CrySome RAT : Un Cheval de Troie d’Accès à Distance Persistant et Avancé .NET

Résumé

CrySome RAT est un cheval de Troie d’accès à distance .NET qui permet un contrôle à distance complet, le vol d’identifiants et une persistance en couches. Il inclut un AVKiller composant conçu pour désactiver les outils de sécurité et utilise l’abus de partition de récupération ainsi que des modifications hors ligne du registre pour survivre aux réinitialisations et rétablir l’accès. Pour maintenir une emprise à long terme, le malware s’appuie sur des bureaux virtuels cachés, des processus de surveillance, des tâches planifiées et des services Windows, créant des chemins d’exécution redondants qui compliquent le nettoyage.

Enquête

Le rapport combine une décompilation statique du client C# avec une analyse dynamique du comportement. Les enquêteurs ont cartographié des composants modulaires—tels que SelfProtect, AVKiller, Survival et les gestionnaires de commandes—avec des capacités distinctes et des flux de contrôle. La persistance a été retracée à travers des tâches planifiées, des entrées de registre RunOnce, l’installation de services et le déploiement de partition de récupération utilisé pour ressemer les artefacts après des actions de récupération du système. Le comportement réseau a été identifié comme commandement et contrôle TCP simple utilisant un format de paquet personnalisé.

Atténuation

Surveillez les tâches planifiées nommées CrySomeLoader et les services nommés WindowsHealthMonitor. Auditez régulièrement les emplacements de registre autorun RunOnce et autres pour trouver des entrées inconnues ou nouvellement ajoutées. Bloquez crysome.net et toute infrastructure IP associée aux couches DNS/proxy. Appliquez des configurations de sécurité protégées contre les manipulations pour empêcher la désactivation de défense de type AVKiller et alertez sur les tentatives de modification des paramètres de Defender ou de protection des terminaux.

Réponse

Isolez les hôtes présentant des indicateurs CrySome et collectez les preuves volatiles avant la remédiation. Effectuez une révision médico-légale des partitions de récupération et des ruches de registre hors ligne pour identifier la persistance cachée. Supprimez les binaires redondants, éliminez les tâches planifiées malveillantes, les services, et les entrées de registre, et restaurez les paramètres de Microsoft Defender à une base connue et saine. Déployez des détections EDR couvrant les noms de processus spécifiques et les modèles de ligne de commande associés à l’exécution de CrySome.

Exécution de la simulation

Condition préalable : Le contrôle télémetrie et de référence doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et la narration DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Les exemples abstraits ou non liés conduiront à un mauvais diagnostic.

• Narration d’attaque & Commandes :

  L’opérateur de CrySome RAT obtient d’abord une emprise sur la machine victime. Pour cacher la charge utile malveillante, le RAT génère conhost.exe en tant qu’enfant de son propre processus, tirant parti de l’hôte de console natif pour masquer sa ligne de commande. Ensuite, il lance RuntimeBroker.exe pour se fondre parmi les tâches d’arrière-plan légitimes de Windows, réalisant ainsi la dissimulation. Enfin, l’attaquant exécute une commande PowerShell en ligne qui désactive la protection en temps réel de Microsoft Defender, utilisant le Set-MpPreference cmdlet. Chaque étape génère un événement 4688 distinct qui correspond à la règle de détection.

  1. Processus RAT (ex: CrySome.exe) → Start-Process -FilePath "C:WindowsSystem32conhost.exe" -ArgumentList "/c ..."
  2. Processus RAT → Start-Process -FilePath "C:WindowsSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost ..."
  3. Processus RAT → powershell.exe -NoProfile -WindowStyle Hidden -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

• Script de test de régression :

  # -------------------------------------------------------------------------
  # Simulation de technique CrySome RAT – destinée à déclencher la règle Sigma
  # -------------------------------------------------------------------------
  
  # 1. Générer conhost.exe (agit comme un hôte de console furtif)
  Start-Process -FilePath "$env:SystemRootSystem32conhost.exe" -ArgumentList "/c ping -n 5 127.0.0.1" -WindowStyle Hidden
  
  # 2. Générer RuntimeBroker.exe (déguisé en composant Windows de confiance)
  Start-Process -FilePath "$env:SystemRootSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost" -WindowStyle Hidden
  
  # 3. Désactiver Defender en utilisant PowerShell (évasion de défense)
  $psCmd = 'Set-MpPreference -DisableRealtimeMonitoring $true'
  Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
                -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCmd" `
                -WindowStyle Hidden
  
  Write-Host "Simulation complete – check your SIEM for alerts."

• Commandes de nettoyage :

  # Terminer tous les processus de test résiduels (exécutez en tant qu'Administrateur)
  Get-Process -Name conhost, RuntimeBroker, powershell | Stop-Process -Force
  
  # Ré‑activer Defender (restaurer la posture défensive normale)
  Set-MpPreference -DisableRealtimeMonitoring $false
  
  Write-Host "Nettoyage terminé."