрегации учетных данных;
- загрузка и запуск UPX‑упакованных бинарей;
- взаимодействие с AMSI (подозрительные загрузки amsi.dll и попытки обхода сканирования);
- попытки чтения и эксфильтрации данных из браузерных профилей и файлов сессий Telegram;
- установка Persist через запись в ключи запуска реестра (HKCUSoftwareMicrosoftWindowsCurrentVersionRun);
- установление исходящих HTTPS‑соединений с подозрительными/известно вредоносными C2‑доменами и IP.
Как Wazuh помогает обнаруживать Salat stealer
Для выявления активности Salat stealer в отчете описан подход, основанный на платформе Wazuh с интеграцией Sysmon и VirusTotal. Ключевые элементы обнаружения:
- Sysmon: повышенная телеметрия системных событий (создание процессов, загрузка DLL, сетевые соединения, изменения реестра и т.д.).
- Пользовательские правила Wazuh: ряд детектов, нацеленных на поведение, типичное для Stealer‑семейств:
- Rule 100601 — фиксирует, когда процесс SmartScreen загружает urlmon.dll, что может указывать на сетевую разведку или загрузку вредоносного контента;
- Rule 100602 — сигнализирует о загрузке amsi.dll и/или подозрительных попытках взаимодействия с AMSI (индикатор попыток обхода защиты);
- Rule 100603 — выявляет выполнение скриптов PowerShell в временных каталогах, что часто сопутствует пост‑эксплуатационным сценариям;
- Rule 100604 — отслеживает изменения реестра, в том числе создание ключей запуска, типичных для закрепления;
- Rule 100605 — обнаруживает исходящие соединения к известным вредоносным IP‑адресам;
- Rule 100606 — помечает подозрительные DNS‑запросы, например к резервным доменам C2.
Кроме того, интеграция Wazuh с VirusTotal позволяет автоматически отправлять хэши вновь созданных или изменённых файлов на анализ в VirusTotal, что даёт дополнительную проверку в режиме реального времени и облегчает автоматизированный ответ (например, удаление подтверждённых вредоносных файлов).
Практические рекомендации по защите
Учитывая описанное поведение Salat stealer, организациям и пользователям рекомендуется следующие меры:
- развернуть и правильно настроить Wazuh с интеграцией Sysmon для повышения видимости событий;
- включить и поддерживать интеграцию с VirusTotal для автоматического анализа новых файлов и оперативного реагирования;
- настроить и поддерживать пользовательские правила детектирования, аналогичные Rule 100601–100606, с учётом локального окружения;
- контролировать и ограничивать исполнение PowerShell (Execution Policy, AMSI, Application Control);
- мониторить запись и исполнение файлов в %Temp% и другие подозрительные локации;
- внедрить application allow‑listing и контроль целостности критичных каталогов;
- ограничить привилегии пользователей, особенно на рабочих станциях, где хранятся криптокошельки;
- ввести многофакторную аутентификацию (MFA) для критичных сервисов и кошельков, где это возможно;
- блокировать известные C2‑домены/IP на сетевом уровне и проводить регулярную переоценку списка индикаторов.
Вывод
Salat stealer — эволюционирующая угроза, сочетающая в себе современные техники уклонения и эффективные механизмы сбора информации. Применение комплексного подхода: расширенная телеметрия (Sysmon), проактивные правила обнаружения в Wazuh и интеграция с VirusTotal — даёт организациям реальные шансы быстро выявлять и нейтрализовать инциденты, связанные с этим стилером. Постоянная адаптация стратегий обнаружения и оперативный мониторинг критичны для защиты от подобных целенаправленных атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Salat stealer: обнаружение и противодействие с помощью Wazuh".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.