Dal W-2 al BYOVD: Come una ricerca fiscale porta al blocco AV/EDR in modalità kernel

Riassunto

Un’operazione estesa di malvertising abusa degli annunci di Google legati alle ricerche sui moduli fiscali per distribuire un falso installer di ScreenConnect. Tale installer distribuisce un crypter a più stadi, che carica poi un’utility BYOVD chiamata HwAudKiller. Questo strumento installa un driver audio Huawei firmato e utilizza l’accesso a livello kernel per terminare i processi AV ed EDR. Una volta disabilitati i controlli di sicurezza, gli aggressori estraggono le credenziali LSASS e raccolgono credenziali in tutta la rete con NetExec. L’attività mette in evidenza come la consegna di malware di consumo possa essere abbinata a un driver kernel personalizzato per ottenere accesso nascosto, sopprimere le difese e mantenere la persistenza.

Investigazione

I ricercatori di Huntress hanno seguito il percorso di reindirizzamento da anukitax.com to bringetax.com e hanno confermato la consegna di un pacchetto MSI fraudolento di ScreenConnect. Il crypteds.exe rilasciato utilizza un trucco di allocazione di memoria da 2 GB per l’evasione e avvia il shellcode indirettamente tramite timeSetEvent prima di caricare HwAudKiller. Quel payload scrive Havoc.sys in %TEMP% e registra un servizio kernel chiamato Havoc per terminare un elenco codificato di processi di sicurezza. In una seconda intrusione, gli aggressori hanno ottenuto l’accesso tramite un compromesso VPN, riutilizzato lo stesso driver, ampliato l’elenco di kill per includere i processi FortiEDR, scaricato LSASS utilizzando comsvcs.dll e si sono mossi lateralmente con NetExec.

Mitigazione

Le organizzazioni dovrebbero bloccare o autorizzare strettamente le distribuzioni legittime di ScreenConnect e monitorare per hostname di istanze di prova non familiari. I team di sicurezza dovrebbero osservare i driver kernel caricati da percorsi temporanei e allertare sugli eventi Sysmon ID 6 e sull’attività di installazione dei servizi di Windows. Dovrebbero essere applicati controlli di esecuzione rigorosi sui file scritti in C:WindowsSystemTempScreenConnect e %TEMP%. Gli sforzi di consapevolezza degli utenti dovrebbero anche rafforzare che i risultati di ricerca di Google Ads non dovrebbero essere fonti affidabili per download correlati ai moduli fiscali.

Risposta

Se viene trovato un installer rogue di ScreenConnect, isolare immediatamente l’endpoint, raccogliere crypteds.exe e qualsiasi driver Havoc.sys rilasciato, e fermare il servizio Havoc. Avviare le procedure di reimpostazione delle credenziali per gli account potenzialmente compromessi e revocare l’accesso esposto. Quindi scansionare l’ambiente più ampio per ulteriori connessioni di rilascio di ScreenConnect, esecuzioni di NetExec e segnali di dumping di LSASS. Infine, documentare e condividere gli IOCs scoperti con i canali di intelligence sulle minacce interni ed esterni.

Esecuzione della Simulazione

Prerequisito: Il Controllo di Pre-volo di Telemetria & Baseline deve essere passato.

Motivazione: questa sezione descrive l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare l’esatta telemetria prevista dalla logica di rilevamento.

• Narrazione & Comandi di Attacco:

  1. Accesso iniziale tramite malvertising: La vittima clicca su un annuncio malevolo mentre cerca moduli fiscali, che attiva un download drive-by di form_w9.msi.
  2. Installazione di software rogue: L’MSI installa silenziosamente uno strumento di supporto remoto simile a ScreenConnect e rilascia crypteds.exe and sent.exe nella directory %TEMP% directory.
  3. Raccolta di credenziali: crypteds.exe è lanciato per estrarre i segreti LSA.
  4. DLL Side‑Loading tramite Rundll32: Per eludere il rilevamento statico, l’attaccante carica una DLL malevola utilizzando rundll32.exe con la DLL di sistema comsvcs.dll come punto di ingresso, che eseguirà il payload incorporato.

  I comandi esatti (simulati su una macchina di test) sono:

  # 1. Distribuire l'MSI malevolo (simulato)
  Start-Process -FilePath "C:Tempform_w9.msi" -ArgumentList "/quiet" -Wait
  
  # 2. Avviare lo strumento di dumping delle credenziali
  Start-Process -FilePath "$env:TEMPcrypteds.exe" -ArgumentList "/dump" -Wait
  
  # 3. Caricare il payload malevolo tramite rundll32 usando comsvcs.dll
  rundll32.exe "C:windowsSystem32comsvcs.dll",LaunchApplication "$env:TEMPsent.exe"

• Script di Test di Regressione: Lo script seguente automatizza i passaggi sopra e garantisce che la telemetria generata corrisponda alle aspettative della regola di rilevamento.

  # Script di Test di Regressione – Simula la Campagna di Malvertising
  # -----------------------------------------------------------
  # 0. Prerequisito: Assicurarsi che Sysmon sia in esecuzione con il log delle righe di comando abilitato.
  
  # Variabili
  $msiPath   = "$env:TEMPform_w9.msi"
  $dumpTool  = "$env:TEMPcrypteds.exe"
  $payload   = "$env:TEMPsent.exe"
  $dllPath   = "C:windowsSystem32comsvcs.dll"
  
  # Helper: Creare file fittizi per imitare i binari malevoli
  New-Item -Path $msiPath   -ItemType File -Force | Out-Null
  New-Item -Path $dumpTool  -ItemType File -Force | Out-Null
  New-Item -Path $payload   -ItemType File -Force | Out-Null
  
  Write-Host "[*] Installazione dell'MSI malevolo (simulato)..."
  Start-Process -FilePath "msiexec.exe" -ArgumentList "/i `"$msiPath`" /quiet" -Wait
  
  Write-Host "[*] Esecuzione dello strumento di dumping delle credenziali..."
  Start-Process -FilePath $dumpTool -ArgumentList "/dump" -Wait
  
  Write-Host "[*] Esecuzione di DLL side-loading tramite rundll32..."
  rundll32.exe "`"$dllPath`"",LaunchApplication "`"$payload`""
  
  Write-Host "[+] Simulazione completata. Verificare il rilevamento tramite il SIEM."

• Comandi di Pulizia: Rimuovere gli artefatti fittizi e fermare eventuali processi persistenti.

  # Script di Pulizia
  $paths = @("$env:TEMPform_w9.msi","$env:TEMPcrypteds.exe","$env:TEMPsent.exe")
  foreach ($p in $paths) {
      if (Test-Path $p) { Remove-Item -Path $p -Force }
  }
  
  # Terminare eventuali processi non gestiti di rundll32 generati dal test
  Get-Process -Name rundll32 -ErrorAction SilentlyContinue |
      Where-Object {$_.Path -eq "$env:SystemRootSystem32rundll32.exe"} |
      Stop-Process -Force