SOC Prime Bias: Élevé

17 Apr 2026 14:40 UTC

Le Roi des Règlements Vise le Trône du Ransomware

Author Photo
SOC Prime Team linkedin icon Suivre
Le Roi des Règlements Vise le Trône du Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Enquête

ThreatLabz a analysé plusieurs échantillons de ransomware, inversant les fonctions de hachage CRC et FNV1 personnalisées utilisées par le logiciel malveillant et identifiant la persistance à travers des tâches planifiées. Les chercheurs ont également documenté le schéma de chiffrement, les extensions de fichiers ciblées et le flux d’exécution global. Leur analyse a révélé une liste intégrée de processus liés à la sécurité que le ransomware tente de terminer en utilisant des appels système de bas niveau avant que le chiffrement ne commence. Des indicateurs supplémentaires, y compris des paramètres de ligne de commande et des motifs d’extension de fichiers, ont été extraits directement des échantillons pour soutenir les efforts de détection et de chasse.

Atténuation

Les organisations devraient appliquer l’authentification multi-facteurs, former les utilisateurs à reconnaître les tentatives d’ingénierie sociale et surveiller l’utilisation suspecte d’outils tels que Microsoft Teams et Quick Assist. Les défenseurs devraient également bloquer les extensions de fichiers connues liées aux ransomwares et déployer des détections d’endpoints capables d’identifier la création de tâches planifiées sous le chemin Mozilla, ainsi que les appels à SetFileInformationByHandle avec FileRenameInfo. Des sauvegardes hors ligne devraient être maintenues régulièrement, et les copies d’ombre devraient être protégées pour améliorer les options de récupération en cas de chiffrement.

Réponse

Si une activité de Payouts King est détectée, isolez immédiatement le système affecté et collectez à la fois la mémoire volatile et les images disque pour l’analyse criminelle. Les enquêteurs devraient examiner les tâches planifiées pour des noms tels que MozillaUpdateTask and MozillaElevateTask, puis rechercher les arguments en ligne de commande protégés par un CRC personnalisé et les extensions de fichiers chiffrés uniques associées au logiciel malveillant. La récupération devrait se concentrer sur la restauration des données à partir de sauvegardes propres vérifiées. Les équipes de sécurité devraient également soumettre les hachages des échantillons identifiés aux plateformes de renseignement sur les menaces pertinentes pour soutenir le suivi et la défense à plus grande échelle.

Flux du Attaque

Exécution de la simulation

Condition préalable : Le contrôle préliminaire de télémétrie et de la ligne de base doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le narratif DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Les exemples abstraits ou non liés conduiront à des diagnostics erronés.

  • Narratif de l’attaque et commandes :

    L’attaquant, ayant obtenu un accès initial, veut s’assurer que le ransomware s’exécute à chaque redémarrage du système et obtient des privilèges SYSTÈME. Ils utilisent le binaire schtasks.exe natif pour éviter d’introduire des outils tiers. Tout d’abord, ils créent un “UpdateTask” qui exécute une charge utile de ransomware factice, puis créent immédiatement et exécutent un “ElevateTask” qui génère un processus privilégié pour renforcer la chaîne d’infection. Les deux tâches sont placées sous l’espace de noms Mozilla pour imiter le modèle connu de Payouts King.

    1. Créer UpdateTask :

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"
    2. Créer ElevateTask :

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"
    3. Exécuter ElevateTask immédiatement :

      schtasks.exe /run /tn MozillaElevateTask
    4. (Optionnel) Vérifier l’existence des tâches :

      schtasks.exe /query /tn Mozilla* /fo LIST /v

    Ces lignes de commande exactes correspondent aux sélection1 and sélection2 clauses de la règle Sigma, satisfaisant la condition : sélection1 et sélection2 et non exclusion.

  • Script de test de régression :

    # Simulation de persistance de tâches planifiées de Payouts King
    # -------------------------------------------------
    # Étape 1 : Créer le UpdateTask (persistance au démarrage)
    schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"
    
    # Étape 2 : Créer le ElevateTask (aide à l'escalade des privilèges)
    schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"
    
    # Étape 3 : Exécuter immédiatement le ElevateTask pour générer le deuxième événement de détection
    schtasks.exe /run /tn MozillaElevateTask
    
    # Étape 4 : Confirmation de sortie (non requis pour la détection, pour la visibilité de l'opérateur)
    Write-Host "Tâches planifiées créées et ElevateTask exécuté."
  • Commandes de nettoyage :

    # Supprimer les tâches créées pour le test
    schtasks.exe /delete /tn MozillaElevateTask /f
    schtasks.exe /delete /tn MozillaUpdateTask /f
    
    # Supprimer éventuellement la charge utile factice
    Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue