Suivre
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un installateur trojanisé se faisant passer pour le setup de messagerie LINE a été observé en train de livrer un charge utile ValleyRAT . Construit avec NSIS et signé à l’aide d’un certificat suspect, le dropper plante plusieurs composants DLL et INI qui soutiennent l’injection de code and la persistance. Le malware communique ensuite avec deux serveurs C2 hébergés à Hong Kong pour récupérer des binaires malveillants supplémentaires. L’activité semble viser des utilisateurs sinophones et utilise des techniques avancées, notamment PoolParty Variant 7 l’injection de processus.
Enquête
Les analystes de Cybereason ont effectué des analyses statiques et dynamiques de l’installateur LINE factice et ont confirmé l’utilisation de PowerShell, rundll32, et des chargeurs DLL personnalisés. La chaîne a créé des artefacts dans %AppData% and %LocalAppData%, a établi la synchronisation via des mutex, et a enregistré la persistance par des tâches planifiées créées via RPC. Le comportement post-installation incluait une injection dans explorer.exe and UserAccountBroker.exe, cohérent avec un flux de travail d’accès à distance axé sur la discrétion. La télémétrie réseau a identifié deux adresses IP C2 à Hong Kong utilisées pour la récupération de commandes et la mise en scène de charges utiles. L’attribution a été évaluée comme cohérente avec l’activité Silver Fox et a montré des chevauchements de code avec SADBRIDGE.
Atténuation
Traquez l’installateur factice emballé par NSIS et signalez l’empreinte digitale de certificat suspecte associée à la chaîne de signature. Surveillez la création de l’ensemble de fichiers déposés par l’installateur, les modifications de registre associées et les tentatives d’ajout d’ associated with the signing chain. Monitor for creation of the installer’s dropped file set, related registry modifications, and attempts to add exclusions de Windows Defender. Bloquez la connectivité sortante vers les adresses IP C2 identifiées et appliquez des contrôles de signature de code qui rejettent les certificats invalides ou non fiables. Ajoutez des détections EDR pour les modèles d’injection de style PoolParty Variant 7et pour les séquences de création de tâches planifiées cohérentes avec la persistance basée sur RPC.
Réponse
Si une activité suspecte est détectée, isolez le point final, terminez les processus malveillants et supprimez l’installateur factice et tous les artefacts déposés. Effectuez une analyse complète des modules supplémentaires, restaurez les paramètres de Defender (y compris la suppression des exclusions non autorisées), et supprimez les tâches planifiées créées par l’attaquant. Examinez l’activité récente des utilisateurs et des hôtes pour des signes de mouvement latéral, puis escaladez vers une réponse aux incidents pour la capture de mémoire et une collecte judiciaire plus approfondie. charge utile ValleyRAT modules, restore Defender settings (including removal of unauthorized exclusions), and delete attacker-created scheduled tasks. Review recent user and host activity for signs of lateral movement, then escalate to incident response for memory capture and deeper forensic collection.
