Dragon Boss Laisse Plus de 25 000 Endpoints Exposés

SOC Prime Team

Suivre

Dragon Boss Laisse Plus de 25 000 Endpoints Exposés

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Une application potentiellement indésirable signée par Dragon Boss Solutions a abusé d’un processus de mise à jour légitime pour télécharger et exécuter discrètement des charges utiles MSI et PowerShell qui désactivaient les protections antivirus et établissaient une persistance via des abonnements d’événements WMI et des tâches planifiées. Comme le programme de mise à jour communiquait avec des domaines non enregistrés pouvant être revendiqués par n’importe qui, le logiciel a effectivement créé une opportunité de chaîne d’approvisionnement pour la livraison de code arbitraire. Les chercheurs ont observé plus de 25 000 points d’accès se connectant à cette infrastructure, y compris des systèmes dans plusieurs secteurs de grande valeur.

Enquête

Huntress a découvert des artefacts de persistance basés sur WMI et une augmentation de la création de tâches planifiées, puis a remonté l’activité jusqu’à un exécutable signé nommé RaceCarTwo.exe qui a lancé un installateur MSI. L’installateur a extrait un script PowerShell appelé ClockRemoval.ps1, qui a terminé les processus antivirus, bloqué l’accès aux domaines de mise à jour AV, ajouté des exclusions de Microsoft Defender, et s’est réinstallé de manière répétée pour maintenir son emprise. Les enquêteurs ont également constaté que des domaines non enregistrés, notamment chromsterabrowser.com, étaient utilisés comme source principale de mise à jour, ce qui signifie que toute partie externe pourrait enregistrer ces domaines et livrer leurs propres charges utiles.

Atténuation

Pour arrêter les abus supplémentaires, l’équipe de recherche a enregistré les domaines exposés et les a détournés, coupant efficacement le chemin de mise à jour malveillant. Ils ont également documenté les abonnements d’événements WMI liés, les tâches planifiées et les changements de registre pour permettre aux défenseurs d’identifier et de supprimer les composants affectés. Les organisations devraient bloquer les domaines connus et surveiller les noms spécifiques de tâches et l’activité des consommateurs WMI associés à cette campagne afin de réduire le risque de compromis continu.

Réponse

Les équipes de sécurité devraient détecter la création de tâches planifiées telles que ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogon, et RemoveClockPeriodic. Des alertes devraient également être déclenchées sur les abonnements d’événements WMI contenant MbRemoval or MbSetup. Les défenseurs devraient surveiller les exécutables signés par Dragon Boss Solutions, chercher la présence de ClockRemoval.ps1 dans les répertoires WMILoad, examiner les fichiers hôtes pour les entrées qui bloquent les domaines des fournisseurs antivirus, et enquêter sur les exclusions inattendues de Windows Defender à travers les systèmes touchés.

graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffeb99 classDef file fill:#c0ffc0 classDef technique fill:#dddddd %% Technique nodes tech_t1210[« Technique – T1210 Exploitation des services distants Description: Un mécanisme de mise à jour personnalisé contacte des URL distantes pour télécharger et installer des charges MSI malveillantes. »]:::technique tech_t1218_007[« Technique – T1218.007 Exécution proxy de binaire système: Msiexec Description: Msiexec.exe est utilisé pour installer silencieusement un MSI malveillant. »]:::technique tech_t1059_001[« Technique – T1059.001 Interpréteur de commandes et scripts: PowerShell Description: PowerShell exécute le script ClockRemoval. »]:::technique tech_t1546_003[« Technique – T1546.003 Exécution déclenchée par événement: WMI Description: Les abonnements WMI déclenchent des scripts malveillants. »]:::technique tech_t1053[« Technique – T1053 Tâche planifiée Description: Des tâches assurent la persistance. »]:::technique tech_t1489[« Technique – T1489 Arrêt de service Description: Les services de sécurité sont arrêtés. »]:::technique tech_t1562[« Technique – T1562 Altération des défenses Description: Les processus de sécurité sont désactivés. »]:::technique tech_t1564_012[« Technique – T1564.012 Masquage des artefacts Description: Modification du fichier hosts et exclusions Defender. »]:::technique tech_t1070_004[« Technique – T1070.004 Suppression des traces Description: Suppression fichiers et registre. »]:::technique %% Action and artifact nodes action_contact_domain[« Action – Contacter un domaine non enregistré Domaine: worldwidewebframework3.com »]:::action file_malicious_msi[« Fichier – Charge MSI malveillante »]:::file tool_msiexec[« Outil – Msiexec.exe »]:::tool script_clockremoval[« Processus – ClockRemoval.ps1 (PowerShell) »]:::process persistence_wmi[« Action – Créer abonnement WMI »]:::action persistence_schtask[« Action – Enregistrer tâches planifiées »]:::action action_service_stop[« Action – Arrêter services de sécurité »]:::action action_impair_defenses[« Action – Altérer défenses »]:::action action_host_modification[« Action – Modifier hosts »]:::action action_file_deletion[« Action – Supprimer fichiers et registre »]:::action %% Connections showing flow action_contact_domain –>|downloads| file_malicious_msi file_malicious_msi –>|installed via| tool_msiexec tool_msiexec –>|executes| script_clockremoval script_clockremoval –>|creates| persistence_wmi script_clockremoval –>|creates| persistence_schtask script_clockremoval –>|stops| action_service_stop script_clockremoval –>|impairs| action_impair_defenses script_clockremoval –>|modifies| action_host_modification script_clockremoval –>|deletes| action_file_deletion %% Linking actions to techniques action_contact_domain –>|uses| tech_t1210 tool_msiexec –>|uses| tech_t1218_007 script_clockremoval –>|uses| tech_t1059_001 persistence_wmi –>|uses| tech_t1546_003 persistence_schtask –>|uses| tech_t1053 action_service_stop –>|uses| tech_t1489 action_impair_defenses –>|uses| tech_t1562 action_host_modification –>|uses| tech_t1564_012 action_file_deletion –>|uses| tech_t1070_004 %% Class assignments class action_contact_domain action class file_malicious_msi file class tool_msiexec tool class script_clockremoval process class persistence_wmi action class persistence_schtask action class action_service_stop action class action_impair_defenses action class action_host_modification action class action_file_deletion action

