03.11.2025
1 хв
607
У статті розглянуто, як розпізнати підозрілі звернення, чому важливо враховувати не тільки основний домен, але й субдомени, та як команди кіберзахисту можуть використовувати цей підхід для підвищення ефективності SOC-моніторингу. Це практичний гайд для фахівців, які хочуть глибше розуміти поведінкові сигнали загроз і зміцнювати захист корпоративної інфраструктури.
На основі шестимісячного аналізу телеметрії мережевих з’єднань (1 червня — 31 грудня 2024 року), що охопив понад 3,2 мільйона подій і 742 унікальні базові домени, було встановлено цікаву закономірність: домени, до яких PowerShell звертається рідко, демонструють суттєво вищу імовірність бути пов’язаними зі шкідливими активностями. Шанси на те, що рідкісний домен виявиться небезпечним, були приблизно у 3,18 раза вищими порівняно з часто використовуваними (95% довірчий інтервал: 0,39–25,9), що вказує на потенційну значущість таких сигналів у системах загрозового моніторингу.
Окремої уваги заслуговує випадок, коли загальний високовживаний домен githubusercontent.com був ідентифікований як частина шкідливої активності через свій піддомен raw.githubusercontent.com. Це підкреслює критичну важливість аналізу не лише базових доменів, а й піддоменів — особливо коли йдеться про хмарні сервіси, де інфраструктура є легітимною, але окремі розміщені ресурси можуть використовуватися для розповсюдження зловмисного коду або організації команд-і-керування.
Такий підхід допомагає точніше виявляти приховані ризики та підвищує ефективність реагування на загрози у складних корпоративних середовищах.
За достатньо високого обсягу телеметрії доменні імена, до яких PowerShell рідко підключається, більш схильні до шкідливих, ніж домени, до яких часто підключаються, незалежно від модуля PowerShell.
За період з 1 червня 2024 року по 31 грудня 2024 року було зібрано телеметрію мережевих підключень, пов’язаних із виконанням процесів PowerShell. До набору даних увійшли процеси: powershell.exe, powershell studio.exe, powershell_ise.exe, powershelltools.exe, powershelltoolsx64.exe, pwsh та pwsh.exe — різні версії та реалізації PowerShell. Із заходу було виключено непублічні домени верхнього рівня (наприклад, внутрішні/корпоративні TLD), щоб сфокусуватися винятково на зовнішніх підключеннях.
За допомогою бібліотеки tldextract було витягнуто базові домени (наприклад, із api.automox.com отримано automox.com), у результаті чого отримано 742 унікальні базові домени. Рідкісність визначали через середню кількість контактів на повний домен: обчислювали відношення загальної кількості контактів до числа унікальних повних доменів у межах кожного базового домену; якщо середнє ≤ 5, домен вважався рідкісним. За цим критерієм виділено 550 рідкісних доменів (74,1% від загального числа).
Оцінка репутації доменів проводилася за даними ReversingLabs: домен позначався як шкідливий, якщо хоча б одне стороннє джерело вказувало на таку ознаку. Щоб зменшити кількість хибнопозитивів (наприклад для відомих легітимних доменів), 29 доменів було перевірено вручну й повторно класифіковано як безпечні з документуванням аргументів для цього рішення. Для певних піддоменів (наприклад, raw.githubusercontent.com у складі githubusercontent.com) були вручну проаналізовані аргументи процесу в журналах — у результаті 5 з 10 таких підключень було визнано шкідливими на підставі виявлених команд, наприклад завантаження модулів PowerSploit або виконання Invoke-Mimikatz, що дозволило точніше виявляти реальні загрози.
Розподіл контактів був сильно перекошений:
Перцентилі : 60-й процентиль при 5,0 контактах, 90-й при 82,0, 95-й при 321,55 та 99-й при 7 925,87
Рідкісні домени : 550 з 742 доменів потрапили до категорії рідкісних.
Найактивніші домени : «automox.com» (2 282 308 контактів), «launchdarkly.com» (493 812) та «amazonaws.com» (166 536).
Automox — це сервіс для автоматизованого налаштування кінцевих точок та керування патчами.
LaunchDarkly — це платформа розробки програмного забезпечення для керування прапорцями функцій та контекстно-залежного таргетування функцій.
Amazon Web Services (AWS) є найбільшим постачальником хмарних послуг.
Рідкісні домени : 9 шкідливих з 550 (1,64%, 95% ДІ: 0,86%–3,08%)
Нерідкісні домени : 1 шкідливий з 192 (0,52%, 95% ДІ: 0,09%–2,89%), зокрема «githubusercontent.com»
Коефіцієнт шансів : 3,18 (95% ДІ: 0,39–25,9), що вказує на тенденцію до вищого ризику в рідкісних доменах, хоча й не статистично значущий (хі-квадрат p=0,4291, точний критерій Фішера p=0,4668), ймовірно, через невеликий розмір вибірки (9 рідкісних, 1 нерідкісний)
Домен «githubusercontent.com» (38 контактів, 2 повні домени: «raw.githubusercontent.com» та «objects.githubusercontent.com», в середньому 19,00 контактів на повний домен) було позначено як шкідливий через 5 вручну ідентифікованих шкідливих контактів з «raw.githubusercontent.com». Ці контакти включали потенційно шкідливі команди PowerShell, такі як завантаження та виконання скриптів, таких як PowerSploit або Invoke-Mimikatz.
