All’interno del Tradecraft CHM di Kimsuky: Esecuzione a Multipli Stadi e Consegna Selettiva di Payload
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Kimsuky utilizza Compiled HTML (.chm) dannosi come esche iniziali per attivare una catena di infezioni a più stadi. L’operazione sfrutta utilità native di Windows come PowerShell, certutil, e wscript per profilare il sistema, stabilire la persistenza tramite attività pianificate, ed esfiltrare i dati raccolti. L’attore applica anche la consegna selettiva del payload, fornendo la componente operativa finale solo dopo che certe condizioni ambientali o comportamentali sono soddisfatte.
Indagine
Il ricercatore ha analizzato un campione sospetto di CHM e ne ha ricostruito la catena di esecuzione, composta da più stadi di VBScript e PowerShell. Ripetendo le richieste di rete e testando da diverse posizioni proxy, il ricercatore ha scoperto un modello di risposta selettivo in cui il payload finale non veniva consegnato all’ambiente sandbox. L’indagine ha anche collegato l’infrastruttura a un’attività nota di Kimsuky attraverso somiglianze nei favicon e fingerprinting del server web.
Mitigazione
Le organizzazioni dovrebbero monitorare gli arrivi di processi sospetti, specialmente i casi in cui hh.exe or wscript.exe lancia PowerShell o cmd.exe. Restringere l’esecuzione di contenuti di script da locazioni scrivibili dagli utenti, come la cache di Internet, può aiutare a bloccare la persistenza. Monitorare cambiamenti non autorizzati alle impostazioni di registro di Internet Explorer e Microsoft Edge può anche migliorare il rilevamento di manipolazioni dell’host.
Risposta
Se questa attività viene rilevata, isolare immediatamente l’endpoint coinvolto per prevenire ulteriore traffico di comando e controllo. Eseguire la memoria forense per identificare eventuali payload PowerShell senza file caricati nella memoria del processo. Controllare le attività pianificate alla ricerca di voci sospette come Edge Updater e ispezionare la directory %USERPROFILE%Links per file .dat or .ini ingannevoli.
Flusso di Attacco
Rilevamenti
Uso Sospetto di Invoke-RestMethod (tramite powershell)
Visualizza
Possibile Enumerazione di Software Antivirus o Firewall (via creazione_processo)
Visualizza
Possibile Enumerazione di Sistema (tramite cmdline)
Visualizza
LOLBAS WScript / CScript (via creazione_processo)
Visualizza
Uso di Certutil per Codifica Dati e Operazioni Cert (tramite cmdline)
Visualizza
Decodifica File Sospetta con certutil.exe [Windows Sysmon]
Visualizza
Attività Malevola di Kimsuky PowerShell via File CHM [Windows PowerShell]
Visualizza
Analisi dell’Esecuzione del File Kimsuky CHM [Creazione Processo Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere passato.
Motivo: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a errori di diagnosi.
-
Narrazione & Comandi dell’Attacco: L’avversario mira a ottenere l’esecuzione iniziale tramite un
.chmfile armato. Una volta che l’utente apre il file, il file di Aiuto HTML Compilato utilizza uno script incorporato per invocarehh.exe. Per eludere i rilevamenti standard, l’attore utilizzahh.exeper lanciarePowerShell, mascherando efficacemente l’esecuzione della shell sotto un processo legittimo di aiuto di Windows. L’obiettivo è stabilire un punto d’appoggio eseguendo un comando PowerShell nascosto che può scaricare un payload di secondo stadio. -
Script di Test di Regressione:
# Simulazione di Esecuzione CHM-a-PowerShell di Kimsuky # Questo script simula il comportamento di hh.exe che genera PowerShell come rilevato dalla regola. Write-Host "[+] Avvio della Simulazione CHM di Kimsuky..." -ForegroundColor Cyan # 1. Simula hh.exe che genera PowerShell (Corrisponde a selection_hh) Write-Host "[+] Regola di Attivazione: hh.exe che genera PowerShell..." -ForegroundColor Yellow Start-Process "hh.exe" -ArgumentList "powershell.exe -NoProfile -ExecutionPolicy Bypass -Command Write-Output 'Successo Simulazione'" # 2. Simula wscript.exe che esegue VBScript (Corrisponde a selection_wscript) Write-Host "[+] Regola di Attivazione: wscript.exe con flag VBScript..." -ForegroundColor Yellow $tempVBS = "$env:TEMPtest_sim.vbs" "WScript.Echo ""Successo Simulazione""" | Out-File -FilePath $tempVBS -Encoding ascii Start-Process "wscript.exe" -ArgumentList "/e:vbscript $tempVBS" # 3. Simula cmd.exe con finestra nascosta (Corrisponde a selection_cmd) Write-Host "[+] Regola di Attivazione: cmd.exe con Stile Finestra Nascosta..." -ForegroundColor Yellow Start-Process "cmd.exe" -ArgumentList "/c PowerShell -WindowStyle Hidden -Command Write-Output 'Successo Simulazione'" Write-Host "[+] Comandi di simulazione inviati." -ForegroundColor Green -
Comandi di Pulizia:
# Pulizia di file temporanei creati durante la simulazione Remove-Item -Path "$env:TEMPtest_sim.vbs" -ErrorAction SilentlyContinue Write-Host "[+] Pulizia completata." -ForegroundColor Cyan