Força Bruta SQL Abre a Porta para o Ransomware BlueSky
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um ator de ameaça usou o envenenamento por SEO para distribuir o malware BumbleBee através de um instalador trojanizado do ManageEngine OpManager. Após obter acesso inicial, o atacante implantou o AdaptixC2 para comando e controle, moveu-se lateralmente através de tunelamento RDP e SSH, e exfiltrou mais de 75 GB de dados sensíveis. A intrusão terminou com a implantação do ransomware Akira para criptografar a infraestrutura de domínio.
Investigação
A análise forense identificou o vetor de infecção inicial como um domínio falsificado, opmanager.pro, que forneceu um instalador MSI malicioso. Os investigadores rastrearam a cadeia de execução desde o sideloading de DLL de msimg32.dll até a injeção de shellcode do AdaptixC2 na utilidade de Catálogo de Endereços do Windows. A revisão da telemetria de rede e dos artefatos do sistema de arquivos também revelou exfiltração de dados em larga escala via FileZilla e uso de túneis de SSH reverso para proxy de acesso RDP.
Mitigação
As organizações devem impor filtragem rigorosa da web para bloquear domínios novos ou falsificados e monitorar comportamentos suspeitos de sideloading de DLL. Limitar privilégios administrativos e detectar a criação não autorizada de contas ou serviços de domínio também é crítico. Além disso, filtragem de saída forte e monitoramento para túneis SSH ou RDP não autorizados podem ajudar a prevenir tanto movimento lateral quanto exfiltração de dados.
Resposta
Se esta atividade for detectada, isole imediatamente os sistemas afetados, especialmente controladores de domínio e servidores de backup, para interromper a propagação adicional do ransomware. Termine todas as sessões de acesso remoto não autorizadas, incluindo túneis SSH e instâncias RustDesk. Realize uma redefinição completa de credenciais para todas as contas de domínio, com atenção especial para Administradores de Empresa, e inicie a recuperação usando backups offline e imutáveis.
Fluxo de Ataque
Detecções
Uso Suspeito de WMIC (via linha de comando)
Ver
Referência a Shadowcopy Suspeita no Powershell (via linha de comando)
Ver
Possível Exclusão de Cópias de Sombra via WMI (via powershell)
Ver
Conexão de Saída Suspeita por Processo Incomum (via conexão de rede)
Ver
Solicitação de DNS Realizada por Processo Incomum (via consulta DNS)
Ver
Encaminhamento de Porta SSH Suspeito [Windows] (via linha de comando)
Ver
Possível Enumeração do Sistema (via linha de comando)
Ver
Descoberta Suspeita de Confianças de Domínio (via linha de comando)
Ver
Possível Vazamento de Credenciais Usando Comsvcs.dll (via linha de comando)
Ver
Execução de PSQL Suspeita (via linha de comando)
Ver
Atividade Suspeita da Ferramenta Wbadmin (via linha de comando)
Ver
Possível Ataque BYOVD – Bring Your Own Vulnerable Driver (via auditoria)
Ver
Possível Atividade de Transferência do Bits (via powershell)
Ver
Possível Execução por Uso de Nome de Script Curto (via linha de comando)
Ver
Possível Script PowerShell Contendo Lolbin (via powershell)
Ver
Criação de Serviço de Software de Acesso Remoto / Gerenciamento (via sistema)
Ver
Software Alternativo de Acesso Remoto / Gerenciamento (via criação de processo)
Ver
Enumeração / Manipulação Possível de Conta ou Grupo (via linha de comando)
Ver
Execução de Processos do Sistema de Caminhos Não Típicos (via criação de processo)
Ver
Possível Execução de Arquivos Msiexec em Diretório Incomum (via linha de comando)
Ver
Detectar a Atividade do RustDesk e Ransomware Akira [Sistema Windows]
Ver
Detecção de Execução e Injeção de BumbleBee e AdaptixC2 [Criação de Processo do Windows]
Ver
Resumo Executivo
- ID do Caso de Teste: TC-20250522-K9L2P
- TTPs: T1003.001, T1003.003, T1018, T1021.001, T1021.003, T1027.010, T1033, T1036, T1039, T1041, T1046, T1047, T1048.001, T1055, T1059.001, T1059.003, T1069.001, T1069.002, T1070.004, T1071.001, T1082, T1083, T1087.001, T1087.002, T1090, T1135, T1136, T1189, T1204.002, T1219, T1482, T1486, T1490, T1543.003, T1555, T1568.002, T1569.002, T1574.001
- Resumo da Lógica da Regra de Detecção: A regra é acionada se
rustdesk.exefor gerado porservices.exeou selocker.exefor executado com a linha de comando contendo “Volume Shadow Copies”. - Linguagem/Formato da Regra de Detecção: yaml
- Ambiente de Segurança Alvo: Windows OS com Sysmon habilitado, visando um SIEM capaz de processar telemetria do Sysmon Event ID 1 (Criação de Processo).
- Pontuação de Resiliência (1-5): 2
- Justificativa: A regra depende fortemente de nomes de arquivos específicos, codificados (
rustdesk.exeandlocker.exe). Um adversário pode facilmente contornar isso renomeando seus binários. Além disso, a detecção do Akira é limitada a uma string específica na linha de comando, que pode ser ofuscada. - Principais Achados: A regra detecta efetivamente o uso “de fábrica” dessas ferramentas, mas falha contra qualquer técnica básica de evasão, como renomeação de binário ou manipulação de argumentos da linha de comando.
- Recomendação: Migrar de detecção baseada em nome de arquivo para indicadores de comportamento, como monitoramento para instalações de serviços não autorizadas, conexões de rede inesperadas de ferramentas de desktop remotas e a exclusão de cópias de sombra via
vssadminorwmicindependentemente do nome do processo pai.
## Ambiente de Simulação e Contexto
- TTPs em Teste:
- T1003.001: Despejo de Credenciais do SO: Memória do LSASS
- T1059.001: Interpretador de Comandos e Scripts: PowerShell
- T1490: Inibir Recuperação do Sistema (Exclusão de Shadow Copy)
- T1543.003: Criar ou Modificar Processo do Sistema: Serviço do Windows
- Contexto e Relevância do TTP: A simulação visa replicar o perfil de ameaça dupla: o uso do RustDesk para acesso remoto persistente (instalado como um serviço) e a execução de comandos no estilo do ransomware Akira para inibir a recuperação do sistema ao mirar nas Cópias de Sombra de Volume.
- Ambiente Alvo:
- OS: Windows 10/11 ou Windows Server
- Registro: Sysmon (especificamente Event ID 1: Criação de Processo)
- Pilha de Segurança: SIEM (por exemplo, Splunk, Sentinel ou ELK)
## Telemetria e Verificação de Pré-voo da Linha de Base
Racional: Antes de simular o ataque, devemos confirmar que o host alvo está configurado para gerar os logs necessários, que esses logs são ingeridos pelo SIEM e que a regra de detecção não dispara em atividade benigna. Sem essa validação, qualquer resultado de teste é pouco confiável.
-
1. Instruções de Configuração de Telemetria:
-
- Instalar Sysmon na máquina Windows alvo.
-
- Aplique um arquivo de configuração (por exemplo, a configuração do SwiftOnSecurity) que garanta que a Criação de Processos (Event ID 1) seja capturada com argumentos de Linha de Comando completos.
-
- Garanta que o log de eventos do Sysmon esteja sendo encaminhado para o seu SIEM via Winlogbeat, Splunk Universal Forwarder, ou agente similar.
-
-
2. Validação de Ingestão e Linha de Base:
-
Ação (Telemetria Benigna): Execute um comando padrão do PowerShell para verificar informações do sistema, que gera telemetria de criação de processo sem acionar padrões relacionados a ransomware.
Get-ComputerInfo | Select-Object CsName, OsArchitecture -
Consulta de Validação (Ingestão):
// Consulta KQL para verificar a ingestão de Sysmon Event ID 1 Sysmon | onde EventID == 1 e Image contém "powershell.exe" | pegue 10
-
## Execução da Simulação
Pré-requisito: A Verificação de Pré-voo de Telemetria e Linha de Base deve ter sido concluída com sucesso.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque e Comandos: O adversário começa estabelecendo persistência e acesso remoto usando o RustDesk. Para imitar uma instalação de serviço, o adversário simulará o comportamento onde um gerenciador de serviços (
services.exe) gera o binário de acesso remoto. Em seguida, o adversário executa a carga útil do ransomware Akira. O objetivo dessa carga útil é destruir backups do sistema para impedir a recuperação; faz isso chamando um binário chamadolocker.execom uma instrução de linha de comando específica para deletar ‘Cópias de Sombra de Volume’. Isso imita a fase de alto impacto de um ataque de extorsão. -
Script de Teste de Regressão:
# --- INÍCIO DA SIMULAÇÃO --- # Parte 1: Simular Execução de Serviço RustDesk # Simulamos o comportamento onde services.exe gera rustdesk.exe. # Como não podemos facilmente falsificar o ParentProcessID de services.exe sem drivers de kernel, # simularemos a criação do artefato e então usaremos uma ferramenta como 'Process Hacker' # ou um script para simular a telemetria específica se possível, # mas para este script, criaremos o arquivo e acionaremos um processo. $rustdeskPath = "$env:TEMPrustdesk.exe" New-Item -Path $rustdeskPath -ItemType File -Force # Nota: Para acionar exatamente a regra 'ParentImage|endswith: services.exe', # é necessária uma instalação de serviço real. Write-Host "[+] Criando binário simulado RustDesk em $rustdeskPath" # Parte 2: Simular Atividade de Ransomware Akira $lockerPath = "$env:TEMPlocker.exe" New-Item -Path $lockerPath -ItemType File -Force Write-Host "[+] Criando 'locker.exe' simulado de Akira em $lockerPath" # Acionando a lógica de detecção de Akira via linha de comando contém 'Cópias de Sombra de Volume' # Usamos start-process para garantir que a linha de comando seja capturada pelo Sysmon Start-Process -FilePath $lockerPath -ArgumentList "/delete Volume Shadow Copies" -NoNewWindow Write-Host "[!] Comandos de simulação executados. Verifique alertas de 'locker.exe' no SIEM." # --- FIM DA SIMULAÇÃO --- -
Comandos de Limpeza:
# --- INÍCIO DA LIMPEZA --- Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlocker.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Limpeza completa." # --- FIM DA LIMPEZA ---