Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
BlankGrabber è un infostealer basato su Python che inizia con un caricatore batch-script che “decodifica” uno stager compilato in Rust mascherato da file di certificato. Lo stager esegue controlli su sandbox e macchine virtuali, decritta un payload incorporato e lascia cadere vari componenti dannosi, inclusi un client XWorm e uno stealer impacchettato con PyInstaller. L’esfiltrazione si basa su servizi web pubblici come le API bot di Telegram e gli endpoint di ricerca IP per confondersi con il traffico normale. Il malware modifica anche le impostazioni del sistema, blocca l’accesso ai siti di sicurezza e tenta di bypassare l’UAC per rafforzare la persistenza.
Indagine
Il Team di Ricerca sulle Minacce di Splunk ha analizzato il caricatore iniziale consegnato tramite gofile.io, il suo uso di certutil.exe per la decodifica del payload e la logica anti-analisi dello stager Rust. Hanno ingegnerizzato alla rovescia il flusso di decrittazione AES-GCM/CTR, estratto un archivio ZIP incorporato e mappato il set di payload risultante. Test comportamentali hanno mostrato un’ampia scoperta dell’host, cattura web, raccolta di appunti e furto di chiavi host e altri artefatti sensibili.
Mitigazione
Monitora l’uso sospetto di certutil.exe, i comandi PowerShell che alterano le preferenze di Windows Defender e modifiche non autorizzate al file hosts. Genera allerta su esecuzioni di WinRAR/rar.exe da percorsi non standard e ricerche DNS verso le API di Telegram o servizi noti di ricerca IP. Blocca nomi di file dannosi noti e limita l’esecuzione di binari Python impacchettati con PyInstaller non firmati attraverso policy di controllo delle applicazioni.
Risposta
Se vengono rilevati indicatori, isola l’endpoint, conserva le prove volatili e cattura la directory %TEMP% per una revisione forense. Rimuovi attività programmate dannose o voci di esecuzione nel registro, ripristina eventuali modifiche al file hosts e reimposta le esclusioni di Windows Defender. Esegui un reset completo delle credenziali per le credenziali del browser potenzialmente esposte e i dati del portafoglio crittografico.
"graph TB %% Class definitions classDef technique fill:#e6f7ff classDef operator fill:#ffcc66 classDef data fill:#d9ead3 %% Nodes u2013 Techniques init_exec["<b>Tecnica</b> – T1059.003: Shell del Comando di Windows<br/><b>Descrizione</b>: Lo script batch esegue certutil per decodificare lo stager Rust incorporato"] class init_exec technique evasion_vm["<b>Tecnica</b> – T1497: Evasione Virtualizzazione/Sandbox<br/><b>Descrizione</b>: Controlla driver, nomi utente e UUID per rilevare ambienti di analisi"] class evasion_vm technique obfuscation["<b>Tecnica</b> – T1027: File o Informazioni Offuscate<br/><b>Descrizione</b>: L’eseguibile Rust è mascherato come un file di certificato"] class obfuscation technique decode["<b>Tecnica</b> – T1140: Deoffuscamento/Decodifica File o Informazioni<br/><b>Descrizione</b>: Decrittazione AESu2011CTR/GCM del payload criptato (blank.aes)"] class decode technique load_stager["<b>Tecnica</b> – T1105: Trasferimento Strumento Ingresso<br/><b>Descrizione</b>: Lascia cadere un eseguibile con nome casuale in %TEMP% e lo avvia"] class load_stager technique pers_startup["<b>Tecnica</b> – T1037.005: Script di Inizializzazione di Avvio o Accesso (Cartella di Avvio)"] class pers_startup technique elev_uac["<b>Tecnica</b> – T1548.002: Abuso del Meccanismo di Controllo dell’Elevazione (bypass dell’UAC del Registro)"] class elev_uac technique impair_def["<b>Tecnica</b> – T1562.004: Compromissione delle Difese (Disabilita Windows Defender, aggiunge esclusione)"] class impair_def technique hide_hosts["<b>Tecnica</b> – T1564.012: Nascondi Artefatti (Modifica il file hosts per bloccare i siti di sicurezza)"] class hide_hosts technique data_collection["<b>Tecnica</b> – T1082: Scoperta delle Informazioni di Sistema e raccolta correlata"] class data_collection data sysinfo["<b>Tecnica</b> – T1082: Scoperta delle Informazioni di Sistema"] class sysinfo technique browser_info["<b>Tecnica</b> – T1217: Scoperta delle Informazioni del Browser"] class browser_info technique clipboard["<b>Tecnica</b> – T1115: Dati dagli Appunti"] class clipboard technique video_capture["<b>Tecnica</b> – T1125: Cattura Video"] class video_capture technique wifi_passwords["<b>Tecnica</b> – T1016: Scoperta della Configurazione di Rete del Sistema (password Wi-Fi)"] class wifi_passwords technique product_key["<b>Tecnica</b> – T1012: Interrogazione del Registro (chiave del prodotto Windows)"] class product_key technique removable_media["<b>Tecnica</b> – T1025: Dati da Supporti Rimovibili"] class removable_media technique wmi_queries["<b>Tecnica</b> – T1047: Strumentazione di Gestione di Windows (interrogazioni di sistema)"] class wmi_queries technique archive_data["<b>Tecnica</b> – T1560.001: Archiviazione dei Dati Raccolti (utilità RAR)"] class archive_data technique exfil_telegram["<b>Tecnica</b> – T1041: Esfiltrazione su Canale C2 (Telegram bot API)"] class exfil_telegram technique exfil_public["<b>Tecnica</b> – T1048: Esfiltrazione tramite Protocollo Alternativo (servizi di condivisione file pubblica)"] class exfil_public technique self_delete["<b>Tecnica</b> – T1070: Rimozione di Indicatori (Autoeliminazione dopo l’esfiltrazione)"] class self_delete technique %% Flow connections init_exec –>|leads_to| evasion_vm evasion_vm –>|leads_to| obfuscation obfuscation –>|leads_to| decode decode –>|leads_to| load_stager load_stager –>|enables| pers_startup load_stager –>|enables| elev_uac load_stager –>|enables| impair_def load_stager –>|enables| hide_hosts load_stager –>|starts| data_collection data_collection –>|includes| sysinfo data_collection –>|includes| browser_info data_collection –>|includes| clipboard data_collection –>|includes| video_capture data_collection –>|includes| wifi_passwords data_collection –>|includes| product_key data_collection –>|includes| removable_media data_collection –>|includes| wmi_queries data_collection –>|leads_to| archive_data archive_data –>|uses| exfil_telegram archive_data –>|uses| exfil_public exfil_telegram –>|followed_by| self_delete exfil_public –>|followed_by| self_delete "
Flusso di Attacco
Rilevazioni
Privilegi Elevazione (bypass UAC) tramite FodHelper (via cmdline)
Vista
Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via cmdline)
Vista
Possibile Infiltrazione o Esfiltrazione di Dati / C2 tramite Servizi/Tecnologie di Terze Parti (via proxy)
Vista
Possibile Messa in Scena di Dati Catturati nella Cartella Temp (via file_event)
Vista
Possibile Enumerazione del Sistema (via cmdline)
Vista
Modifiche al Percorso dell’Ambiente (via registry_event)
Vista
Possibile Uso di PING per Ritardare l’Esecuzione (via cmdline)
Vista
Operazioni Sospette sulla Chiave di Registro Ms-settings (via cmdline)
Vista
Uso di Certutil per Codifica e Operazioni di Certificato (via cmdline)
Vista
Possibile Scoperta di Password Wi-Fi (via cmdline)
Vista
Variabili d’Ambiente negli Argomenti della Linea di Comando (via cmdline)
Vista
Possibile Infiltrazione o Esfiltrazione di Dati / C2 tramite Servizi/Tecnologie di Terze Parti (via dns)
Vista
Possibile Scoperta della Configurazione di Rete del Sistema (via cmdline)
Vista
Possibile Enumerazione di Antivirus o Software Firewall (via process_creation)
Vista
Cambiamenti Sospetti nelle Preferenze di Windows Defender (via powershell)
Vista
Disabilitare il Monitoraggio in Tempo Reale di Windows Defender (via powershell)
Vista
Binari / Script Sospetti nella Posizione di Avvio Automatico (via file_event)
Vista
Tentativo di Comunicazioni Dominio di Ricerca IP Possibili (via dns)
Vista
Disabilitare il Monitoraggio in Tempo Reale di Windows Defender e Altre Modifiche alle Preferenze (via cmdline)
Vista
IOC (HashSha256) per rilevare: L’Illusione della Decodifica del Certificato: Come Blank Grabber Stealer Nasconde il Suo Caricatore
Vista
Rilevazione del Communication C2 di BlankGrabber tramite Query DNS [Windows Sysmon]
Vista
Rileva Attività di PowerShell di BlankGrabber [Windows Powershell]
Vista
Esecuzione della Simulazione
Prerequisito: Il Telemetry & Baseline Pre‑flight Check deve aver passato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa & Comandi di Attacco:
L’avversario, avendo compromesso l’endpoint con lo stealer BlankGrabber, emette query DNS a tre servizi distinti usati dal malware per C2 e ricognizione:- Dominio API di Telegram – utilizzato per recuperare i comandi tramite un bot di Telegram.
Resolve-DnsName -Name api.telegram.org -Type A - Servizio di verifica IP pubblico – ottiene l’indirizzo IP esterno della vittima per una successiva esfiltrazione.
Resolve-DnsName -Name api.ipify.org -Type A - Servizio di condivisione file abusato – invia un piccolo blocco dati codificato tramite un sottodominio di
pastebin.com.Resolve-DnsName -Name maliciouspayload.pastebin.com -Type A
Ogni chiamata viene eseguita utilizzando il comando nativo di PowerShell
Resolve-DnsNameper garantire che i log del client DNS vengano generati sull’host locale. Le tre query si mappano direttamente ai treblocchi di selezione della regola Sigma, garantendo una corrispondenza.Test di Regressione Script: - Dominio API di Telegram – utilizzato per recuperare i comandi tramite un bot di Telegram.
-
# Simulazione DNS C2 di BlankGrabber – attiva la regola di rilevamento $domains = @( “api.telegram.org”, “api.ipify.org”, “maliciouspayload.pastebin.com” ) foreach ($d in $domains) { Write-Host “Querying $d …” try { Resolve-DnsName -Name $d -Type A -ErrorAction Stop | Out-Null Write-Host “✅ $d queried” } catch { Write-Warning “❌ Failed to query $d : $_” } Start-Sleep -Seconds 2 # slight delay to mimic realistic traffic }
Comandi di Pulizia: -
# Nessun artefatto persistente viene creato da Resolve-DnsName. # Cancella la cache DNS per rimuovere eventuali voci residue. ipconfig /flushdns Write-Host “Cache DNS cancellata.”
# No persistent artifacts are created by Resolve-DnsName. # Clear the DNS cache to remove any residual entries. ipconfig /flushdns Write-Host "DNS cache cleared."