SOC Prime Bias: Critique

01 Jul 2026 09:43 UTC

La force brute SQL ouvre la porte au ransomware BlueSky

Author Photo
SOC Prime Team linkedin icon Suivre
La force brute SQL ouvre la porte au ransomware BlueSky
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Un acteur de menace a utilisé l’empoisonnement SEO pour distribuer le malware BumbleBee via un installateur OpManager de ManageEngine trojanisé. Après avoir obtenu l’accès initial, l’attaquant a déployé AdaptixC2 pour le commandement et contrôle, s’est déplacé latéralement via l’RDP et le tunneling SSH et a exfiltré plus de 75 Go de données sensibles. L’intrusion s’est terminée par le déploiement du ransomware Akira pour chiffrer l’infrastructure de domaine.

Enquête

L’analyse forensic a identifié le vecteur d’infection initial comme étant un domaine semblable, opmanager.pro, qui servait un installateur MSI malveillant. Les enquêteurs ont retracé la chaîne d’exécution depuis le chargement de DLL par msimg32.dll jusqu’à l’injection de shellcode AdaptixC2 dans l’utilitaire du carnet d’adresses Windows. L’examen de la télémétrie réseau et des artefacts du système de fichiers a également révélé une exfiltration de données à grande échelle via FileZilla et l’utilisation de tunnels SSH inversés pour accéder à distance à RDP.

Atténuation

Les organisations devraient appliquer un filtrage web strict pour bloquer les nouveaux domaines enregistrés ou semblables et surveiller les comportements suspects de chargement de DLL. Limiter les privilèges administratifs et détecter la création non autorisée de comptes ou de services de domaine est également crucial. De plus, un filtrage fort des sorties et la surveillance des tunnellisations SSH ou RDP non autorisées peuvent aider à prévenir les déplacements latéraux et l’exfiltration de données.

Réponse

Si cette activité est détectée, isolez immédiatement les systèmes affectés, en particulier les contrôleurs de domaine et les serveurs de sauvegarde, pour arrêter la propagation du ransomware. Terminez toutes les sessions d’accès à distance non autorisées, y compris les tunnels SSH et instances RustDesk. Effectuez une réinitialisation complète des informations d’identification pour tous les comptes de domaine, en portant une attention particulière aux administrateurs d’entreprise, et commencez la récupération à l’aide de sauvegardes hors ligne et immuables.

Flux d’Attaque

Détections

Utilisation de WMIC suspecte (via cmdline)

Équipe SOC Prime
01 juil. 2026

Référence suspecte de Shadowcopy par Powershell (via cmdline)

Équipe SOC Prime
01 juil. 2026

Suppression possible de copies d’ombre via WMI (via powershell)

Équipe SOC Prime
01 juil. 2026

Connexion sortante suspecte par un processus inhabituel (via network_connection)

Équipe SOC Prime
01 juil. 2026

Requête DNS effectuée par un processus inhabituel (via dns_query)

Équipe SOC Prime
01 juil. 2026

Redirection de port SSH suspecte [Windows] (via cmdline)

Équipe SOC Prime
01 juil. 2026

Énumération possible du système (via cmdline)

Équipe SOC Prime
01 juil. 2026

Découverte suspecte de relations de confiance de domaine (via cmdline)

Équipe SOC Prime
01 juil. 2026

Dumping possible d’informations d’identification via Comsvcs.dll (via cmdline)

Équipe SOC Prime
01 juil. 2026

Exécution PSQL suspecte (via cmdline)

Équipe SOC Prime
01 juil. 2026

Activité suspecte de l’outil Wbadmin (via cmdline)

Équipe SOC Prime
01 juil. 2026

Attaque possible de type BYOVD – Apportez votre propre pilote vulnérable (via audit)

Équipe SOC Prime
01 juil. 2026

Activité possible de transfert Bits (via powershell)

Équipe SOC Prime
01 juil. 2026

Exécution possible par utilisation de nom de script court (via cmdline)

