Évolution des outils UAC-0226 : de WinRAR ADS au chargement réfléchi de GIFTEDCROOK
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
L’acteur de menace UAC-0226 a affiné sa chaîne de livraison en utilisant une faille de traversée de chemin WinRAR avec les flux de données alternatifs NTFS pour établir une persistance silencieuse. La campagne repose sur un chargeur PowerShell en plusieurs étapes pour déployer une charge utile PE réfléchissante sans en-tête appelée GIFTEDCROOK. Le malware est conçu pour collecter des identifiants de navigateurs, des données de configuration VPN et des documents sensibles à partir de systèmes compromis.
Enquête
L’analyse décompose un flux d’exécution complexe construit autour d’une archive WinRAR weaponisée, d’un PDF leurre et d’un fichier LNK caché placé dans le dossier de démarrage de Windows. Les chercheurs ont identifié une routine de décodage additive personnalisée et un chargeur réfléchissant avancé qui mappe une DLL directement en mémoire. La télémétrie a également montré le chargeur signalant le statut d’exécution à son serveur de commande et de contrôle via une structure personnalisée de 16 octets.
Atténuation
Les organisations devraient prioriser la mise à jour de WinRAR pour résoudre les faiblesses de traversée de chemin. L’application de politiques strictes d’exécution PowerShell et la surveillance des activités inhabituelles des flux de données alternatifs NTFS peuvent aider à perturber les premières étapes de la compromission. Les équipes de sécurité devraient également surveiller les fichiers non autorisés déposés dans les dossiers de démarrage et le comportement suspect d’allocation mémoire tel que NtAllocateVirtualMemory.
Réponse
Si cette activité est détectée, isolez immédiatement les hôtes affectés pour éviter toute exfiltration de données supplémentaire. Inspectez le C:ProgramData répertoire pour les fichiers suspects sans extension et vérifiez le dossier de démarrage de l’utilisateur pour des raccourcis LNK non autorisés. Une analyse forensique de la mémoire devrait être effectuée pour identifier les DLL réfléchissantes, et les journaux réseau devraient être vérifiés pour toute communication avec l’infrastructure de commande et de contrôle identifiée.
Flux d’attaque
Détections
Comportement Possible d’Exécution Différée (via cmdline)
Voir
Opération Potentielle d’Auto-Suppression de Malware ou de Masquage de Stderr (via cmdline)
Voir
La Possibilité d’Exécution via des Lignes de Commande PowerShell Cachées (via cmdline)
Voir
Lancement de l’Invite de Commandes Minimisée Déclenchant un Processus PowerShell Caché [Création de Processus Windows]
Voir
Détecter l’Exécution PowerShell pour la Campagne UAC-0226 [Windows PowerShell]
Voir
Exécution de Simulation
Prérequis : La vérification pré-vol du télémétrie et de la ligne de base doit avoir été passée.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à un mauvais diagnostic.
-
Narratif de l’Attaque & Commandes : L’adversaire vise à déployer une charge utile voleur. Pour réduire l’empreinte et éviter les interactions avec l’utilisateur, ils mettent en scène une charge utile dans
C:ProgramDataWC3. Ils invoquent ensuite PowerShell avec un ensemble de drapeaux « vivre de la terre » conçus pour contourner les politiques d’exécution et cacher la fenêtre à l’utilisateur. La commande utiliseraiex(Invoke-Expression) pour exécuter une commande qui référence le fichier mis en scène, simulant le comportement de chargement réfléchi de la campagne UAC-0226. -
Script de Test de Régression :
# 1. Configuration : Créer le répertoire spécifique utilisé dans la règle de détection $targetDir = "C:ProgramDataWC3" if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force } # 2. Créer un fichier charge utile factice pour satisfaire l'exigence de chemin $dummyFile = "$targetDirpayload.ps1" "Write-Output 'Simulated Malicious Payload'" | Out-File -FilePath $dummyFile -Encoding ascii # 3. Exécuter la chaîne de commandes malveillantes (Cela devrait déclencher la règle) # Nous utilisons Start-Process pour assurer que la ligne de commande est capturée en tant que nouveau processus Start-Process powershell.exe -ArgumentList "-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command ""iex (Get-Content $dummyFile)""" -WindowStyle Hidden Write-Host "[+] Commande de simulation exécutée. Vérifiez votre SIEM pour l'alerte." -
Commandes de Nettoyage :
# Supprimez le répertoire et les fichiers factices créés lors de la simulation Remove-Item -Path "C:ProgramDataWC3" -Recurse -Force -ErrorAction SilentlyContinue Write-Host "[+] Nettoyage terminé."