Catena di Installazione Falsa Termina in Infezione ValleyRAT
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un installer trojanizzato che si spaccia per il setup del messenger LINE è stato osservato distribuire un payload ValleyRAT. Costruito con NSIS e firmato utilizzando un certificato sospetto, il dropper impianta diversi componenti DLL e INI che supportano l’iniezione di codice and e la persistenza. Il malware comunica poi con due server C2 ospitati a Hong Kong per recuperare ulteriori binari dannosi. L’attività sembra mirata agli utenti di lingua cinese e impiega tecniche avanzate, tra cui PoolParty Variant 7 per l’iniezione di processo.
Indagine
Gli analisti di Cybereason hanno condotto un’analisi statica e dinamica del falso installer di LINE e hanno confermato l’uso di PowerShell, rundll32e di loader DLL personalizzati. La catena ha creato artefatti in %AppData% and %LocalAppData%, instaurato la sincronizzazione tramite mutexe registrato la persistenza attraverso compiti pianificati creati tramite RPC. Il comportamento post-installazione includeva l’iniezione in explorer.exe and UserAccountBroker.exe, coerente con un flusso di lavoro di accesso remoto a bassa visibilità. La telemetria di rete ha identificato due indirizzi IP C2 a Hong Kong utilizzati per il recupero comandi e la pianificazione del payload. L’attribuzione è stata valutata come coerente con l’attività di Silver Fox e ha mostrato sovrapposizione di codice con SADBRIDGE.
Mitigazione
Cerca il falso installer imballato NSIS e segnala la impronta digitale del certificato sospetto associato alla catena di firma. Monitora la creazione del set di file scaricati dall’installer, le modifiche correlate al registro e i tentativi di aggiungere esclusioni di Windows Defender. Blocca la connettività in uscita agli IP C2 identificati e applica controlli di firma del codice che rifiutano certificati non validi o non attendibili. Aggiungi rilevamenti EDR per modelli di iniezione in stile PoolParty Variant 7e per sequenze di creazione di compiti pianificati consistenti con la persistenza basata su RPC.
Risposta
Se viene rilevata attività sospetta, isola il endpoint, termina i processi dannosi e rimuovi il falso installer e tutti gli artefatti scaricati. Effettuare una ricerca completa per ulteriori payload ValleyRAT. moduli, ripristina le impostazioni di Defender (inclusa la rimozione delle esclusioni non autorizzate) e cancella i compiti pianificati creati dall’attaccante. Rivedi l’attività recente degli utenti e degli host per segni di movimento laterale, quindi dai l’avvio a una risposta agli incidenti per la cattura della memoria e per una raccolta forense più approfondita.
Flusso di Attacco
Rilevazioni
Possibile Creazione di Compito Pianificato (via powershell)
Visualizza
Compito Pianificato Sospetto (via audit)
Visualizza
Esecuzione di Percorso Sospetto Rundll32 Dll (via process_creation)
Visualizza
Modifiche Sospette alle Preferenze di Windows Defender (via powershell)
Visualizza
LOLBAS Regsvr32 (via cmdline)
Visualizza
IOC (DestinationIP) da rilevare: Falso Installer: Infezione ValleyRAT finale
Visualizza
IOC (HashSha1) da rilevare: Falso Installer: Infezione ValleyRAT finale
Visualizza
IOC (SourceIP) da rilevare: Falso Installer: Infezione ValleyRAT finale
Visualizza
Rilevazione Falso Installer Usando Esclusioni di Windows Defender e Compiti Pianificati [Windows Powershell]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Base deve essere superato.
Motivo: Questa sezione detaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO rispecchiare direttamente i TTP identificati e mirano a generare esattamente la telemetria prevista dalla logica di rilevamento.
-
Narrativa & Comandi di Attacco:
Un attaccante che ha già compromesso un account a basso privilegio desidera elaborare un payload sull’host compromesso mentre elude la scansione antivirus. L’attaccante:- Utilizza PowerShell per aggiungere un’esclusione di Windows Defender che copre l’intero C: drive, garantendo che eventuali binari malevoli posizionati lì siano invisibili al Defender.
- Nello stesso invocazione di PowerShell, registra un compito pianificato che lancerà il payload nascosto (
C:Malwarepayload.ps1) ogni volta che un processo legittimo specifico (es.,explorer.exe) inizia, fornendo persistenza. - Poiché entrambe le azioni sono combinate in una singola linea di comando, la telemetria corrisponde alla regola Sigma
selezione1 e selezione2condizione, provocando un avviso.
-
Script di Test di Regressione:
# ------------------------------------------------- # Simulazione di Falso Installer – Attiva la Regola Sigma # ------------------------------------------------- # 1. Definisci percorso di esclusione (intero C: drive) $exclusion = "C:" # 2. Definisci dettagli del compito pianificato $taskName = "UpdateScheduler" $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1" $trigger = New-ScheduledTaskTrigger -AtLogOn # 3. Combina entrambi i comandi in una singola linea di comando di PowerShell $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force" # 4. Esegui il comando combinato Invoke-Expression $combined -
Comandi di Pulizia:
# ------------------------------------------------- # Pulizia – Rimuovi l'esclusione e il compito pianificato # ------------------------------------------------- # Rimuovi l'esclusione di Defender per C: Remove-MpPreference -ExclusionPath "C:" # Cancella il compito pianificato Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false