graph TB %% Définitions des classes classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ff9999 classDef malware fill:#ccffcc classDef network fill:#dddddd %% Nœuds tech_user_exec[« <b>Technique</b> – <b>T1204 Exécution Utilisateur</b><br/><b>Description</b>: La victime exécute un faux installateur malveillant (LineInstaller.exe) se faisant passer pour l’installateur LINE légitime. »] class tech_user_exec technique tech_masquerade[« <b>Technique</b> – <b>T1036 Mascarade</b><br/><b>Description</b>: L’installateur imite le nom d’un logiciel légitime et utilise un certificat de signature de code valide. »] class tech_masquerade technique tech_event_exec[« <b>Technique</b> – <b>T1546.016 Exécution Déclenchée par Événement : Paquets Installer</b><br/><b>Description</b>: Installateur basé sur NSIS exécuté avec privilèges élevés via UAC. »] class tech_event_exec technique tech_powershell[« <b>Technique</b> – <b>T1059.001 PowerShell</b><br/><b>Description</b>: PowerShell ajoute des chemins d’exclusion à Windows Defender et prépare des scripts de persistance. »] class tech_powershell technique tech_regsvr32[« <b>Technique</b> – <b>T1218.010 Exécution Proxy Regsvr32</b><br/><b>Description</b>: Tâche planifiée invoque regsvr32.exe pour activer DllRegisterServer dans intel.dll. »] class tech_regsvr32 technique tech_rundll32[« <b>Technique</b> – <b>T1218.011 Exécution Proxy Rundll32</b><br/><b>Description</b>: rundll32.exe lance DllRegisterServer de intel.dll. »] class tech_rundll32 technique tech_sched_task[« <b>Technique</b> – <b>T1053 Tâche Planifiée</b><br/><b>Description</b>: Tâches planifiées malveillantes créées via des appels RPC au service Planificateur de tâches. »] class tech_sched_task technique tech_sandbox_evasion[« <b>Technique</b> – <b>T1497.002 Évasion Virtualisation/Sandbox</b><br/><b>Description</b>: intel.dll vérifie les verrous de fichiers et mutex pour détecter les environnements sandbox. »] class tech_sandbox_evasion technique tech_pe_injection[« <b>Technique</b> – <b>T1055.002 Injection Processus : Portable Executable</b><br/><b>Description</b>: intel.dll et sangee.ini injectent du shellcode dans Explorer.exe en utilisant PoolParty Variant 7. »] class tech_pe_injection technique tech_apc_injection[« <b>Technique</b> – <b>T1055.004 Injection Processus : Appel Procédure Asynchrone</b><br/><b>Description</b>: Injection utilisant ZwSetIoCompletion avec un handle de port de fin de I/O. »] class tech_apc_injection technique tech_exploit_defense[« <b>Technique</b> – <b>T1211 Exploitation pour Évasion Défensive</b><br/><b>Description</b>: Malware appelle SetTcpEntry pour supprimer les connexions TCP des composants de sécurité. »] class tech_exploit_defense technique tech_obfuscation[« <b>Technique</b> – <b>T1027.005 Fichiers Obfusqués : Suppression d’Indicateurs</b><br/><b>Description</b>: Vérifications anti-sandbox et anti-analyse cachent les artefacts et empêchent l’exécution dans un environnement d’analyse. »] class tech_obfuscation technique tech_web_service[« <b>Technique</b> – <b>T1102 Service Web</b><br/><b>Description</b>: Payload final ValleyRat récupéré depuis des serveurs C2 distants via TCP standard. »] class tech_web_service technique file_lineinstaller[« <b>Fichier</b> – <b>Nom</b>: LineInstaller.exe<br/><b>Type</b>: Installer NSIS »] class file_lineinstaller file file_inteldll[« <b>Fichier</b> – <b>Nom</b>: intel.dll<br/><b>Type</b>: DLL pour exécution proxy et injection »] class file_inteldll file file_sangee[« <b>Fichier</b> – <b>Nom</b>: sangee.ini<br/><b>But</b>: Configuration pour routines d’injection »] class file_sangee file file_policyxml[« <b>Fichier</b> – <b>Nom</b>: policyManagement.xml<br/><b>But</b>: Définit les détails de la tâche planifiée »] class file_policyxml file file_updatedps1[« <b>Fichier</b> – <b>Nom</b>: updated.ps1<br/><b>But</b>: Script de persistance PowerShell »] class file_updatedps1 file malware_valleyrat[« <b>Malware</b> – <b>Nom</b>: ValleyRat<br/><b>Rôle</b>: Payload final livré à la victime »] class malware_valleyrat malware process_regsvr32[« <b>Processus</b> – <b>Nom</b>: regsvr32.exe »] class process_regsvr32 process process_rundll32[« <b>Processus</b> – <b>Nom</b>: rundll32.exe »] class process_rundll32 process process_explorer[« <b>Processus</b> – <b>Nom</b>: Explorer.exe »] class process_explorer process network_c2[« <b>Réseau</b> – <b>Serveurs C2</b>: 143.92.38.217:18852, 206.238.221.165:443 »] class network_c2 network %% Connexions tech_user_exec –>|initie| file_lineinstaller file_lineinstaller –>|déclenche| tech_masquerade tech_masquerade –>|active| tech_event_exec tech_event_exec –>|élève à| process_regsvr32 process_regsvr32 –>|appelle| file_inteldll file_inteldll –>|enregistré via| tech_regsvr32 tech_regsvr32 –>|utilise aussi| process_rundll32 process_rundll32 –>|charge| file_inteldll tech_rundll32 –>|charge également| file_inteldll file_inteldll –>|crée| tech_sched_task tech_sched_task –>|crée tâche avec| file_policyxml tech_sched_task –>|exécute| file_updatedps1 file_updatedps1 –>|exécute commandes PowerShell pour| tech_powershell tech_powershell –>|ajoute exclusions et prépare| tech_sandbox_evasion tech_sandbox_evasion –>|vérifie l’environnement avant| tech_pe_injection tech_pe_injection –>|injecte dans| process_explorer tech_pe_injection –>|utilise| tech_apc_injection tech_apc_injection –>|exploite| tech_exploit_defense tech_exploit_defense –>|perturbe outils de sécurité| file_sangee tech_obfuscation –>|cache artefacts pour| malware_valleyrat malware_valleyrat –>|récupéré depuis| network_c2 network_c2 –>|livre payload via| tech_web_service tech_web_service –>|livraison finale à| process_explorer
Flux d’attaque
Détections
Création de tâche planifiée possible (via powershell)
Vue
Tâche planifiée suspecte (via audit)
Vue
Exécution de chemin DLL suspect avec Rundll32 (via création_processus)
Vue
Modifications suspectes des préférences de Windows Defender (via powershell)
Vue
LOLBAS Regsvr32 (via cmdline)
Vue
IOC (DestinationIP) pour détecter : Installer factice : Infection finale par ValleyRAT
Vue
IOC (HashSha1) pour détecter : Installer factice : Infection finale par ValleyRAT
Vue
IOC (SourceIP) pour détecter : Installer factice : Infection finale par ValleyRAT
Vue
Détection d’installateur factice à l’aide d’exclusions Windows Defender et de tâches planifiées [Windows Powershell]
Vue
Exécution de simulation
Condition préalable : Le contrôle de télémétrie & de baseline Pre‑flight doit avoir été satisfait.
Justification : Cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narration de l’attaque & Commandes :
Un attaquant qui a déjà compromis un compte avec peu de privilèges souhaite mettre en scène une charge utile sur l’hôte compromis tout en échappant à la numérisation antivirus. L’attaquant :- Utilise PowerShell pour ajouter une exclusion de Windows Defender qui couvre l’intégralité du C: lecteur, garantissant que les binaires malveillants placés là sont invisibles pour Defender.
- Dans le même invocation PowerShell, enregistre une tâche planifiée qui lancera la charge utile cachée (
C:Malwarepayload.ps1) chaque fois qu’un processus légitime spécifique (par exemple,explorer.exe) commence, fournissant ainsi la persistance. - Comme les deux actions sont combinées en une seule ligne de commande, la télémétrie correspond à la règle Sigma
selection1 et selection2condition, provoquant une alerte.
-
Script de test de régression :
# ------------------------------------------------- # Simulation d'installateur factice – Déclenche la règle Sigma # ------------------------------------------------- # 1. Définir le chemin d'exclusion (l'ensemble du lecteur C:) $exclusion = "C:" # 2. Définir les détails de la tâche planifiée $taskName = "UpdateScheduler" $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1" $trigger = New-ScheduledTaskTrigger -AtLogOn # 3. Combiner les deux commandes en une seule ligne de commande PowerShell $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force" # 4. Invoquer la commande combinée Invoke-Expression $combined -
Commandes de nettoyage :
# ------------------------------------------------- # Nettoyage – Supprimer l'exclusion et la tâche planifiée # ------------------------------------------------- # Supprimer l'exclusion Defender pour C: Remove-MpPreference -ExclusionPath "C:" # Supprimer la tâche planifiée Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false