Play Ransomware si Maschera come SentinelOne nella Campagna di Ricognizione Grixba
Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Il report delinea un’operazione di ransomware Play che si basa su un’utilitĂ di ricognizione .NET personalizzata chiamata Grixba, distribuita tramite RDP su un server Windows. Grixba si maschera come eseguibile di SentinelOne (GT_NET.exe) e memorizza l’output della scansione in ExportData.db. Lo strumento comunica con un indirizzo IP VPN di PIA e genera un data.zip archivio protetto da password. L’identificazione precoce di questi artefatti può fermare l’attacco prima della fase di ransomware.
Analisi dell’Attacco Ransomware Play
Field Effect MDR ha osservato il binario Grixba rilasciato in C:UsersPublicMusic insieme a data.dat, seguito dall’esecuzione di GT_NET.exe e l’estrazione della chiave XOR per decodificare inf_g.dll. Ulteriori analisi hanno rivelato interruttori da riga di comando per la ricognizione e la creazione di ExportData.db, che contengono dettagli estesi del sistema. Gli investigatori hanno anche recuperato l’elemento di password codificato necessario per sbloccare data.zip.
Mitigazione
Le misure raccomandate includono mantenere backup affidabili, patchare prontamente il software, utilizzare firewall DNS, applicare un uso sicuro delle VPN, utilizzare l’MFA e sfruttare le piattaforme MDR/XDR per rilevare l’attivitĂ di ricognizione in anticipo. I team dovrebbero monitorare continuamente gli artefatti distinti e i comportamenti di esecuzione legati a Grixba.
Risposta
Quando vengono rilevati GT_NET.exe, data.dat, inf_g.dll o ExportData.db, i rispondenti devono isolare l’endpoint, catturare evidenze volatili, derivare la password ZIP dal valore incorporato e indagare sui movimenti laterali o sulla preparazione del ransomware. Gli incident handler dovrebbero anche bloccare l’indirizzo IP correlato e rivedere attentamente i log di accesso RDP.
graph TB %% Class Definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef data fill:#ccffcc %% Nodes initial_access[“<b>Azione</b> – <b>T1021.001 Servizi Remoti: RDP</b><br/>L’avversario utilizza RDP per ottenere l’accesso iniziale e rilascia <b>GT_NET.exe</b> e <b>data.dat</b> in C:\\Users\\Public\\Music”] class initial_access action tool_gt_net[“<b>Malware</b> – <b>Nome</b>: GT_NET.exe<br/><b>Descrizione</b>: Payload .NET personalizzato rilasciato durante la sessione RDP”] class tool_gt_net malware execution_obfusc[“<b>Azione</b> – <b>T1027.007 Risoluzione Dinamica delle API</b><br/>Strumento .NET offuscato che utilizza codifica Base64 e XOR per nascondere le funzionalitĂ ”] class execution_obfusc action discovery[“<b>Azione</b> – <b>T1016 Scoperta della Configurazione di Rete del Sistema</b>, <b>T1018 Scoperta di Sistemi Remoti</b>, <b>T1595.001 Scansione Attiva: Scansione di Blocchi IP</b><br/>Grixba esegue la scansione della rete interna ed enumera host, software e processi in esecuzione”] class discovery action collection[“<b>Azione</b> – <b>T1560.001 Archiviazione dei Dati Raccolti: Archiviazione tramite Utility</b><br/>I risultati raccolti vengono scritti in ExportData.db e poi compressi in un data.zip protetto da password”] class collection action credential_extraction[“<b>Azione</b> – <b>T1140 Deoffuscare/Decodificare File o Informazioni</b><br/>La chiave XOR viene decodificata per decrittare data.dat e generare la password dello ZIP”] class credential_extraction action preparation[“<b>Azione</b> – Preparazione per la Fase Successiva<br/>Le informazioni di intelligence vengono utilizzate per l’escalation dei privilegi e lo sfruttamento delle vulnerabilitĂ ”] class preparation action %% Connections initial_access –>|rilascia| tool_gt_net tool_gt_net –>|esegue| execution_obfusc execution_obfusc –>|esegue| discovery discovery –>|porta a| collection collection –>|produce| credential_extraction credential_extraction –>|abilita| preparation
Flusso di Attacco
Rilevamenti
Rileva Esecuzione dello Strumento di Ricognizione Grixba con Argomenti Specifici da Riga di Comando [Creazione di Processi Windows]
Visualizza
Rileva Strumento di Ricognizione Grixba Rilasciato tramite RDP [Evento File Windows]
Visualizza
IOC (DestinationIP) per rilevamento: Il travestimento di Grixba: Play Ransomware si impersonifica SentinelOne per ricognizione stealth
Visualizza
IOC (SourceIP) per rilevamento: Il travestimento di Grixba: Play Ransomware si impersonifica SentinelOne per ricognizione stealth
Visualizza
IOC (HashSha256) per rilevamento: Il travestimento di Grixba: Play Ransomware si impersonifica SentinelOne per ricognizione stealth
Visualizza
Esecuzione Simulazione
Prerequisito: Il Controllo Pre‑volo di Telemetria & Baseline deve essere passato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a errori di diagnosi.
