SOC Prime Bias: Élevé

26 Nov 2025 14:30 UTC

Ransomware Funklocker : Détection et Réponse avec Wazuh

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Ransomware Funklocker : Détection et Réponse avec Wazuh
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Le ransomware Funklocker, lié au groupe FunkSec, cible les environnements Windows et utilise la génération de code assistée par IA pour produire de nouvelles variantes. Il s’appuie sur des techniques de living-off-the-land, abusant d’outils comme PowerShell, taskkill, sc et vssadmin pour désactiver les contrôles de sécurité, supprimer les copies de sauvegarde et chiffrer les données avec l’extension .funksec. Cet article explique comment détecter ces comportements en utilisant Sysmon et des règles Wazuh personnalisées, et comment automatiser le nettoyage grâce à des analyses YARA intégrées.

Enquête

L’analyse explique comment Funklocker réduit les journaux de sécurité de Windows et d’application, désactive la protection en temps réel de Windows Defender, contourne la politique d’exécution de PowerShell, tue des processus, arrête des services critiques et efface les sauvegardes de Volume Shadow Copy. Des échantillons de test ont été exécutés sur un hôte de laboratoire Windows 11 avec l’agent Wazuh installé et Sysmon configuré pour capturer toutes les télémétries pertinentes.

Atténuation du ransomware Funklocker

Les étapes d’atténuation recommandées incluent le renforcement des politiques d’exécution de PowerShell, l’application du principe du moindre privilège pour la gestion des services, le maintien de sauvegardes fréquentes tout en vérifiant que les copies de sauvegarde restent disponibles, et le déploiement d’outils EDR tels que Wazuh combinés avec des règles Sysmon sur mesure pour alerter sur les modèles de commande de Funklocker. Des signatures YARA peuvent ensuite être appliquées pour mettre en quarantaine ou supprimer automatiquement les exécutables de ransomware identifiés.

Réponse

Lorsqu’une activité Funklocker est détectée, le serveur Wazuh déclenche des alertes et son composant Active Response déclenche une analyse YARA qui supprime le binaire du ransomware ainsi que tous les fichiers chiffrés nouvellement créés. Le processus de réponse décrit couvre également la validation manuelle, le confinement des systèmes affectés et la récupération de données à partir de sauvegardes de confiance non compromises.

Flux d’attaque

Exécution de simulation

Prérequis : la vérification préalable de télémétrie et de ligne de base doit avoir réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit doivent refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection.

  • Narrative & Commandes de l’attaque :
    L’attaquant a obtenu des droits d’administrateur local sur le point de terminaison compromis. Pour s’assurer que le ransomware puisse s’exécuter sans interruption et rester caché, il exécute une série de scripts PowerShell unilignes qui (1) désactivent la journalisation des événements de sécurité, (2) désactivent la protection en temps réel de Microsoft Defender, (3) désactivent le journal d’application et (4) définissent la politique d’exécution de PowerShell sur Bypass. Chaque commande est émise directement à partir d’une invite PowerShell élevée, reflétant les chaînes exactes que la règle Sigma correspond.

  • Script de test de régression :

    # Commandes de désactivation de type Funklocker
    # 1. Désactiver le journal des événements de sécurité
    powershell -Command "wevtutil sl Security /e:false"
    
    # 2. Désactiver la surveillance en temps réel de Microsoft Defender
    powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
    
    # 3. Désactiver le journal des événements d'application
    powershell -Command "wevtutil sl Application /e:false"
    
    # 4. Contourner la politique d'exécution PowerShell pour le processus actuel
    powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"
  • Commandes de nettoyage :

    # Ré-activer le journal des événements de sécurité
    wevtutil sl Security /e:true
    
    # Ré-activer la surveillance en temps réel de Microsoft Defender
    Set-MpPreference -DisableRealtimeMonitoring $false
    
    # Ré-activer le journal des événements d'application
    wevtutil sl Application /e:true
    
    # Restaurer la politique d'exécution PowerShell par défaut (Restreinte)
    Set-ExecutionPolicy Restricted -Scope Process -Force