Segui 
Riepilogo
Un’applicazione potenzialmente indesiderata firmata da Dragon Boss Solutions ha abusato di un flusso di aggiornamento legittimo per scaricare e eseguire silenziosamente payload MSI e PowerShell che disabilitavano le protezioni antivirus e stabilivano la persistenza tramite sottoscrizioni di eventi WMI e attività pianificate. Poiché l’updater comunicava con domini non registrati che potevano essere rivendicati da chiunque, il software ha effettivamente creato un’opportunità di supply-chain per la distribuzione di codice arbitrario. I ricercatori hanno osservato oltre 25.000 endpoint connettersi a questa infrastruttura, inclusi sistemi in diversi settori ad alto valore.
Indagine
Huntress ha scoperto artefatti di persistenza basati su WMI e un picco nella creazione di attività pianificate, quindi ha tracciato l’attività fino a un eseguibile firmato chiamato RaceCarTwo.exe che avviava un installer MSI. L’installer estraeva uno script PowerShell chiamato ClockRemoval.ps1, che terminava i processi antivirus, bloccava l’accesso ai domini di aggiornamento AV, aggiungeva esclusioni di Microsoft Defender e si reinstallava ripetutamente per mantenere l’accesso. Gli investigatori hanno anche trovato che domini non registrati, tra cui chromsterabrowser.com, venivano usati come fonte primaria di aggiornamento, il che significava che qualsiasi parte esterna poteva registrare quei domini e distribuire i propri payload.
Mitigazione
Per fermare ulteriori abusi, il team di ricerca ha registrato i domini esposti e li ha intercettati, interrompendo efficacemente il percorso di aggiornamento dannoso. Hanno anche documentato le sottoscrizioni di eventi WMI correlate, le attività pianificate e le modifiche al registro affinché i difensori potessero identificare e rimuovere i componenti compromessi. Le organizzazioni dovrebbero bloccare i domini noti e monitorare i nomi di attività specifici e l’attività del consumatore WMI associata a questa campagna per ridurre il rischio di compromissione continuata.
Risposta
I team di sicurezza dovrebbero rilevare la creazione di attività pianificate come ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogone RemoveClockPeriodic. Gli avvisi dovrebbero anche attivarsi su sottoscrizioni di eventi WMI contenenti MbRemoval or MbSetup. I difensori dovrebbero monitorare eseguibili firmati da Dragon Boss Solutions, cercare la presenza di ClockRemoval.ps1 nei directory WMILoad, esaminare i file dei host per le voci che bloccano i domini dei fornitori di antivirus e indagare su esclusioni inaspettate di Windows Defender nei sistemi impattati.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffeb99 classDef file fill:#c0ffc0 classDef technique fill:#dddddd %% Technique nodes tech_t1210[“<b>Tecnica</b> – T1210 Sfruttamento dei servizi remoti<br/><b>Descrizione</b>: Un meccanismo di aggiornamento personalizzato contatta URL remoti per scaricare e installare payload MSI malevoli.”]:::technique tech_t1218_007[“<b>Tecnica</b> – T1218.007 Esecuzione proxy di binari di sistema: Msiexec<br/><b>Descrizione</b>: Msiexec.exe viene utilizzato per installare silenziosamente un pacchetto MSI malevolo.”]:::technique tech_t1059_001[“<b>Tecnica</b> – T1059.001 Interprete di comandi e script: PowerShell<br/><b>Descrizione</b>: PowerShell esegue lo script ClockRemoval.”]:::technique tech_t1546_003[“<b>Tecnica</b> – T1546.003 Esecuzione attivata da evento: sottoscrizione WMI<br/><b>Descrizione</b>: Le sottoscrizioni WMI attivano script malevoli.”]:::technique tech_t1053[“<b>Tecnica</b> – T1053 Attività pianificate<br/><b>Descrizione</b>: Attività pianificate garantiscono persistenza.”]:::technique tech_t1489[“<b>Tecnica</b> – T1489 Arresto servizi<br/><b>Descrizione</b>: I servizi di sicurezza vengono arrestati.”]:::technique tech_t1562[“<b>Tecnica</b> – T1562 Compromissione difese<br/><b>Descrizione</b>: I processi di sicurezza vengono terminati.”]:::technique tech_t1564_012[“<b>Tecnica</b> – T1564.012 Nascondere artefatti<br/><b>Descrizione</b>: Modifica hosts e esclusioni Defender.”]:::technique tech_t1070_004[“<b>Tecnica</b> – T1070.004 Rimozione indicatori<br/><b>Descrizione</b>: Eliminazione file e registro.”]:::technique %% Action and artifact nodes action_contact_domain[“<b>Azione</b> – Contattare dominio non registrato<br/><b>Dominio</b>: worldwidewebframework3.com”]:::action file_malicious_msi[“<b>File</b> – Payload MSI malevolo”]:::file tool_msiexec[“<b>Strumento</b> – Msiexec.exe”]:::tool script_clockremoval[“<b>Processo</b> – ClockRemoval.ps1 (PowerShell)”]:::process persistence_wmi[“<b>Azione</b> – Creare sottoscrizione WMI”]:::action persistence_schtask[“<b>Azione</b> – Registrare attività pianificate”]:::action action_service_stop[“<b>Azione</b> – Arrestare servizi di sicurezza”]:::action action_impair_defenses[“<b>Azione</b> – Compromettere difese”]:::action action_host_modification[“<b>Azione</b> – Modificare hosts”]:::action action_file_deletion[“<b>Azione</b> – Eliminare file e registro”]:::action %% Connections showing flow action_contact_domain –>|downloads| file_malicious_msi file_malicious_msi –>|installed via| tool_msiexec tool_msiexec –>|executes| script_clockremoval script_clockremoval –>|creates| persistence_wmi script_clockremoval –>|creates| persistence_schtask script_clockremoval –>|stops| action_service_stop script_clockremoval –>|impairs| action_impair_defenses script_clockremoval –>|modifies| action_host_modification script_clockremoval –>|deletes| action_file_deletion %% Linking actions to techniques action_contact_domain –>|uses| tech_t1210 tool_msiexec –>|uses| tech_t1218_007 script_clockremoval –>|uses| tech_t1059_001 persistence_wmi –>|uses| tech_t1546_003 persistence_schtask –>|uses| tech_t1053 action_service_stop –>|uses| tech_t1489 action_impair_defenses –>|uses| tech_t1562 action_host_modification –>|uses| tech_t1564_012 action_file_deletion –>|uses| tech_t1070_004 %% Class assignments class action_contact_domain action class file_malicious_msi file class tool_msiexec tool class script_clockremoval process class persistence_wmi action class persistence_schtask action class action_service_stop action class action_impair_defenses action class action_host_modification action class action_file_deletion action
Flusso di Attacco
Rilevamenti
Esecuzione Sospetta di Taskkill (tramite cmdline)
Visualizza
Esecuzione di File in Directory Sospetta con PowerShell Utilizzando Bypass Execution Policy (tramite cmdline)
Visualizza
LOLBAS Schtasks (tramite cmdline)
Visualizza
LOLBAS MsiExec Genera Shell (tramite cmdline)
Visualizza
IOC (HashSha256) per rilevare: Quando i PUP Crescono i Denti Aghiati: Dragon Boss Solutions Ha Lasciato Una Porta Aperta su 25,000+ Endpoint
Visualizza
Modifica della Politica di Esecuzione di PowerShell di Dragon Boss Solutions [Windows Powershell]
Visualizza
Rilevamento di Esecuzioni Dannose da Dragon Boss Solutions LLC [Creazione di Processi Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-Vol Prevolo di Telemetria & Baseline deve essere superato.
Giustificazione: Questa sezione dettaglia la precisa esecuzione della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare esattamente la telemetria attesa dalla logica di rilevamento.
-
Narrativa di Attacco & Comandi:
Un avversario ha ottenuto il legittimo RaceCarTwo.exe firmato da Dragon Boss Solutions LLC. Sfruttano lo stato di attendibilità del binario per bypassare la whitelist delle applicazioni. Innanzitutto, distribuiscono un MSI dannoso (Setup.msi) che carica un servizio privilegiato e installa un’attività pianificata per raggiungere T1546.016. Successivamente, eseguono uno script PowerShell (ClockRemoval.ps1) che disabilita o disinstalla il prodotto AV dell’endpoint, riflettendo T1059.001. Entrambe le azioni vengono eseguite dallo stesso processo, assicurando che la regola di rilevamento veda gli schemi esatti della riga di comando.-
Distribuire MSI dannoso:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "Setup.msi" ` -Wait -
Esegui script PowerShell per disabilitare AV:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "ClockRemoval.ps1" ` -Wait
-
-
Script di Test di Regressione:
Lo script sotto automatizza i due passaggi in un’unica esecuzione, riproducendo la telemetria esatta che la regola Sigma si aspetta.# ------------------------------------------------- # Simulazione della catena di esecuzione dannosa di DragonBoss # ------------------------------------------------- $binaryPath = "C:Program FilesDragonBossRaceCarTwo.exe" # 1. Installare MSI dannoso Write-Host "[*] Distribuzione di MSI dannoso (Setup.msi)..." Start-Process -FilePath $binaryPath -ArgumentList "Setup.msi" -Wait # 2. Esegui script PowerShell per disabilitare AV Write-Host "[*] Esecuzione di ClockRemoval.ps1 tramite lo stesso binario..." Start-Process -FilePath $binaryPath -ArgumentList "ClockRemoval.ps1" -Wait Write-Host "[+] Simulazione completata. Verifica allerta nel SIEM." -
Comandi di Pulizia:
Rimuovere qualsiasi artefatto creato durante la simulazione per ripristinare l’host allo stato pre-test.# ------------------------------------------------- # Pulizia per la simulazione di DragonBoss # ------------------------------------------------- # Rimuovere il prodotto MSI installato (sostituire ProductCode con GUID effettivo) $productCode = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" try { Write-Host "[*] Disinstallazione di MSI dannoso..." msiexec /x $productCode /quiet /norestart } catch { Write-Warning "Disinstallazione MSI fallita o prodotto non presente." } # Elimina lo script PowerShell se è stato scritto su disco dall'MSI $scriptPath = "$env:ProgramDataClockRemoval.ps1" if (Test-Path $scriptPath) { Write-Host "[*] Rimozione di ClockRemoval.ps1..." Remove-Item $scriptPath -Force } Write-Host "[+] Pulizia completata."