Équipe SOC Prime
01 juil. 2026

Script Powershell possible contenant Lolbin (via powershell)

Équipe SOC Prime
01 juil. 2026

Création de service de logiciel de gestion / accès à distance (via system)

Équipe SOC Prime
01 juil. 2026

Logiciel alternatif de gestion / accès à distance (via process_creation)

Équipe SOC Prime
01 juil. 2026

Énumération / manipulation possible de compte ou groupe (via cmdline)

Équipe SOC Prime
01 juil. 2026

Exécution de processus système depuis des chemins non typiques (via process_creation)

Équipe SOC Prime
01 juil. 2026

Exécution possible de Msiexec de fichiers dans un répertoire inhabituel (via cmdline)

Équipe SOC Prime
01 juil. 2026

Détectez l’activité de RustDesk et Akira Ransomware [Système Windows]

Règles AI de SOC Prime
01 juil. 2026

Détection d’exécution et d’injection de BumbleBee et AdaptixC2 [Création de processus Windows]

Règles AI de SOC Prime
01 juil. 2026

Executive Summary

  • ID de cas de test : TC-20250522-K9L2P
  • TTPs : T1003.001, T1003.003, T1018, T1021.001, T1021.003, T1027.010, T1033, T1036, T1039, T1041, T1046, T1047, T1048.001, T1055, T1059.001, T1059.003, T1069.001, T1069.002, T1070.004, T1071.001, T1082, T1083, T1087.001, T1087.002, T1090, T1135, T1136, T1189, T1204.002, T1219, T1482, T1486, T1490, T1543.003, T1555, T1568.002, T1569.002, T1574.001
  • Résumé de la logique de la règle de détection : La règle se déclenche si rustdesk.exe est lancé par services.exe ou si locker.exe est exécuté avec la ligne de commande contenant « Volume Shadow Copies ».
  • Langage/Format de la règle de détection : yaml
  • Environnement de sécurité cible : OS Windows avec Sysmon activé, ciblant un SIEM capable de traiter la télémétrie Sysmon Event ID 1 (Création de processus).
  • Score de résilience (1-5) : 2
  • Justification : La règle repose fortement sur des noms de fichiers spécifiques, codés en dur (rustdesk.exe and locker.exe). Un adversaire peut facilement contourner cela en renommant ses binaires. De plus, la détection Akira est limitée à une chaîne spécifique dans la ligne de commande, qui peut être obscurcie.
  • Principaux résultats : La règle détecte efficacement l’utilisation « prête à l’emploi » de ces outils mais échoue face à toute technique d’évasion basique telle que le renommage de binaire ou la manipulation d’arguments de ligne de commande.
  • Recommandation : Passer de la détection basée sur les noms de fichiers à des indicateurs comportementaux, tels que la surveillance des installations de services non autorisées, des connexions réseau inattendues depuis des outils de bureau à distance, et la suppression des copies d’ombre via vssadmin or wmic indépendamment du nom du processus parent.

## Environnement de simulation & Contexte

  • TTPs en cours de test :
    • T1003.001 : Dumping des informations d’identification OS : Mémoire LSASS
    • T1059.001 : Interpréteur de commandes et scripts : PowerShell
    • T1490 : Inhibition de la récupération du système (Suppression des copies d’ombre)
    • T1543.003 : Création ou modification de processus système : Service Windows
  • Contexte & pertinence des TTP : La simulation vise à reproduire le profil de double menace : l’utilisation de RustDesk pour un accès à distance persistant (installé en tant que service) et l’exécution de commandes de type ransomware Akira pour inhiber la récupération du système en ciblant les copies d’ombre de volume.
  • Environnement cible :
    • OS: Windows 10/11 ou Windows Server
    • Journalisation : Sysmon (en particulier Event ID 1 : Création de processus)
    • Pile de sécurité : SIEM (par exemple, Splunk, Sentinel, ou ELK)

## Télémétrie & Vérification de base pré-vol

Raison : Avant de simuler l’attaque, nous devons confirmer que l’hôte cible est configuré pour générer les journaux nécessaires, que ces journaux sont ingérés par le SIEM, et que la règle de détection ne se déclenche pas sur une activité bénigne. Sans cette validation, tout résultat de test est peu fiable.

