La semaine dernière, les chercheurs en sécurité ont découvert une manière curieuse de cacher la charge utile malveillante au grand jour, et cette méthode est activement utilisée dans la nature. Les adversaires utilisent de faux journaux d’erreurs pour stocker des caractères ASCII déguisés en valeurs hexadécimales qui se décodent en une charge utile malveillante conçue pour préparer le terrain aux attaques basées sur des scripts.
Dans le scénario découvert, les cybercriminels ont appliqué une nouvelle méthode après avoir compromis les systèmes et atteint la persistance. Ensuite, ils ont utilisé un fichier avec une extension .chk qui imitait un journal d’erreurs Windows pour une application. À première vue, le fichier n’est pas suspect, car il possède des horodatages et inclut des références au numéro de version interne de Windows, mais à la fin de chaque ligne se trouve une représentation décimale d’un caractère ASCII. Un tel fichier ne suscitera pas la suspicion des solutions de sécurité, et l’utilisateur le considérera légitime, en fait, ce faux journal d’erreurs cache un script encodé qui contacte le serveur de commande et de contrôle pour la prochaine étape de l’attaque. Le script est exécuté à l’aide d’une tâche planifiée et de deux exécutables Windows légitimes renommés : mshta.exe et powershell.exe. Les attaquants utilisent le script pour collecter des détails sur les navigateurs installés, les produits de sécurité et les logiciels de point de vente. Une règle exclusive de chasse à la menace développée par Osman Demir aide les solutions de sécurité à trouver les faux journaux d’erreurs Windows contenant des charges utiles malveillantes : https://tdm.socprime.com/tdm/info/KSymsSAJQuht/4Yxe23IBPeJ4_8xclBtg/?p=1
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint
EDR : Carbon Black, Elastic Endpoint
MITRE ATT&CK :
Tactiques : Evasion de défense
Techniques : Déguisement (T1036)