Інший піддомен, «objects.githubusercontent.com» (28 контактів), не виявив шкідливої активності. Цей висновок ілюструє, що навіть часто використовувані домени можуть містити шкідливі піддомени, що підкреслює необхідність аналізу на рівні піддоменів для виявлення загроз.
Ще одне питання дослідження стосувалося порівняння доменів, до яких звертаються інші подібні процеси, із тими, що фіксуються під час роботи PowerShell.
Для цього аналізу було відібрано такі процеси:
‘rundll32.exe’
Python (включно з версіями для macOS та Windows)
‘cmd.exe’
‘cscript.exe’
‘wscript.exe’
‘bash’
‘zsh’
Ці процеси – це, головним чином, інші інтерпретатори командного рядка або скриптів, а також «rundll32.exe», який дозволяє виконувати динамічно зв’язані бібліотеки (DLL) з командного рядка.
Коли ті самі евристики, що й для PowerShell, були застосовані до доменів, з якими зв’язувалися ці процеси, результати дещо відрізнялися. Зі 156 203 записів про підключення до «rundll32.exe» було зв’язано з 940 унікальними доменами. З них 722 домени були «рідкісними» за допомогою тієї ж евристики, що застосовувалася до PowerShell (тобто до них зв’язувалися максимум п’ять разів). Лише один із зв’язаних доменів був визнаний шкідливим, або серед рідкісних доменів, або серед нерідкісних доменів.
Аналогічно, серед 795 346 загальних записів підключень для Python, за тими ж критеріями було зв’язано з 825 унікальними доменами, а 616 – рідкісними. Жоден з рідкісних доменів не був шкідливим, тоді як 1 з нерідкісних доменів був. Процеси cscript, cmd, zsh та csh мали подібні результати: кількість зв’язаних шкідливих доменів була відсутня або становила одне число. Однак wscript був набагато цікавішим. Він мав набагато менший загальний показник використання в досліджуваному наборі даних – лише 6936 подій підключень та 82 унікальних домени. З них 58 доменів були рідкісними (або приблизно 71%), а 5 були визнані шкідливими.
Пріоритетність рідкісних доменів: Команди безпеки повинні зосередити розслідування на рідкісних доменах через вищу ймовірність їхнього шкідливого програмного забезпечення, незважаючи на статистичну незначущість. Цей висновок стосується, перш за все, PowerShell та wscript серед процесів, розглянутих у цьому дослідженні.
Аналіз піддоменів: для доменів, з якими часто зв’язуються, проаналізуйте піддомени та обробіть аргументи для виявлення шкідливої активності, як показано на прикладі «githubusercontent.com».
Інтеграція ручної перевірки: поєднуйте автоматизовану розвідку загроз із ручною перевіркою, щоб зменшити кількість хибнопозитивних результатів та виявити нюансовані загрози, особливо в доменах з високою кількістю контактів.
Дослідіть аномальне використання «wscript.exe»: деякі середовища можуть все ще широко використовувати wscript. Однак це дослідження показує, що в середовищах, де він рідко використовується, він має найвищу ймовірність використання для підключення до шкідливих доменів досліджуваних процесів.
Подальший розвиток цієї теми відкриває кілька напрямів для дослідження. Один із них — аналіз часових закономірностей, щоб з’ясувати, чи пов’язані певні періоди активності з підозрілими підключеннями до доменів. Наприклад, можна перевірити, чи частіше спостерігається стрибок взаємодій зі шкідливими ресурсами у вихідні або поза стандартним робочим графіком. Для цього підійде аналіз часових рядів, який дозволяє виявити приховані тенденції та повторювані шаблони.
Ще один перспективний напрям — дослідження поведінки процесів, зокрема їхніх аргументів, щоб знайти повторні ознаки, характерні для шкідливих дій. Це можуть бути ознаки завантаження віддалених PowerShell-скриптів або витоку даних. Такий підхід допоміг би точніше оцінювати ризики, удосконалити нинішні співвідношення між рідкісними й нерідкісними доменами та виявляти поведінкові індикатори загроз.
У майбутньому може бути створена інтегрована система оцінки ризиків, яка враховуватиме частоту звернень, історію зловживань, категорію домену та інформацію з зовнішніх загрозових джерел. Такий підхід дозволить масштабовано визначати пріоритетні підозрілі ресурси та швидше реагувати на потенційні атаки, перетворюючи аналітичні висновки на практичні інструменти кіберзахисту.
Отримані результати чітко показують: навіть одиничні, на перший погляд незначні події у PowerShell-трафіку можуть бути ранніми індикаторами загрози. Рідкісні звернення до доменів, а також робота з окремими піддоменами популярних платформ залишаються найціннішими сигналами для виявлення прихованої активності. Особливо це стосується сценаріїв, де PowerShell або wscript використовуються точково й поза типовим контекстом — такі випадки часто відкривають шлях до виявлення завантаження шкідливих компонентів, виконання обхідних команд і подальшої ескалації.
