Campanha StrikeShark Distribui Cobalt Strike Através do SharkLoader
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
StrikeShark é uma campanha de ameaça recém-identificada que usa um carregador de malware customizado chamado SharkLoader para entregar Cobalt Strike Beacons. A operação depende de múltiplos métodos de acesso inicial, incluindo a exploração de aplicações expostas à internet e entrega baseada em dropper. O malware também utiliza técnicas avançadas de evasão, como carregamento de DLL e manipulação de API para escapar das defesas de segurança.
Investigação
A investigação identificou infecções por SharkLoader em vários países e setores industriais, incluindo entidades diplomáticas e organizações de desenvolvimento de software. Pesquisadores rastrearam toda a cadeia de intrusão, desde a exploração de falhas como o ProxyLogon até a execução da carga final do Cobalt Strike. O estudo também descreveu o uso técnico da “Perfect DLL Hijacking” e manipulação sofisticada de API projetada para reduzir a detecção.
Mitigação
As organizações devem priorizar a aplicação de patches em sistemas expostos à internet, especialmente Microsoft Exchange, SharePoint e dispositivos de rede expostos. Implantar capacidades fortes de detecção e resposta em endpoints pode ajudar a descobrir carregamentos suspeitos de DLL e criação de tarefas agendadas não autorizadas. As equipes de segurança devem também monitorar relações anormais de processos pai-filho, como svchost.exe iniciando processos inesperados.
Resposta
Se esta atividade for detectada, isole imediatamente os sistemas afetados para interromper o movimento lateral adicional e tráfego de comando e controle. Conduza uma investigação forense completa para determinar o ponto inicial de acesso e o escopo total do comprometimento. Redefina as credenciais de todas as contas potencialmente afetadas, especialmente usuários privilegiados, e revise o Active Directory para mudanças não autorizadas ou novos grupos atribuídos.
Fluxo de Ataque
Detecções
Atividade Suspeita de Ntdsutil (via linha de comando)
Visualizar
Possível Tentativa de Enumeração de Usuários / Grupos (via PowerShell)
Visualizar
Possível Enumeração ou Manipulação de Contas ou Grupos (via linha de comando)
Visualizar
Possível Descoberta de Configuração de Rede de Sistema (via linha de comando)
Visualizar
Possível Enumeração de Sistema (via linha de comando)
Visualizar
Possível Enumeração de Serviços (via linha de comando)
Visualizar
Tarefa Agendada Suspeita sob Usuário do Sistema (via linha de comando)
Visualizar
Possíveis Pontos de Persistência [ASEPs – Software/Colmeia NTUSER] (via evento_registro)
Visualizar
Execução de Processos do Sistema a partir de Caminhos Atípicos (via criação_de_processo)
Visualizar
Enumeração de Informações de Rede e Sistema pela Campanha StrikeShark [Log de Eventos de Segurança do Microsoft Windows]
Visualizar
Detecção do Uso de SystemSettings.exe do SharkLoader e Enumeração do Active Directory [Criação de Processo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Base de Referência deve ter passado.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e buscar gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos equivocados.
-
Narrativa do Ataque & Comandos: O adversário visa estabelecer um ponto de apoio usando os métodos característicos da campanha SharkLoader. Primeiro, o atacante simula o byproduct do carregamento lateral de DLL lançando uma versão renomeada de um binário legítimo como
SystemSettings.exe. Uma vez que o processo está em execução, o atacante tenta ganhar consciência situacional enumerando o ambiente de domínio. Para imitar o TTP observado, o atacante usa PowerShell para consultar o Active Directory para objetos de usuários e computadores, o que é um passo comum durante a fase de reconhecimento de um comprometimento de domínio. -
Script de Teste de Regressão:
# Script de Simulação para Detecção de SharkLoader & Enumeração AD Write-Host "[*] Iniciando Simulação..." -ForegroundColor Cyan # 1. Simular Execução de Processo SharkLoader via SystemSettings.exe # Usamos notepad.exe como proxy para simular o comportamento do binário carregado lateralmente Start-Process "notepad.exe" -ArgumentList "/c "This is a simulated SystemSettings.exe"" -WindowStyle Hidden # Nota: Em um ambiente real, o arquivo em si seria nomeado SystemSettings.exe. # Para este teste, simulamos a criação da entrada do processo. # 2. Simular Enumeração Maliciosa do Active Directory Write-Host "[*] Simulando Enumeração AD..." -ForegroundColor Yellow # Usando cmdlets padrão que a regra especifica procurar Get-ADUser -Filter * | Select-Object -First 5 Get-ADComputer -Filter * | Select-Object -First 5 Get-ADGroup -Filter * | Select-Object -First 5 Write-Host "[+] Comandos de Simulação Executados." -ForegroundColor Green -
Comandos de Limpeza:
# Script de Limpeza para garantir que não restem processos residuais Stop-Process -Name "notepad" -ErrorAction SilentlyContinue Write-Host "[*] Limpeza Completa." -ForegroundColor Cyan