Flux du Attaque

Narratif d’attaque & Commandes :
Un adversaire a obtenu le légitime RaceCarTwo.exe signé par Dragon Boss Solutions LLC. Ils exploitent le statut de confiance du binaire pour contourner le whitelisting des applications. Premièrement, ils déploient un MSI malveillant (Setup.msi) qui déploie un service privilégié et installe une tâche planifiée pour réaliser T1546.016. Ensuite, ils exécutent un script PowerShell (ClockRemoval.ps1) qui désactive ou désinstalle le produit AV de l’endpoint, reflétant T1059.001. Les deux actions sont effectuées depuis le même processus, garantissant que la règle de détection voit les motifs de ligne de commande exacts.
1. Déployer le MSI malveillant :
```
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" `
              -ArgumentList "Setup.msi" `
              -Wait
```
2. Exécuter le script PowerShell de désactivation de l’AV :
```
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" `
              -ArgumentList "ClockRemoval.ps1" `
              -Wait
```

Script de test de régression :
Le script ci-dessous automatise les deux étapes en une seule exécution, reproduisant exactement la télémétrie que la règle Sigma attend.

# -------------------------------------------------
# Simulation de la chaîne d'exécution malveillante de DragonBoss
# -------------------------------------------------
$binaryPath = "C:Program FilesDragonBossRaceCarTwo.exe"

# 1. Installer le MSI malveillant
Write-Host "[*] Déploiement du MSI malveillant (Setup.msi)…"
Start-Process -FilePath $binaryPath -ArgumentList "Setup.msi" -Wait

# 2. Exécuter le script PowerShell de désactivation AV
Write-Host "[*] Exécution de ClockRemoval.ps1 via le même binaire…"
Start-Process -FilePath $binaryPath -ArgumentList "ClockRemoval.ps1" -Wait

Write-Host "[+] Simulation terminée. Vérifiez les alertes dans le SIEM."

Commandes de nettoyage :
Supprimer tous les artefacts créés pendant la simulation pour restaurer l’hôte à son état précédent au test.

# -------------------------------------------------
# Nettoyage pour la simulation de DragonBoss
# -------------------------------------------------
# Supprimer le produit MSI installé (remplacer ProductCode par le GUID réel)
$productCode = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
try {
    Write-Host "[*] Désinstallation du MSI malveillant..."
    msiexec /x $productCode /quiet /norestart
} catch { Write-Warning "Échec de la désinstallation du MSI ou produit non présent." }

# Supprimer le script PowerShell s'il a été écrit sur le disque par le MSI
$scriptPath = "$env:ProgramDataClockRemoval.ps1"
if (Test-Path $scriptPath) {
    Write-Host "[*] Suppression de ClockRemoval.ps1..."
    Remove-Item $scriptPath -Force
}

Write-Host "[+] Nettoyage terminé."

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement