Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Questa minaccia si concentra su una catena di caricamento multifase altamente sofisticata, mascherata come software legittimo di Panasonic. Il malware utilizza Alibaba OSS per fornire payload e si basa su vettori cifrati basati su immagini che utilizzano un caratteristico formato trailer EOF a cinque byte. La sua fase finale distribuisce il backdoor Sauron, che mantiene la persistenza attraverso la creazione di servizi e modifiche mirate al registro.
Indagine
Gli analisti hanno condotto sia analisi statiche che dinamiche e hanno scoperto una sequenza di operazioni di side-loading che coinvolgono binari etichettati come software di Tencent e Philips. L’indagine ha esposto una routine di decrittazione stratificata che utilizza incrementando XOR e RC4, insieme alla creazione di attività pianificate tramite meccanismi RPC. La forensi della memoria e la telemetria sandbox hanno aiutato a ricostruire il percorso completo di esecuzione, dal wrapper iniziale a tema Panasonic al backdoor finale Sauron.
Mitigazione
Le organizzazioni dovrebbero monitorare la pianificazione non autorizzata di attività basate su RPC e la creazione sospetta di attività pianificate tramite NdrClientCall3. Un forte allowlisting delle applicazioni può aiutare a bloccare l’esecuzione di DLL side-loaded non approvate. I difensori dovrebbero anche prestare attenzione all’eliminazione inattesa delle copie shadow del volume e alle modifiche del registro sospette sotto HKCUSOFTWARE.
Risposta
Se viene rilevata questa attività, isolare immediatamente i sistemi interessati per interrompere ulteriori movimenti laterali o comunicazioni di comando e controllo. Effettuare analisi della memoria per identificare i moduli iniettati e determinare lo stadio attuale della catena di caricamento. Anche i log di rete dovrebbero essere esaminati per il traffico verso l’infrastruttura Alibaba OSS e gli indirizzi IP di comando e controllo noti identificati durante il triage.
graph TB %% Class Definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef evasion fill:#ccffcc classDef persistence fill:#ffff99 %% Node Definitions %% Initial Access and Execution exec_user_malicious[“<b>Azione</b> – <b id=’T1204.002′>Esecuzione Utente: File Dannoso</b><br/><b>File</b>: ainstaller-86533005.exe<br/><b>Descrizione</b>: L’utente esegue un eseguibile trojanizzato<br/>disfrazato come software di notifica PC di Panasonic.”] class exec_user_malicious action %% Obfuscation and Masquerading obf_files[“<b id=’T1027′>File o Informazioni Offuscate</b><br/><b>Tecnica</b>: Buffer a più livelli<br/><b>Meccanismo</b>: Decodifica XOR/RC4 personalizzata<br/><b>Estrazione</b>: Trailer EOF a cinque byte da vettori immagine.”] class obf_files malware mask_file_type[“<b id=’T1036.008′>Mascheramento: Mascherare Tipo di File</b><br/><b>Descrizione</b>: Utilizzo di estensioni immagine (gif, jpg, png, db)<br/>per nascondere i payload cifrati.”] class mask_file_type evasion %% Proxy Execution proxy_sys_bin[“<b id=’T1218′>Esecuzione Proxy Binario di Sistema</b><br/><b>Target 1</b>: Tencent UxEnhanceHost caricamento UxEnhance64.dll<br/><b>Target 2</b>: Host Philips/Speech Processing Solutions caricamento XPSPLOG.dll”] class proxy_sys_bin action %% Persistence persist_sched_task[“<b id=’T1053.005′>Attività/Job Pianificata: Attività Pianificata</b><br/><b>Modulo</b>: VirtuOne<br/><b>Meccanismo</b>: Chiamate RPC al pianificatore attività tramite \pipeatsvc<br/><b>Obiettivo</b>: Creare task ripetuti nascosti.”] class persist_sched_task persistence %% Defense Evasion evade_def_impair[“<b id=’T1685′>Impairment della Difesa</b><br/><b>Azione</b>: Patch di ntdll.dll!NtTraceEvent”] class evade_def_impair evasion evade_selective_excl[“<b id=’T1679′>Esclusione Selettiva</b><br/><b>Strumento</b>: PowerShell<br/><b>Comando</b>: Add-MpPreference -ExclusionPath<br/><b>Obiettivo</b>: Aggiungere esclusioni a Windows Defender.”] class evade_selective_excl evasion %% Final Stage proxy_rundll32[“<b id=’T1218.011′>Esecuzione Proxy Binario di Sistema: Rundll32</b><br/><b>File</b>: rundll32.dat<br/><b>Export</b>: Edge<br/><b>Azione</b>: Installa e avvia servizio dannoso.”] class proxy_rundll32 action malware_sauron[“<b id=’Malware’>Malware: Sauron</b><br/><b>Tipo</b>: Servizio Dannoso<br/><b>Capacità</b>: Backdoor persistente e lancio di comandi.”] class malware_sauron malware %% Connections %% Flow of execution exec_user_malicious –>|triggers| obf_files obf_files –>|utilizes| mask_file_type mask_file_type –>|leads_to| proxy_sys_bin proxy_sys_bin –>|enables| persist_sched_task persist_sched_task –>|facilitates| evade_def_impair persist_sched_task –>|facilitates| evade_selective_excl evade_def_impair –>|prepares environment for| proxy_rundll32 evade_selective_excl –>|prepares environment for| proxy_rundll32 proxy_rundll32 –>|installs| malware_sauron
Flusso di Attacco
Rilevazioni
Esecuzione di Processi di Sistema da Percorsi Non Tipici (tramite creazione_processo)
Visualizza
Esecuzione Sospetta da Profilo Utente Pubblico (tramite creazione_processo)
Visualizza
Attività Sospetta VSSADMIN (tramite cmdline)
Visualizza
Modifiche Sospette alle Preferenze di Windows Defender (tramite PowerShell)
Visualizza
File Sospetti nel Profilo Utente Pubblico (tramite evento_file)
Visualizza
Rilevazione di Indicatori di Rete della Catena di Caricamento SilverFox-Style [Connessione di Rete Windows]
Visualizza
Rilevazione della Catena di Caricamento SilverFox-style utilizzando Eseguibile Trojanizzato Panasonic [Creazione Processo Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo Telemetria & Baseline deve essere superato.
Razionale: Questa sezione dettaglia la precisa esecuzione della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa dell’Attacco & Comandi: L’avversario cerca di scaricare un payload di seconda fase utilizzando un servizio di archiviazione cloud legittimo per mimetizzarsi con il traffico normale. L’attaccante utilizza un one-liner PowerShell per simulare un caricatore che effettua una richiesta a un URL conosciuto SilverFox Alibaba OSS:
https://jun616.oss-cn-beijing.aliyuncs.com/tad/payload.exe. Questa azione è intesa a bypassare filtri di dominio semplici sfruttando la reputazione dialiyuncs.commentre si utilizza il percorso specifico malevolo definito nella regola di rilevamento. -
Script di Test di Regressione:
# Simulazione di Indicatore di Rete del Caricatore SilverFox # Questo script tenta di connettersi all'URL specifico monitorato dalla regola Sigma. $targetUrl = "https://jun616.oss-cn-beijing.aliyuncs.com/tad/test_file.txt" Write-Host "[!] Simulazione di connessione di rete SilverFox a: $targetUrl" try { # Utilizzando Invoke-WebRequest per generare la telemetria HTTP proxy standard $response = Invoke-WebRequest -Uri $targetUrl -Method Get -UseBasicParsing Write-Host "[+] Richiesta completata. Codice di Stato: $($response.StatusCode)" } catch { # Ci aspettiamo un errore 404 o di connessione se l'URL non ospita effettivamente un file, # ma il log proxy registrerà comunque il tentativo. Write-Host "[-] Richiesta tentata. Controllare i log proxy per il tentativo di connessione." } -
Comandi di Pulizia:
# Nessun cambiamento persistente apportato da questa simulazione; nessuna pulizia richiesta. Write-Host "[*] Pulizia simulazione completata."