-
Narrazione dell’Attacco & Comandi:
L’avversario ha acquisito un punto d’appoggio iniziale su una workstation compromessa. Per mappare la rete interna prima del movimento laterale, scaricano il binario di ricognizione Grixba (
GT_NET.exe) dal server di comando e controllo ed eseguono con la serie di argomenti che la regola Sigma prende di mira. L’argomento sceltoÂ-m:scanall -i:d forza una scoperta completa degli host uniti a dominio, mentreÂ-i:r eÂ-i:f enumerano rispettivamente condivisioni remote e condivisioni di file. Questi argomenti sono tipici del payload predefinito dello strumento e producono stringhe di comandi distintive che la regola di rilevamento cerca.Passaggi:
- Scarica lo strumento (simulato con una copia da una cartella di test).
- Esegui il binario con ciascun set di argomenti mirato per garantire che la regola si attivi in ogni caso.
- Lascia che il processo venga eseguito brevemente per permettere al SIEM di acquisire l’evento.
-
Script Test di Regressione:
# Script Test di Regressione – Esecuzione Strumento di Ricognizione Grixba # ---------------------------------------------------- # Assunzioni: # • GT_NET.exe si trova in C:TempGT_NET.exe (sostituire con il percorso effettivo) # • Esecuzione con privilegi sufficienti per invocare il binario # ---------------------------------------------------- $exePath = "C:TempGT_NET.exe" if (-Not (Test-Path $exePath)) { Write-Error "GT_NET.exe non trovato in $exePath. Aborto." exit 1 } # 1. Esegui con -m:scanall -i:d Write-Host "`n[+] Avvio di GT_NET.exe con '-m:scanall -i:d' ..." Start-Process -FilePath $exePath -ArgumentList "-m:scanall -i:d" -WindowStyle Hidden -PassThru | Out-Null Start-Sleep -Seconds 5 # 2. Esegui con -i:r Write-Host "`n[+] Avvio di GT_NET.exe con '-i:r' ..." Start-Process -FilePath $exePath -ArgumentList "-i:r" -WindowStyle Hidden -PassThru | Out-Null Start-Sleep -Seconds 5 # 3. Esegui con -i:f Write-Host "`n[+] Avvio di GT_NET.exe con '-i:f' ..." Start-Process -FilePath $exePath -ArgumentList "-i:f" -WindowStyle Hidden -PassThru | Out-Null Start-Sleep -Seconds 5 Write-Host "`n[+] Esecuzione completa. Verifica rilevamento nel SIEM." -
Comandi di Pulizia:
# Pulizia – Terminare eventuali processi GT_NET.exe rimanenti e rimuovere il binario Get-Process -Name "GT_NET" -ErrorAction SilentlyContinue | Stop-Process -Force $exePath = "C:TempGT_NET.exe" if (Test-Path $exePath) { Remove-Item $exePath -Force Write-Host "[+] GT_NET.exe rimosso." } else { Write-Host "[*] GT_NET.exe non presente; niente da eliminare."