BlackToad utilise la manipulation de réseau dans une charge utile AutoIt
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
JUMPSEC a découvert une campagne de phishing qui délivre une charge utile Remcos RAT dissimulée à l’intérieur d’un crypteur AutoIt personnalisé. La chaîne d’infection utilise un script VBS pour exécuter ipconfig /release suivi de ipconfig /renew, perturbant brièvement la connectivité réseau comme moyen de se soustraire à la détection. Les chercheurs ont lié la campagne à l’écosystème de la cybercriminalité nigériane, avec une infrastructure reposant sur des domaines DNS dynamiques hébergés derrière des connexions de fournisseurs d’accès mobile.
Enquête
L’enquête a suivi l’email malveillant, décompressé l’archive auto-extractible WinRAR intégrée, et identifié un chargeur VBS qui lançait un interpréteur AutoIt déguisé. Le script AutoIt a ensuite décrypté et exécuté l’implant Remcos, tandis que la configuration récupérée a exposé les domaines de commande et de contrôle, la valeur mutuelle et une clé de persistance Run. Les chercheurs ont cartographié l’infrastructure de support à trois domaines DNS dynamiques et un ensemble rotatif d’adresses IP nigérianes.
Atténuation
Les organisations doivent bloquer les domaines DNS dynamiques identifiés et les plages d’IP associées, surveiller la ipconfig /release and ipconfig /renew séquence suspecte et détecter les scripts AutoIt ou VBS générant cmd.exe. Des contrôles d’exécution rigoureux devraient également être appliqués aux fichiers utilisant des extensions doubles trompeuses, tandis que les entrées Run de registre telles que WindowsUpdate doivent être surveillées pour détecter les abus.
Réponse
Si cette activité est détectée, isolez immédiatement le point de terminaison affecté, terminez le processus Remcos, retirez la clé Run malveillante utilisée pour la persistance, et effectuez un examen médico-légal complet pour un vol d’identifiants ou une activité de suivi. Le contenu de détection doit également être mis à jour pour identifier la technique de coupure réseau et les motifs de nom de fichier spécifiques liés à la campagne.
Flux d’attaque
Détections
Points de persistance possibles [ASEPs – Hive Software/NTUSER] (via registry_event)
Voir
Service DNS dynamique possible contacté (via dns)
Voir
Fichier SCR malveillant possible avec double extension (via cmdline)
Voir
IOCs (HashSha256) pour détecter : BlackToad : Manipulation de réseau dans une charge utile AutoIt
Voir
IOCs (HashMd5) pour détecter : BlackToad : Manipulation de réseau dans une charge utile AutoIt
Voir
IOCs (SourceIP) pour détecter : BlackToad : Manipulation de réseau dans une charge utile AutoIt
Voir
IOCs (DestinationIP) pour détecter : BlackToad : Manipulation de réseau dans une charge utile AutoIt
Voir
Détection de communication C2 BlackToad [Connexion réseau Windows]
Voir
Manipulation de réseau BlackToad via la charge utile AutoIt [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : Le contrôle de prévol de télémétrie & amp; Baseline doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Les exemples abstraits ou non liés mèneront à une mauvaise interprétation.
-
Narration de l’attaque & amp; Commandes :
- Objectif : Établir un canal C2 avec l’implant Remcos BlackToad en utilisant l’un des domaines DDNS malveillants connus sur le port codé en dur 50240.
- Établir étape par étape :
- Résoudre le domaine DDNS malveillant choisi (
pmitm.ddns.net). - Ouvrez une socket TCP vers l’IP résolue sur le port 50240.
- Envoyez une charge utile minimale de « battement de cœur » pour émuler la poignée de main initiale de l’implant.
- Gardez la socket ouverte pendant 30 secondes pour assurer que le pare-feu consigne la connexion sortante.
- Résoudre le domaine DDNS malveillant choisi (
- La connexion sortante correspond exactement à la règle Sigma
destination.ipliste etdestination.portcritères, produisant un événement détectable par le pare-feu.
-
Script de test de régression :
# Simulation de communication C2 BlackToad (PowerShell) $c2Domain = "pmitm.ddns.net" # un des domaines listés dans la règle $c2Port = 50240 try { # Résoudre le domaine en IP (ajoute la télémétrie de la requête DNS) $ip = [System.Net.Dns]::GetHostAddresses($c2Domain) | Where-Object { $_.AddressFamily -eq 'InterNetwork' } | Select-Object -First 1 if (-not $ip) { throw "Impossible de résoudre $c2Domain" } Write-Host "Résolu $c2Domain à $($ip.IPAddressToString). Connexion..." # Ouvrir une connexion TCP (génère un journal de pare-feu sortant) $client = New-Object System.Net.Sockets.TcpClient $client.Connect($ip, $c2Port) # Envoyer un simple battement de cœur (hex 0x01) $stream = $client.GetStream() $payload = [byte[]](0x01) $stream.Write($payload, 0, $payload.Length) Write-Host "Battement de cœur envoyé. Garder la connexion ouverte pendant 30 secondes..." Start-Sleep -Seconds 30 $stream.Close() $client.Close() Write-Host "Connexion fermée proprement." } catch { Write-Error "Échec de la simulation : $_" } -
Commandes de nettoyage :
# Assurez-vous que toutes les sockets restantes sont fermées Get-NetTCPConnection -RemotePort 50240 -State Established | ForEach-Object { Stop-Process -Id $_.OwningProcess -Force } # Optionnel : Videz le cache DNS pour retirer l'entrée DDNS résolue ipconfig /flushdns Write-Host "Nettoyage terminé."