Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Enquête
ThreatLabz a analysé plusieurs échantillons de ransomware, inversant les fonctions de hachage CRC et FNV1 personnalisées utilisées par le logiciel malveillant et identifiant la persistance à travers des tâches planifiées. Les chercheurs ont également documenté le schéma de chiffrement, les extensions de fichiers ciblées et le flux d’exécution global. Leur analyse a révélé une liste intégrée de processus liés à la sécurité que le ransomware tente de terminer en utilisant des appels système de bas niveau avant que le chiffrement ne commence. Des indicateurs supplémentaires, y compris des paramètres de ligne de commande et des motifs d’extension de fichiers, ont été extraits directement des échantillons pour soutenir les efforts de détection et de chasse.
Atténuation
Les organisations devraient appliquer l’authentification multi-facteurs, former les utilisateurs à reconnaître les tentatives d’ingénierie sociale et surveiller l’utilisation suspecte d’outils tels que Microsoft Teams et Quick Assist. Les défenseurs devraient également bloquer les extensions de fichiers connues liées aux ransomwares et déployer des détections d’endpoints capables d’identifier la création de tâches planifiées sous le chemin Mozilla, ainsi que les appels à SetFileInformationByHandle avec FileRenameInfo. Des sauvegardes hors ligne devraient être maintenues régulièrement, et les copies d’ombre devraient être protégées pour améliorer les options de récupération en cas de chiffrement.
Réponse
Si une activité de Payouts King est détectée, isolez immédiatement le système affecté et collectez à la fois la mémoire volatile et les images disque pour l’analyse criminelle. Les enquêteurs devraient examiner les tâches planifiées pour des noms tels que MozillaUpdateTask and MozillaElevateTask, puis rechercher les arguments en ligne de commande protégés par un CRC personnalisé et les extensions de fichiers chiffrés uniques associées au logiciel malveillant. La récupération devrait se concentrer sur la restauration des données à partir de sauvegardes propres vérifiées. Les équipes de sécurité devraient également soumettre les hachages des échantillons identifiés aux plateformes de renseignement sur les menaces pertinentes pour soutenir le suivi et la défense à plus grande échelle.
graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef credential fill:#ffccff classDef operator fill:#ff9900 action_phishing[« <b>Action</b> – T1566.001 Phishing: pièce jointe spearphishing<br/><b>Description</b>: Email avec pièce jointe malveillante.<br/><b>ID technique</b>: T1566.001 »] class action_phishing action action_user_exec[« <b>Action</b> – T1204.002 Exécution utilisateur<br/><b>Description</b>: Ouverture du fichier ransomware.<br/><b>ID technique</b>: T1204.002 »] class action_user_exec action tool_malicious_file[« <b>Outil</b> – Fichier payload malveillant »] class tool_malicious_file tool process_cmd_shell[« <b>Processus</b> – T1059.003 Windows Command Shell<br/><b>Description</b>: cmd.exe exécuté.<br/><b>ID technique</b>: T1059.003 »] class process_cmd_shell process action_scheduled_task[« <b>Action</b> – T1053 Tâche planifiée »] class action_scheduled_task action action_elevate_task[« <b>Action</b> – T1546 Exécution déclenchée »] class action_elevate_task action defense_obfuscation_dynapi[« <b>Évasion</b> – T1027.007 Résolution API dynamique »] class defense_obfuscation_dynapi malware defense_evasion_process_kill[« <b>Évasion</b> – T1564.011 Interruption processus ignorée »] class defense_evasion_process_kill malware defense_obfuscation_general[« <b>Évasion</b> – T1027 Fichiers obfusqués »] class defense_obfuscation_general malware impact_encrypt_files[« <b>Impact</b> – T1560.003 Chiffrement personnalisé »] class impact_encrypt_files malware impact_delete_shadows[« <b>Impact</b> – T1006 Suppression shadow copies »] class impact_delete_shadows malware impact_clear_logs[« <b>Impact</b> – T1070.001 Suppression logs »] class impact_clear_logs malware credential_private_key[« <b>Credential</b> – T1552.004 Clés privées »] class credential_private_key credential action_phishing –>|mène à| action_user_exec action_user_exec –>|exécute| tool_malicious_file tool_malicious_file –>|lance| process_cmd_shell process_cmd_shell –>|crée| action_scheduled_task action_scheduled_task –>|crée| action_elevate_task action_elevate_task –>|active| defense_obfuscation_dynapi action_elevate_task –>|active| defense_evasion_process_kill action_elevate_task –>|active| defense_obfuscation_general defense_obfuscation_dynapi –>|supporte| impact_encrypt_files defense_evasion_process_kill –>|supporte| impact_encrypt_files defense_obfuscation_general –>|supporte| impact_encrypt_files impact_encrypt_files –>|utilise| credential_private_key impact_encrypt_files –>|cause| impact_delete_shadows impact_encrypt_files –>|cause| impact_clear_logs
Flux du Attaque
Détections
Utilisation possible de Schtasks ou AT pour la persistance (via cmdline)
Voir
Activité VSSADMIN suspecte (via cmdline)
Voir
IoCs (HashSha256) à détecter : Payouts King vise le trône des ransomwares
Voir
Persistance des tâches planifiées Payouts King Ransomware [Création de processus Windows]
Voir
Exécution de la simulation
Condition préalable : Le contrôle préliminaire de télémétrie et de la ligne de base doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le narratif DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Les exemples abstraits ou non liés conduiront à des diagnostics erronés.
-
Narratif de l’attaque et commandes :
L’attaquant, ayant obtenu un accès initial, veut s’assurer que le ransomware s’exécute à chaque redémarrage du système et obtient des privilèges SYSTÈME. Ils utilisent le binaire
schtasks.exenatif pour éviter d’introduire des outils tiers. Tout d’abord, ils créent un “UpdateTask” qui exécute une charge utile de ransomware factice, puis créent immédiatement et exécutent un “ElevateTask” qui génère un processus privilégié pour renforcer la chaîne d’infection. Les deux tâches sont placées sous l’espace de nomsMozillapour imiter le modèle connu de Payouts King.-
Créer UpdateTask :
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" -
Créer ElevateTask :
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" -
Exécuter ElevateTask immédiatement :
schtasks.exe /run /tn MozillaElevateTask -
(Optionnel) Vérifier l’existence des tâches :
schtasks.exe /query /tn Mozilla* /fo LIST /v
Ces lignes de commande exactes correspondent aux
sélection1andsélection2clauses de la règle Sigma, satisfaisant lacondition : sélection1 et sélection2 et non exclusion. -
-
Script de test de régression :
# Simulation de persistance de tâches planifiées de Payouts King # ------------------------------------------------- # Étape 1 : Créer le UpdateTask (persistance au démarrage) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" # Étape 2 : Créer le ElevateTask (aide à l'escalade des privilèges) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" # Étape 3 : Exécuter immédiatement le ElevateTask pour générer le deuxième événement de détection schtasks.exe /run /tn MozillaElevateTask # Étape 4 : Confirmation de sortie (non requis pour la détection, pour la visibilité de l'opérateur) Write-Host "Tâches planifiées créées et ElevateTask exécuté." -
Commandes de nettoyage :
# Supprimer les tâches créées pour le test schtasks.exe /delete /tn MozillaElevateTask /f schtasks.exe /delete /tn MozillaUpdateTask /f # Supprimer éventuellement la charge utile factice Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue