CrySome RAT: Um Trojan de Acesso Remoto Avançado e Persistente em .NET

Resumo

CrySome RAT é um trojan de acesso remoto .NET que possibilita controle remoto completo, roubo de credenciais e persistência em camadas. Ele inclui um AVKiller componente projetado para desativar ferramentas de segurança e utiliza o abuso da partição de recuperação além de edições do registro offline para sobreviver a reinicializações e reconquistar o acesso. Para manter acessos a longo prazo, o malware utiliza desktops virtuais ocultos, processos watchdog, tarefas agendadas e serviços Windows, criando caminhos de execução redundantes que complicam a limpeza.

Investigação

O relatório combina decompilação estática do cliente C# com análise de comportamento dinâmico. Os investigadores mapearam componentes modulares — como SelfProtect, AVKiller, Survival e manipuladores de comando — para capacidades e fluxos de controle distintos. A persistência foi traçada através de tarefas agendadas, entradas do registro RunOnce, instalação de serviços e implantação de partições de recuperação usadas para replantar artefatos após ações de recuperação do sistema. O comportamento de rede foi identificado como controle e comando TCP simples usando um formato de pacote personalizado.

Mitigação

Monitore tarefas agendadas nomeadas como CrySomeLoader e serviços nomeados WindowsHealthMonitor. Audite regularmente RunOnce e outros locais de autorun do registro em busca de entradas desconhecidas ou recém-adicionadas. Bloqueie crysome.net e qualquer infraestrutura de IP associada nas camadas DNS/proxy. Imponha configurações de segurança protegidas contra adulteração para impedir a desativação de defesa no estilo AVKiller e alerte sobre tentativas de alterar configurações do Defender ou de proteção do endpoint.

Resposta

Isole hosts exibindo indicadores do CrySome e colete evidências voláteis antes da remediação. Realize uma revisão forense das partições de recuperação e das colmeias do registro offline para identificar persistência oculta. Remova binários redundantes, delete as tarefas agendadas, serviços e entradas do registro maliciosos, e restaure as configurações do Microsoft Defender para um baseline conhecido como bom. Implante detecções EDR cobrindo os nomes de processo específicos e padrões de linha de comando associados à execução do CrySome.

Execução de Simulação

Pré-requisito: O Verificação Pré-Voo da Telemetria & Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errados.

• Narrativa de Ataque & Comandos:

  O operador do CrySome RAT primeiro ganha uma posição na máquina da vítima. Para ocultar o payload malicioso, o RAT gera conhost.exe como um filho de seu próprio processo, aproveitando o console host nativo para mascarar sua linha de comando. Em seguida, ele lança RuntimeBroker.exe para se misturar com tarefas de fundo legítimas do Windows, alcançando disfarce. Finalmente, o atacante executa um comando PowerShell de uma linha que desativa a proteção em tempo real do Microsoft Defender, usando o Set-MpPreference cmdlet. Cada etapa gera um evento 4688 distinto que corresponde à regra de detecção.

  1. Processo RAT (ex. CrySome.exe) → Start-Process -FilePath "C:WindowsSystem32conhost.exe" -ArgumentList "/c ..."
  2. Processo RAT → Start-Process -FilePath "C:WindowsSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost ..."
  3. Processo RAT → powershell.exe -NoProfile -WindowStyle Hidden -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

• Script de Teste de Regressão:

  # -------------------------------------------------------------------------
  # Simulação de técnica CrySome RAT – destinada a acionar a regra Sigma
  # -------------------------------------------------------------------------
  
  # 1. Gerar conhost.exe (atua como console host furtivo)
  Start-Process -FilePath "$env:SystemRootSystem32conhost.exe" -ArgumentList "/c ping -n 5 127.0.0.1" -WindowStyle Hidden
  
  # 2. Gerar RuntimeBroker.exe (disfarçando como um componente confiável do Windows)
  Start-Process -FilePath "$env:SystemRootSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost" -WindowStyle Hidden
  
  # 3. Desativar o Defender usando PowerShell (evasão de defesa)
  $psCmd = 'Set-MpPreference -DisableRealtimeMonitoring $true'
  Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
                -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCmd" `
                -WindowStyle Hidden
  
  Write-Host "Simulação completa – verifique seu SIEM para alertas."

• Comandos de Limpeza:

  # Termine qualquer processo de teste remanescente (execute como Administrador)
  Get-Process -Name conhost, RuntimeBroker, powershell | Stop-Process -Force
  
  # Re‑ative o Defender (restaure postura defensiva normal)
  Set-MpPreference -DisableRealtimeMonitoring $false
  
  Write-Host "Limpeza concluída."