  • 1. Instructions de configuration de la télémétrie :

      1. Installer Sysmon sur la machine Windows cible.
      1. Appliquez un fichier de configuration (par exemple, la config de SwiftOnSecurity) qui garantit que la création de processus (Event ID 1) est capturée avec les arguments de ligne de commande complets.
      1. Assurez-vous que le journal des événements Sysmon est acheminé vers votre SIEM via Winlogbeat, Splunk Universal Forwarder, ou un agent similaire.
  • 2. Ingestion & Validation de base:

    • Action (Télémétrie bénigne): Exécutez une commande PowerShell standard pour vérifier les informations système, ce qui génère une télémétrie de création de processus sans déclencher de modèles liés au ransomwaire.

      Get-ComputerInfo | Select-Object CsName, OsArchitecture
    • Requête de validation (Ingestion) :

      // Requête KQL pour vérifier l'ingestion de Sysmon Event ID 1
      Sysmon | where EventID == 1 and Image contains "powershell.exe" | take 10

## Exécution de la simulation

Prérequis : La vérification de télémétrie & de base pré-vol doit avoir été réussie.

Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à des diagnostics erronés.

  • Récit d’attaque & Commandes : L’adversaire commence par établir une persistance et un accès à distance en utilisant RustDesk. Pour imiter une installation de service, l’adversaire simulera le comportement où un gestionnaire de services (services.exe) lance le binaire d’accès à distance. Ensuite, l’adversaire exécute la charge utile du ransomware Akira. Le but de cette charge utile est de détruire les sauvegardes système pour empêcher la récupération ; elle fait ceci en appelant un binaire nommé locker.exe avec une instruction spécifique de ligne de commande pour supprimer les ‘Copies d’ombre de volume’. Cela imite la phase d’impact majeur d’une attaque d’extorsion.

  • Script de test de régression :

    # --- DÉBUT DE LA SIMULATION ---
    # Partie 1 : Simuler l'exécution du service RustDesk
    # Nous simulons le comportement où services.exe lance rustdesk.exe.
    # Puisqu'il n'est pas facile d'usurper l'ID de processus parent de services.exe sans pilotes de noyau,
    # nous simulerons la création d'artéfacts et utiliserons un outil comme 'Process Hacker'
    # ou un script pour simuler la télémétrie spécifique si possible,
    # mais pour ce script, nous créerons le fichier et déclencherons un processus.
    
    $rustdeskPath = "$env:TEMPrustdesk.exe"
    New-Item -Path $rustdeskPath -ItemType File -Force
    
    # Note : Pour déclencher EXACTEMENT la règle 'ParentImage|endswith: services.exe',
    # une véritable installation de service est requise.
    Write-Host "[+] Création du binaire simulé RustDesk à $rustdeskPath"
    
    # Partie 2 : Simuler l'activité du ransomware Akira
    $lockerPath = "$env:TEMPlocker.exe"
    New-Item -Path $lockerPath -ItemType File -Force
    Write-Host "[+] Création du 'locker.exe' d'Akira simulé à $lockerPath"
    
    # Déclencher la logique de détection Akira via CommandLine contient 'Volume Shadow Copies'
    # Nous utilisons start-process pour nous assurer que la ligne de commande est capturée par Sysmon
    Start-Process -FilePath $lockerPath -ArgumentList "/delete Volume Shadow Copies" -NoNewWindow
    
    Write-Host "[!] Commandes de simulation exécutées. Vérifiez SIEM pour les alertes 'locker.exe'."
    # --- FIN DE LA SIMULATION ---
  • Commandes de nettoyage :

    # --- DÉBUT DU NETTOYAGE ---
    Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPlocker.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Nettoyage terminé."
    # --- FIN DU NETTOYAGE ---