DeadLock : Le Gang de Ransomware Utilise les Contrats Intelligents pour Masquer Son Travail
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Le ransomware DeadLock a adopté les contrats intelligents Polygon comme moyen résilient de publier et de faire pivoter les URL de proxy utilisées pour le commandement et le contrôle (C2), permettant à l’infrastructure de backend de changer rapidement sans dépendre des domaines conventionnels. Après le chiffrement, les acteurs déposent un conteneur HTML « paiement/communication » qui oriente les victimes vers le messager décentralisé Session pour des instructions et interactions supplémentaires. La technique ressemble au modèle EtherHiding précédemment rapporté dans des activités liées à la Corée du Nord, utilisant les données de blockchain comme une couche d’indirection pour une infrastructure malveillante. Notamment, DeadLock semble déprioriser les sites traditionnels de fuites publiques et monétise à la place les données volées via des ventes sur des marchés clandestins.
Enquête
Les analystes de Group-IB ont documenté l’approche de DeadLock soutenue par des contrats intelligents pour dissimuler les points d’extrémité C2, y compris le dépôt après chiffrement d’un fichier HTML qui référence explicitement Session comme canal de communication. Le rapport cite également un rapport antérieur de Cisco Talos qui associe l’activité de DeadLock aux techniques BYOVD (bring-your-own-vulnerable-driver) et à la terminaison des processus EDR, bien que les vecteurs d’accès initiaux précis n’aient pas été identifiés de manière concluante. Un commerce similaire de « contrat intelligent en tant que répertoire C2 » a également été discuté par le groupe de Renseignement sur les Menaces de Google dans le contexte des campagnes nord-coréennes, renforçant la tendance générale à tirer parti des blockchains publiques pour l’agilité de l’infrastructure.
Atténuation
Surveiller les points d’extrémité pour des artefacts HTML inattendus qui lancent ou référencent Session (ou d’autres messagers décentralisés) après une activité de fichiers suspecte. Appliquer une liste blanche stricte des applications et restreindre l’exécution d’outils non approuvés qui peuvent faciliter l’accès à distance, la mise en scène des charges utiles ou l’installation de messagers. Côté réseau, examiner les sorties pour les connexions aux URL de proxy ou aux domaines qui semblent être dérivés de pointeurs stockés en blockchain et traiter les changements soudains dans les destinations sortantes comme une anomalie à signal élevé. Mettre à jour en continu les détections des points d’extrémité pour identifier le chargement de pilotes BYOVD, les installations suspectes de pilotes et les comportements compatibles avec la manipulation EDR ou la terminaison forcée des services de sécurité.
Réponse
Si des indicateurs de DeadLock sont identifiés, isoler immédiatement les systèmes impactés pour éviter un chiffrement ultérieur et tout mouvement latéral. Collecter et préserver le conteneur HTML déposé, les notes de chiffrement et tout binaire ou script connexe, puis bloquer le trafic sortant vers toutes les URL de proxy observées et l’infrastructure référencée par contrat intelligent. Initier les procédures de réponse aux incidents formelles, valider l’intégrité et la disponibilité des chemins de récupération hors ligne/sauvegardés avant la remédiation, et évaluer l’exposition potentielle de données pour déterminer le risque d’extorsion. Lorsque cela est approprié, coordonner les communications avec les parties prenantes et engager un support spécialisé en réponse à un ransomware tout en menant l’extension complète et l’éradication.
Flux d’Attaque
Détections
Processus Suspect Imite Svchost A Été Exécuté (via cmdline)
Voir
Suppression Possible de Copies de l’Ombre via WMI (via powershell)
Voir
Tentative Possible d’Abus de Publicnode Ethereum Comme Canal C2 (via dns_query)
Voir
Rotation de l’URL du Serveur Proxy du Ransomware DeadLock via des Contrats Intelligents [Proxy]
Voir
Exécution de la Simulation
Prérequis : Le Contrôle Préliminaire de Télémétrie et de Base de Référence doit avoir été passé.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et visent à générer la télémétrie exacte attendue par la logique de détection. Les exemples abstraits ou non reliés mèneront à un mauvais diagnostic.
-
Narration de l’Attaque & Commandes :
L’acteur de la menace, ayant compromis un service proxy contrôlé par contrat intelligent, fait tourner l’URL du proxy toutes les quelques minutes pour échapper aux listes de blocage statiques. Chaque rotation publie un nouveau sous-domaine sous
deadlock.example.com. Le ransomware interroge le proxy pour récupérer la prochaine adresse C2. Pour émuler cela, nous émettons une série de requêtes HTTP à trois URL distinctes qui contiennent toutes la chaîne littérale « .example.com », imitant le schéma de rotation observé dans la nature. -
Script de Test de Régression :
#!/usr/bin/env bash # Simulation de Rotation d'URL Proxy de DeadLock – génère une télémétrie qui correspond à la règle Sigma PROXY="http://proxy.example.local:3128" URLs=( "http://stage1.example.com/deadlock" "http://stage2.example.com/deadlock" "http://stage3.example.com/deadlock" ) echo "[*] Début de la simulation de rotation d'URL proxy (3 requêtes)..." for url in "${URLs[@]}"; do echo "[+] Demande à $url via $PROXY" curl -s -x "$PROXY" "$url" -o /dev/null sleep 2 # pause courte pour émuler un intervalle réaliste done echo "[*] Simulation terminée." -
Commandes de Nettoyage :
#!/usr/bin/env bash # Supprimer les fichiers temporaires créés lors de la simulation (aucun dans ce cas) echo "[*] Aucun artéfact à nettoyer. Configuration du proxy laissée inchangée."