SOC Prime Bias: Crítico

01 Jul 2026 09:43 UTC

Força Bruta SQL Abre a Porta para o Ransomware BlueSky

Author Photo
SOC Prime Team linkedin icon Seguir
Força Bruta SQL Abre a Porta para o Ransomware BlueSky
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Um ator de ameaça usou o envenenamento por SEO para distribuir o malware BumbleBee através de um instalador trojanizado do ManageEngine OpManager. Após obter acesso inicial, o atacante implantou o AdaptixC2 para comando e controle, moveu-se lateralmente através de tunelamento RDP e SSH, e exfiltrou mais de 75 GB de dados sensíveis. A intrusão terminou com a implantação do ransomware Akira para criptografar a infraestrutura de domínio.

Investigação

A análise forense identificou o vetor de infecção inicial como um domínio falsificado, opmanager.pro, que forneceu um instalador MSI malicioso. Os investigadores rastrearam a cadeia de execução desde o sideloading de DLL de msimg32.dll até a injeção de shellcode do AdaptixC2 na utilidade de Catálogo de Endereços do Windows. A revisão da telemetria de rede e dos artefatos do sistema de arquivos também revelou exfiltração de dados em larga escala via FileZilla e uso de túneis de SSH reverso para proxy de acesso RDP.

Mitigação

As organizações devem impor filtragem rigorosa da web para bloquear domínios novos ou falsificados e monitorar comportamentos suspeitos de sideloading de DLL. Limitar privilégios administrativos e detectar a criação não autorizada de contas ou serviços de domínio também é crítico. Além disso, filtragem de saída forte e monitoramento para túneis SSH ou RDP não autorizados podem ajudar a prevenir tanto movimento lateral quanto exfiltração de dados.

Resposta

Se esta atividade for detectada, isole imediatamente os sistemas afetados, especialmente controladores de domínio e servidores de backup, para interromper a propagação adicional do ransomware. Termine todas as sessões de acesso remoto não autorizadas, incluindo túneis SSH e instâncias RustDesk. Realize uma redefinição completa de credenciais para todas as contas de domínio, com atenção especial para Administradores de Empresa, e inicie a recuperação usando backups offline e imutáveis.

Fluxo de Ataque

Detecções

Uso Suspeito de WMIC (via linha de comando)

Equipe SOC Prime
01 Jul 2026

Referência a Shadowcopy Suspeita no Powershell (via linha de comando)

Equipe SOC Prime
01 Jul 2026

Possível Exclusão de Cópias de Sombra via WMI (via powershell)

Equipe SOC Prime
01 Jul 2026

Conexão de Saída Suspeita por Processo Incomum (via conexão de rede)

Equipe SOC Prime
01 Jul 2026

Solicitação de DNS Realizada por Processo Incomum (via consulta DNS)

Equipe SOC Prime
01 Jul 2026

Encaminhamento de Porta SSH Suspeito [Windows] (via linha de comando)

Equipe SOC Prime
01 Jul 2026

Possível Enumeração do Sistema (via linha de comando)

Equipe SOC Prime
01 Jul 2026

Descoberta Suspeita de Confianças de Domínio (via linha de comando)

Equipe SOC Prime
01 Jul 2026

Possível Vazamento de Credenciais Usando Comsvcs.dll (via linha de comando)

Equipe SOC Prime
01 Jul 2026

Execução de PSQL Suspeita (via linha de comando)

Equipe SOC Prime
01 Jul 2026

Atividade Suspeita da Ferramenta Wbadmin (via linha de comando)

Equipe SOC Prime
01 Jul 2026

Possível Ataque BYOVD – Bring Your Own Vulnerable Driver (via auditoria)

Equipe SOC Prime
01 Jul 2026

Possível Atividade de Transferência do Bits (via powershell)

Equipe SOC Prime
01 Jul 2026

Possível Execução por Uso de Nome de Script Curto (via linha de comando)

Equipe SOC Prime
01 Jul 2026

Possível Script PowerShell Contendo Lolbin (via powershell)

Equipe SOC Prime
01 Jul 2026

Criação de Serviço de Software de Acesso Remoto / Gerenciamento (via sistema)

Equipe SOC Prime
01 Jul 2026

Software Alternativo de Acesso Remoto / Gerenciamento (via criação de processo)

Equipe SOC Prime
01 Jul 2026

Enumeração / Manipulação Possível de Conta ou Grupo (via linha de comando)

Equipe SOC Prime
01 Jul 2026

Execução de Processos do Sistema de Caminhos Não Típicos (via criação de processo)

Equipe SOC Prime
01 Jul 2026

Possível Execução de Arquivos Msiexec em Diretório Incomum (via linha de comando)

Equipe SOC Prime
01 Jul 2026

Detectar a Atividade do RustDesk e Ransomware Akira [Sistema Windows]

Regras de IA da SOC Prime
01 Jul 2026

Detecção de Execução e Injeção de BumbleBee e AdaptixC2 [Criação de Processo do Windows]

Regras de IA da SOC Prime
01 Jul 2026

Resumo Executivo

  • ID do Caso de Teste: TC-20250522-K9L2P
  • TTPs: T1003.001, T1003.003, T1018, T1021.001, T1021.003, T1027.010, T1033, T1036, T1039, T1041, T1046, T1047, T1048.001, T1055, T1059.001, T1059.003, T1069.001, T1069.002, T1070.004, T1071.001, T1082, T1083, T1087.001, T1087.002, T1090, T1135, T1136, T1189, T1204.002, T1219, T1482, T1486, T1490, T1543.003, T1555, T1568.002, T1569.002, T1574.001
  • Resumo da Lógica da Regra de Detecção: A regra é acionada se rustdesk.exe for gerado por services.exe ou se locker.exe for executado com a linha de comando contendo “Volume Shadow Copies”.
  • Linguagem/Formato da Regra de Detecção: yaml
  • Ambiente de Segurança Alvo: Windows OS com Sysmon habilitado, visando um SIEM capaz de processar telemetria do Sysmon Event ID 1 (Criação de Processo).
  • Pontuação de Resiliência (1-5): 2
  • Justificativa: A regra depende fortemente de nomes de arquivos específicos, codificados (rustdesk.exe and locker.exe). Um adversário pode facilmente contornar isso renomeando seus binários. Além disso, a detecção do Akira é limitada a uma string específica na linha de comando, que pode ser ofuscada.
  • Principais Achados: A regra detecta efetivamente o uso “de fábrica” dessas ferramentas, mas falha contra qualquer técnica básica de evasão, como renomeação de binário ou manipulação de argumentos da linha de comando.
  • Recomendação: Migrar de detecção baseada em nome de arquivo para indicadores de comportamento, como monitoramento para instalações de serviços não autorizadas, conexões de rede inesperadas de ferramentas de desktop remotas e a exclusão de cópias de sombra via vssadmin or wmic independentemente do nome do processo pai.

## Ambiente de Simulação e Contexto

  • TTPs em Teste:
    • T1003.001: Despejo de Credenciais do SO: Memória do LSASS
    • T1059.001: Interpretador de Comandos e Scripts: PowerShell
    • T1490: Inibir Recuperação do Sistema (Exclusão de Shadow Copy)
    • T1543.003: Criar ou Modificar Processo do Sistema: Serviço do Windows
  • Contexto e Relevância do TTP: A simulação visa replicar o perfil de ameaça dupla: o uso do RustDesk para acesso remoto persistente (instalado como um serviço) e a execução de comandos no estilo do ransomware Akira para inibir a recuperação do sistema ao mirar nas Cópias de Sombra de Volume.
  • Ambiente Alvo:
    • OS: Windows 10/11 ou Windows Server
    • Registro: Sysmon (especificamente Event ID 1: Criação de Processo)
    • Pilha de Segurança: SIEM (por exemplo, Splunk, Sentinel ou ELK)

## Telemetria e Verificação de Pré-voo da Linha de Base

Racional: Antes de simular o ataque, devemos confirmar que o host alvo está configurado para gerar os logs necessários, que esses logs são ingeridos pelo SIEM e que a regra de detecção não dispara em atividade benigna. Sem essa validação, qualquer resultado de teste é pouco confiável.

