SOC Prime Bias: Élevé

02 Jul 2026 06:38 UTC

Évolution des outils UAC-0226 : de WinRAR ADS au chargement réfléchi de GIFTEDCROOK

Author Photo
SOC Prime Team linkedin icon Suivre
Évolution des outils UAC-0226 : de WinRAR ADS au chargement réfléchi de GIFTEDCROOK
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

L’acteur de menace UAC-0226 a affiné sa chaîne de livraison en utilisant une faille de traversée de chemin WinRAR avec les flux de données alternatifs NTFS pour établir une persistance silencieuse. La campagne repose sur un chargeur PowerShell en plusieurs étapes pour déployer une charge utile PE réfléchissante sans en-tête appelée GIFTEDCROOK. Le malware est conçu pour collecter des identifiants de navigateurs, des données de configuration VPN et des documents sensibles à partir de systèmes compromis.

Enquête

L’analyse décompose un flux d’exécution complexe construit autour d’une archive WinRAR weaponisée, d’un PDF leurre et d’un fichier LNK caché placé dans le dossier de démarrage de Windows. Les chercheurs ont identifié une routine de décodage additive personnalisée et un chargeur réfléchissant avancé qui mappe une DLL directement en mémoire. La télémétrie a également montré le chargeur signalant le statut d’exécution à son serveur de commande et de contrôle via une structure personnalisée de 16 octets.

Atténuation

Les organisations devraient prioriser la mise à jour de WinRAR pour résoudre les faiblesses de traversée de chemin. L’application de politiques strictes d’exécution PowerShell et la surveillance des activités inhabituelles des flux de données alternatifs NTFS peuvent aider à perturber les premières étapes de la compromission. Les équipes de sécurité devraient également surveiller les fichiers non autorisés déposés dans les dossiers de démarrage et le comportement suspect d’allocation mémoire tel que NtAllocateVirtualMemory.

Réponse

Si cette activité est détectée, isolez immédiatement les hôtes affectés pour éviter toute exfiltration de données supplémentaire. Inspectez le C:ProgramData répertoire pour les fichiers suspects sans extension et vérifiez le dossier de démarrage de l’utilisateur pour des raccourcis LNK non autorisés. Une analyse forensique de la mémoire devrait être effectuée pour identifier les DLL réfléchissantes, et les journaux réseau devraient être vérifiés pour toute communication avec l’infrastructure de commande et de contrôle identifiée.

Flux d’attaque

Exécution de Simulation

Prérequis : La vérification pré-vol du télémétrie et de la ligne de base doit avoir été passée.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à un mauvais diagnostic.

  • Narratif de l’Attaque & Commandes : L’adversaire vise à déployer une charge utile voleur. Pour réduire l’empreinte et éviter les interactions avec l’utilisateur, ils mettent en scène une charge utile dans C:ProgramDataWC3. Ils invoquent ensuite PowerShell avec un ensemble de drapeaux « vivre de la terre » conçus pour contourner les politiques d’exécution et cacher la fenêtre à l’utilisateur. La commande utilisera iex (Invoke-Expression) pour exécuter une commande qui référence le fichier mis en scène, simulant le comportement de chargement réfléchi de la campagne UAC-0226.

  • Script de Test de Régression :

    # 1. Configuration : Créer le répertoire spécifique utilisé dans la règle de détection
    $targetDir = "C:ProgramDataWC3"
    if (!(Test-Path $targetDir)) {
        New-Item -Path $targetDir -ItemType Directory -Force
    }
    
    # 2. Créer un fichier charge utile factice pour satisfaire l'exigence de chemin
    $dummyFile = "$targetDirpayload.ps1"
    "Write-Output 'Simulated Malicious Payload'" | Out-File -FilePath $dummyFile -Encoding ascii
    
    # 3. Exécuter la chaîne de commandes malveillantes (Cela devrait déclencher la règle)
    # Nous utilisons Start-Process pour assurer que la ligne de commande est capturée en tant que nouveau processus
    Start-Process powershell.exe -ArgumentList "-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command ""iex (Get-Content $dummyFile)""" -WindowStyle Hidden
    
    Write-Host "[+] Commande de simulation exécutée. Vérifiez votre SIEM pour l'alerte."
  • Commandes de Nettoyage :

    # Supprimez le répertoire et les fichiers factices créés lors de la simulation
    Remove-Item -Path "C:ProgramDataWC3" -Recurse -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Nettoyage terminé."