La campagne StrikeShark déploie Cobalt Strike via SharkLoader
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
StrikeShark est une campagne de menace nouvellement identifiée qui utilise un chargeur de logiciels malveillants personnalisé appelé SharkLoader pour livrer des balises Cobalt Strike. L’opération repose sur plusieurs méthodes d’accès initial, y compris l’exploitation d’applications exposées à Internet et la livraison basée sur des chargeurs. Le logiciel malveillant utilise également des techniques d’évasion avancées telles que le chargement de DLL et l’accrochage d’API pour déjouer les défenses de sécurité.
Enquête
L’enquête a identifié des infections par SharkLoader dans plusieurs pays et secteurs industriels, y compris des entités diplomatiques et des organisations de développement de logiciels. Les chercheurs ont retracé toute la chaîne d’intrusion, de l’exploitation de failles comme ProxyLogon à l’exécution de la charge utile finale Cobalt Strike. L’étude a également décrit l’utilisation technique du « détournement parfait de DLL » et l’accrochage sophistiqué d’API conçu pour réduire la détection.
Atténuation
Les organisations doivent prioriser les correctifs des systèmes exposés à Internet, notamment Microsoft Exchange, SharePoint et les appareils réseau exposés. Le déploiement de capacités solides de détection et de réponse des points d’extrémité peut aider à découvrir le chargement de DLL suspect et la création de tâches planifiées non autorisées. Les équipes de sécurité devraient également surveiller les relations de processus parent-enfant anormales, telles que svchost.exe lançant des processus inattendus.
Réponse
Si cette activité est détectée, isolez immédiatement les systèmes affectés pour stopper toute progression latérale et le trafic de commande et de contrôle. Menez une enquête judiciaire complète pour déterminer le point d’accès initial et l’étendue générale de la compromission. Réinitialisez les identifiants de tous les comptes potentiellement affectés, en particulier les utilisateurs privilégiés, et examinez Active Directory pour y repérer des changements non autorisés ou de nouvelles appartenances à des groupes.
Flux d’attaque
Détections
Activité Suspecte de Ntdsutil (via cmdline)
Voir
Tentative Possible d’Énumération d’Utilisateurs / Groupes (via powershell)
Voir
Énumération ou Manipulation Possible de Compte ou de Groupe (via cmdline)
Voir
Découverte Possible de la Configuration Réseau Système (via cmdline)
Voir
Énumération Possible du Système (via cmdline)
Voir
Énumération Possible des Services (via cmdline)
Voir
Tâche Planifiée Suspecte Sous Utilisateur Système (via cmdline)
Voir
Points de Persistance Possibles [ASEPs – Ruche Logiciel/NTUSER] (via événement_registre)
Voir
Exécution de Processus Système depuis des Chemins Atypiques (via création_de_processus)
Voir
Énumération des Informations Réseau et Système par la Campagne StrikeShark [Journal d’Événements de Sécurité Windows]
Voir
Détection de l’Utilisation de SystemSettings.exe par SharkLoader et Énumération d’Active Directory [Création de Processus Windows]
Voir
Exécution de Simulation
Prérequis : La Vérification Préliminaire de Télémetrie & Base doit avoir réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémetrie attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.
-
Narratif et Commandes de l’Attaque : L’adversaire vise à établir un point d’ancrage en utilisant les méthodes signatures de la campagne SharkLoader. D’abord, l’attaquant simule le sous-produit du chargement de DLL en lançant une version renommée d’un binaire légitime sous
SystemSettings.exe. Une fois le processus en cours d’exécution, l’attaquant essaie d’obtenir une connaissance situationnelle en énumérant l’environnement de domaine. Pour imiter le TTP observé, l’attaquant utilise PowerShell pour interroger Active Directory pour les objets utilisateur et ordinateur, ce qui est une étape courante pendant la phase de reconnaissance d’une compromission de domaine. -
Script de Test de Régression :
# Script de Simulation pour la Détection de SharkLoader & Énumération AD Write-Host "[*] Début de la Simulation..." -ForegroundColor Cyan # 1. Simuler l'Exécution du Processus SharkLoader via SystemSettings.exe # Nous utilisons notepad.exe comme proxy pour simuler le comportement du binaire non chargé Start-Process "notepad.exe" -ArgumentList "/c "Ceci est un SystemSettings.exe simulé"" -WindowStyle Hidden # Remarque : Dans un environnement réel, le fichier lui-même serait nommé SystemSettings.exe. # Pour ce test, nous simulons la création de l'entrée processus. # 2. Simuler l'Énumération Malveillante d'Active Directory Write-Host "[*] Simulation de l'Énumération AD..." -ForegroundColor Yellow # Utilisation de cmdlets standard que la règle cherche spécifiquement Get-ADUser -Filter * | Select-Object -First 5 Get-ADComputer -Filter * | Select-Object -First 5 Get-ADGroup -Filter * | Select-Object -First 5 Write-Host "[+] Commandes de Simulation Exécutées." -ForegroundColor Green -
Commandes de Nettoyage :
# Script de nettoyage pour s'assurer qu'aucun processus résiduel ne subsiste Stop-Process -Name "notepad" -ErrorAction SilentlyContinue Write-Host "[*] Nettoyage Terminé." -ForegroundColor Cyan