  • 1. Instruções de Configuração de Telemetria:

      1. Instalar Sysmon na máquina Windows alvo.
      1. Aplique um arquivo de configuração (por exemplo, a configuração do SwiftOnSecurity) que garanta que a Criação de Processos (Event ID 1) seja capturada com argumentos de Linha de Comando completos.
      1. Garanta que o log de eventos do Sysmon esteja sendo encaminhado para o seu SIEM via Winlogbeat, Splunk Universal Forwarder, ou agente similar.
  • 2. Validação de Ingestão e Linha de Base:

    • Ação (Telemetria Benigna): Execute um comando padrão do PowerShell para verificar informações do sistema, que gera telemetria de criação de processo sem acionar padrões relacionados a ransomware.

      Get-ComputerInfo | Select-Object CsName, OsArchitecture
    • Consulta de Validação (Ingestão):

      // Consulta KQL para verificar a ingestão de Sysmon Event ID 1
      Sysmon | onde EventID == 1 e Image contém "powershell.exe" | pegue 10

## Execução da Simulação

Pré-requisito: A Verificação de Pré-voo de Telemetria e Linha de Base deve ter sido concluída com sucesso.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa do Ataque e Comandos: O adversário começa estabelecendo persistência e acesso remoto usando o RustDesk. Para imitar uma instalação de serviço, o adversário simulará o comportamento onde um gerenciador de serviços (services.exe) gera o binário de acesso remoto. Em seguida, o adversário executa a carga útil do ransomware Akira. O objetivo dessa carga útil é destruir backups do sistema para impedir a recuperação; faz isso chamando um binário chamado locker.exe com uma instrução de linha de comando específica para deletar ‘Cópias de Sombra de Volume’. Isso imita a fase de alto impacto de um ataque de extorsão.

  • Script de Teste de Regressão:

    # --- INÍCIO DA SIMULAÇÃO ---
    # Parte 1: Simular Execução de Serviço RustDesk
    # Simulamos o comportamento onde services.exe gera rustdesk.exe.
    # Como não podemos facilmente falsificar o ParentProcessID de services.exe sem drivers de kernel,
    # simularemos a criação do artefato e então usaremos uma ferramenta como 'Process Hacker'
    # ou um script para simular a telemetria específica se possível,
    # mas para este script, criaremos o arquivo e acionaremos um processo.
    
    $rustdeskPath = "$env:TEMPrustdesk.exe"
    New-Item -Path $rustdeskPath -ItemType File -Force
    
    # Nota: Para acionar exatamente a regra 'ParentImage|endswith: services.exe',
    # é necessária uma instalação de serviço real.
    Write-Host "[+] Criando binário simulado RustDesk em $rustdeskPath"
    
    # Parte 2: Simular Atividade de Ransomware Akira
    $lockerPath = "$env:TEMPlocker.exe"
    New-Item -Path $lockerPath -ItemType File -Force
    Write-Host "[+] Criando 'locker.exe' simulado de Akira em $lockerPath"
    
    # Acionando a lógica de detecção de Akira via linha de comando contém 'Cópias de Sombra de Volume'
    # Usamos start-process para garantir que a linha de comando seja capturada pelo Sysmon
    Start-Process -FilePath $lockerPath -ArgumentList "/delete Volume Shadow Copies" -NoNewWindow
    
    Write-Host "[!] Comandos de simulação executados. Verifique alertas de 'locker.exe' no SIEM."
    # --- FIM DA SIMULAÇÃO ---
  • Comandos de Limpeza:

    # --- INÍCIO DA LIMPEZA ---
    Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPlocker.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Limpeza completa."
    # --- FIM DA LIMPEZA ---