Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Una campagna di ingegneria sociale ClickFix è stata utilizzata per distribuire il loader Potemkin, che successivamente ha consegnato sia il RAT RMMProject che EtherRAT. L’intrusione includeva attività diretta all’interfaccia, movimento laterale tramite WMIExec e SMBExec, e tentativi di indebolire o disabilitare Microsoft Defender. In totale, gli attaccanti si sono diffusi su più di 11 sistemi all’interno dell’ambiente della vittima.
Indagine
L’indagine ha riportato il compromesso a un endpoint non gestito dove un utente ha eseguito un comando malevolo. Gli analisti hanno identificato un loader personalizzato chiamato Potemkin che utilizzava un algoritmo deterministico di generazione di domini, insieme a un RAT abilitato per Lua chiamato RMMProject che poteva aggirare la crittografia associata alle app di Chrome. I ricercatori hanno anche documentato EtherRAT, che recupera l’infrastruttura di comando e controllo tramite la blockchain di Ethereum, così come l’uso di tunnel Chisel durante l’intrusione.
Mitigazione
Una delle difese più efficaci è disabilitare la finestra di dialogo Esegui di Windows tramite Criteri di gruppo per ridurre la possibilità di esecuzione di ClickFix. Le organizzazioni dovrebbero anche abilitare la Protezione anti-manomissione di Microsoft Defender e monitorare i cambi non autorizzati al registro che riguardano le impostazioni di sicurezza o tentativi di disabilitazione del WinDefend service. Una copertura di endpoint ampia e coerente rimane essenziale per prevenire che gli attaccanti ottengano un punto d’appoggio iniziale.
Risposta
Se viene rilevata questa attività, i rispondenti dovrebbero isolare immediatamente i sistemi interessati per fermare ulteriori movimenti laterali. La rimediatura dovrebbe includere la terminazione dei processi malevoli di Node.js, la rimozione dei meccanismi di persistenza identificati come le chiavi Run e le attività pianificate, e la pulizia dei percorsi di esclusione non autorizzati di Microsoft Defender. È necessario un controllo completo a livello di ambiente poiché i metodi di persistenza potrebbero differire da un host all’altro.
"graph TB %% Class Definitions classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef defense_evasion fill:#9b59b6,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef c2 fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#f1c40f,stroke:#333,stroke-width:2px classDef lateral_movement fill:#1abc9c,stroke:#333,stroke-width:2px classDef defense_impairment fill:#34495e,stroke:#333,stroke-width:2px %% Initial Access and Execution Phase action_clickfix["<b>Azione</b> – <b>T1204.004 Esecuzione dell’utente: Copia e Incolla Malevola</b><br/>Descrizione: L’utente viene ingannato tramite ingegneria sociale ClickFix a incollare ed eseguire un comando nella finestra di dialogo Esegui di Windows.<br/><b/>Artefatti: cmd /min /c pcalua.exe -a mshta.exe…"] class action_clickfix initial_access exec_mshta["<b/>Azione</b> – <b>T1218.005 Esecuzione Proxy di Sistema Binary: Mshta</b><br/>Descrizione: Abusi pcalua.exe per proxy l’esecuzione mshta.exe per recuperare il payload HTA remoto.<br/><b/>Artefatti: payload hte.hta, pcalua.exe"] class exec_mshta execution exec_msiexec["<b/>Azione</b> – <b>T1218.007 Esecuzione Proxy di Sistema Binary: Msiexec</b><br/>Descrizione: Pacchetto MSI malevolo viene installato in modo silenzioso usando msiexec.<br/><b/>Artefatti: inst24.msi, msiexec /qn"] class exec_msiexec execution %% Persistence and Loader Phase persist_netsh["<b/>Azione</b> – <b>T1546.007 Esecuzione Attivata da Evento: Netsh Helper DLL</b><br/>Descrizione: Persistenza stabilita tramite un componente MSI AutostartRegistry.<br/><b/>Artefatti: Loader Potemkin, RunSearch.exe in %LOCALAPPDATA%MicrosoftRunSearch"] class persist_netsh persistence %% Command and Control Phase c2_dga["<b/>Azione</b> – <b>T1568 Risoluzione Dinamica</b><br/>Descrizione: Il loader Potemkin usa un Algoritmo di Generazione di Domini per trovare i server C2.<br/><b/>Artefatti: Potemkin DGA"] class c2_dga c2 c2_ether["<b/>Azione</b> – <b>T1568 Risoluzione Dinamica</b><br/>Descrizione: EtherRAT risolve il suo indirizzo C2 dalla blockchain di Ethereum tramite EtherHiding.<br/><b/>Artefatti: EtherRAT"] class c2_ether c2 %% Credential Access Phase cred_steal["<b/>Azione</b> – <b>T1539 Rubare Cookie di Sessione Web</b><br/>Descrizione: Il RAT RMMProject prende di mira i browser per rubare cookie e credenziali tramite iniezione DLL per aggirare la crittografia associata alle app di Chrome.<br/><b/>Artefatti: RMMProject, database SQLite del browser"] class cred_steal credential_access %% Lateral Movement Phase lat_move["<b/>Azione</b> – <b>T1210 Sfruttamento dei Servizi Remoti</b><br/>Descrizione: L’attaccante si muove lateralmente usando WMIExec e SMBExec per diffondere l’installatore MSI.<br/><b/>Artefatti: WMIExec, SMBExec, msiexec /i <IP>ADMIN$Temp…"] class lat_move lateral_movement %% Defense Impairment Phase def_impair["<b/>Azione</b> – <b>T1687 Sfruttamento per Indebolimento della Difesa</b><br/>Descrizione: Contrastare Windows Defender alterando AMSI, scrivendo politiche di registro e terminando il servizio.<br/><b/>Artefatti: Chiavi di registro DisableAntiSpyware, Stop-Service WinDefend, patching AMSI"] class def_impair defense_impairment %% C2 Tunneling Phase c2_tunnel["<b/>Azione</b> – <b>T1572 Tunneling di Protocollo</b><br/>Descrizione: Uso di Chisel per stabilire tunnel SOCKS inversi e tunnel Cloudflare per esporre i servizi interni.<br/><b/>Artefatti: Chisel, cloudflared rinominato a svchost.exe"] class c2_tunnel c2 %% Connections %% Flow from initial access to execution action_clickfix –>|leads_to| exec_mshta action_clickfix –>|leads_to| exec_msiexec %% Execution leads to persistence exec_msiexec –>|installs| persist_netsh %% Persistence leads to C2 and Loader deployment persist_netsh –>|deploys| c2_dga persist_netsh –>|deploys| c2_ether %% C2 activities lead to credential access c2_dga –>|executes| cred_steal c2_ether –>|executes| cred_steal %% Lateral movement spreads the attack cred_steal –>|enables| lat_move lat_move –>|deploys_to_new_hosts| exec_msiexec %% Defense impairment protects the attacker exec_mshta –>|used_to_patch| def_impair def_impair –>|facilitates| c2_tunnel "
Flusso di Attacco
Rilevamenti
Esecuzione di Processi di Sistema da Percorsi Insoliti (via process_creation)
Visualizza
Modifiche sospette delle preferenze di Windows Defender (via powershell)
Visualizza
Possibili Punti di Persistenza [ASEPs – Hive Software/NTUSER] (via registry_event)
Visualizza
Disattivazione delle Protezioni di Windows Defender (via registry_event)
Visualizza
Possibili modelli di linea di comando di Impacket (via cmdline)
Visualizza
Interruzione Sospetta del Servizio di Intrusione dal Ransomware (via cmdline)
Visualizza
Possibilità di Esecuzione Tramite Linee di Comando PowerShell Nascoste (via cmdline)
Visualizza
Esecuzione di Binary NodeJS da Posizioni Insolite (via cmdline)
Visualizza
LOLBAS Pcalua (via cmdline)
Visualizza
Comportamento di Evasione della Difesa Sospetto di LOLBAS MSHTA attraverso Rilevamento di Comandi Associati (via process_creation)
Visualizza
LOLBAS Conhost (via cmdline)
Visualizza
Utilizzo di Certutil per Codifica Dati e Operazioni Certificato (via cmdline)
Visualizza
Possibile Utilizzo di Strumento di Tunneling [Windows] (via cmdline)
Visualizza
Uso sospetto di CURL (via cmdline)
Visualizza
Richiamare Metodi .NET Sospetti da Powershell (via powershell)
Visualizza
File Eseguibile Sospetto Nominato Come un Processo di Sistema Legittimo è Stato Creato (via file_event)
Visualizza
Possibile Tentativo di Abuso di Publicnode Ethereum come Canale C2 (via dns_query)
Visualizza
Scaricamento di File Sospetti Tramite IP Diretto (via proxy)
Visualizza
Esecuzione di Script PowerShell e Manomissione Windows Defender [Windows Powershell]
Visualizza
Rilevamento di Comunicazione C2 basata su Ethereum da EtherRAT [Connessione di Rete Windows]
Visualizza
Rilevamento della Consegna di Payload HTA di ClickFix tramite Mshta.exe [Creazione di Processi Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Preliminare di Telemetria e Baseline deve essere stato superato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria aspettata dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Attacco Narrativa & Comandi: L’avversario cerca di stabilire un canale C2 utilizzando il metodo di firma di EtherRAT. Per evadere l’analisi statica della configurazione del loro malware, utilizzano
curlper eseguire una richiesta HTTP POST a un endpoint RPC pubblico di Ethereum (https://eth.drpc.org). Questa richiesta è progettata per recuperare l’IP o il dominio effettivo C2 dalla blockchain. Per soddisfare la logica specifica della regola di rilevamento corrente, il comando è strutturato per includere il dominio malevolo notoanus-staylard.xyznegli argomenti della linea di comando, simulando la consegna del payload o la fase di configurazione. -
Script di Test di Regressione:
# Simulazione della risoluzione C2 di EtherRAT tramite Ethereum RPC # Questo script imita i pattern specifici delle linee di comando richiesti per attivare la regola Sigma. $maliciousDomain = "anus-staylard.xyz" $rpcEndpoint = "https://eth.drpc.org" $maliciousIpString = "77.110.122.58:23205/lQhEQui9a4lZ.exe" # Costruzione del comando per abbinare la logica (selection1 OR selection2) AND selection3 # Pattern: curl -s -X POST https://eth.drpc.org ... anus-staylard.xyz $cmd = "curl.exe -s -X POST $rpcEndpoint -d 'data=query' --user-agent '$maliciousDomain' --referer '$maliciousIpString'" Write-Host "[+] Esecuzione comando simulato di EtherRAT: $cmd" Start-Process "cmd.exe" -ArgumentList "/c $cmd" -NoNewWindow -
Comandi di Pulizia:
# Non vengono creati file permanenti da questa simulazione; # si verifica solo l'esecuzione di processi effimeri. Write-Host "[+] Simulazione completata. Nessuna pulizia richiesta."