CrySome RAT: Un Avanzato Trojan di Accesso Remoto Persistente .NET

Sommario

CrySome RAT è un trojan di accesso remoto .NET che consente il pieno controllo remoto, il furto di credenziali e la persistenza stratificata. Include un AVKiller componente progettato per disabilitare gli strumenti di sicurezza e utilizza l’abuso della partizione di ripristino oltre alle modifiche offline al registro per sopravvivere ai reset e ricostruire l’accesso. Per mantenere i punti d’appoggio a lungo termine, il malware sfrutta desktop virtuali nascosti, processi watchdog, attività pianificate e servizi Windows, creando percorsi di esecuzione ridondanti che complicano la pulizia.

Indagine

Il rapporto combina la decompilazione statica del client C# con l’analisi del comportamento dinamico. Gli investigatori hanno mappato componenti modulari, come SelfProtect, AVKiller, Survival e gestori di comandi, a capacità e flussi di controllo distinti. La persistenza è stata tracciata attraverso attività pianificate, voci di registro RunOnce, installazione di servizi e distribuzione della partizione di ripristino utilizzata per re-seminare artefatti dopo azioni di recupero del sistema. Il comportamento di rete è stato identificato come comando e controllo TCP plain utilizzando un formato di pacchetto personalizzato.

Mitigazione

Monitorare le attività pianificate chiamate CrySomeLoader e servizi denominati WindowsHealthMonitor. Verificare regolarmente le posizioni del registro RunOnce e altri autorun per voci sconosciute o aggiunte di recente. Bloccare crysome.net e qualsiasi infrastruttura IP associata nei livelli DNS/proxy. Applicare configurazioni di sicurezza protette da manomissioni per prevenire la disabilitazione della difesa in stile AVKiller e avvertire sui tentativi di modificare Defenser o le impostazioni di protezione degli endpoint.

Risposta

Isolare i host che mostrano indicatori CrySome e raccogliere prove volatili prima della rimediazione. Eseguire una revisione forense delle partizioni di ripristino e degli hive del registro offline per identificare la persistenza nascosta. Rimuovere i binari ridondanti, eliminare le attività pianificate, i servizi e le voci di registro dannosi e ripristinare le impostazioni di Microsoft Defender a un basale di conosciuto-buono. Distribuire rilevazioni EDR che coprono i nomi dei processi specifici e i modelli di riga di comando associati all’esecuzione di CrySome.

Esecuzione di Simulazione

Prerequisito: il Controllo Pre-volo Telemetria e Baseline deve essere superato.

Motivazione: questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per innescare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare l’esatta telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

• Narrazione dell’Attacco & Comandi:

  L’operatore CrySome RAT prima ottiene un punto d’appoggio sulla macchina della vittima. Per nascondere il payload malevolo, il RAT genera conhost.exe come figlio del suo stesso processo, sfruttando l’host della console nativa per mascherare la sua riga di comando. Successivamente, avvia RuntimeBroker.exe per mimetizzarsi con i compiti di sfondo legittimi di Windows, ottenendo il mascheramento. Infine, l’attaccante esegue una one-liner PowerShell che disabilita la protezione in tempo reale di Microsoft Defender, utilizzando il cmdlet Set-MpPreference. Ogni passaggio genera un distinto evento 4688 che corrisponde alla regola di rilevamento. cmdlet. Ogni passaggio genera un distinto evento 4688 che corrisponde alla regola di rilevamento.

  1. Processo RAT (es., CrySome.exe) → Start-Process -FilePath "C:WindowsSystem32conhost.exe" -ArgumentList "/c ..."
  2. Processo RAT → Start-Process -FilePath "C:WindowsSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost ..."
  3. Processo RAT → powershell.exe -NoProfile -WindowStyle Hidden -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

• Script Test di Regressione:

  # -------------------------------------------------------------------------
  # Simulazione tecnica di CrySome RAT – inteso a innescare la regola Sigma
  # -------------------------------------------------------------------------
  
  # 1. Avvia conhost.exe (agisce come host console stealth)
  Start-Process -FilePath "$env:SystemRootSystem32conhost.exe" -ArgumentList "/c ping -n 5 127.0.0.1" -WindowStyle Hidden
  
  # 2. Avvia RuntimeBroker.exe (dissimulandosi come componente Windows fidato)
  Start-Process -FilePath "$env:SystemRootSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost" -WindowStyle Hidden
  
  # 3. Disabilita Defender usando PowerShell (evasione della difesa)
  $psCmd = 'Set-MpPreference -DisableRealtimeMonitoring $true'
  Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
                -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCmd" `
                -WindowStyle Hidden
  
  Write-Host "Simulazione completa – controlla il tuo SIEM per gli avvisi."

• Comandi di Pulizia:

  # Termina eventuali processi di test residui (esegui come Amministratore)
  Get-Process -Name conhost, RuntimeBroker, powershell | Stop-Process -Force
  
  # Riabilita Defender (ripristina la postura difensiva normale)
  Set-MpPreference -DisableRealtimeMonitoring $false
  
  Write-Host "Pulizia completata."