DeadLock: Il Gruppo Ransomware Usa Contratti Intelligenti per Mascherare il Suo Lavoro
Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Il ransomware DeadLock ha adottato i contratti intelligenti Polygon come un modo resiliente per pubblicare e ruotare gli URL proxy utilizzati per il comando e controllo (C2), consentendo all’infrastruttura backend di cambiare rapidamente senza affidarsi ai domini convenzionali. Dopo la crittografia, gli attori rilasciano un wrapper HTML “pagamento/comunicazione” che indirizza le vittime al messenger decentralizzato Session per ulteriori istruzioni e interazioni. La tecnica assomiglia al modello EtherHiding precedentemente riportato in attivitĂ collegate alla Corea del Nord, utilizzando dati blockchain come uno strato di indirizzamento indiretto per l’infrastruttura malevola. Degno di nota, DeadLock sembra de-prioritizzare i siti pubblici tradizionali di leak e invece monetizza i dati rubati attraverso vendite su mercati sotterranei.
Investigazione
Gli analisti di Group-IB hanno documentato l’approccio supportato da contratti intelligenti di DeadLock per nascondere i punti finali C2, incluso il rilascio dopo la crittografia di un file HTML che menziona esplicitamente Session come canale di comunicazione. Il rapporto cita anche un rapporto precedente di Cisco Talos che associava l’attivitĂ di DeadLock con tecniche BYOVD (Bring-Your-Own-Vulnerable-Driver) e con la terminazione dei processi EDR, sebbene i vettori di accesso iniziali precisi non fossero stati identificati in modo conclusivo. Un tradecraft simile di “contratti intelligenti come directory C2” è stato discusso anche dal Google Threat Intelligence Group nel contesto delle campagne nordcoreane, rinforzando la tendenza piĂą ampia di utilizzare blockchain pubbliche per l’agilitĂ dell’infrastruttura.
Mitigazione
Monitora i punti finali per rilevare artefatti HTML inaspettati che lanciano o fanno riferimento a Session (o ad altri messenger decentralizzati) dopo attivitĂ di file sospette. Enforced una lista di permessi applicativa rigorosa e limita l’esecuzione di strumenti non approvati che possono facilitare l’accesso remoto, la messa in scena del payload o l’installazione di messenger. Sul lato di rete, rivedi l’uscita per connessioni a URL proxy o domini che sembrano essere derivati da puntatori memorizzati su blockchain e tratta i cambiamenti improvvisi nelle destinazioni in uscita come un’anomalia ad alto segnale. Aggiorna continuamente le rilevazioni sui punti finali per identificare il caricamento del driver BYOVD, installazioni di driver sospetti e comportamenti coerenti con la manomissione dell’EDR o la terminazione forzata dei servizi di sicurezza.
Risposta
Se vengono identificati indicatori DeadLock, isola immediatamente i sistemi impattati per prevenire ulteriori crittografie e movimenti laterali. Raccogli e conserva il wrapper HTML rilasciato, le note di crittografia e qualsiasi binario o script correlato, quindi blocca il traffico in uscita verso qualsiasi URL proxy osservato e infrastruttura riferita tramite contratti intelligenti. Avvia procedure formali di risposta agli incidenti, valida l’integritĂ e la disponibilitĂ dei percorsi di recupero offline/di backup prima della bonifica, e valuta la possibile esposizione dei dati per determinare il rischio di estorsione. Ove opportuno, coordina le comunicazioni con gli stakeholder e coinvolgi un supporto specializzato nella risposta al ransomware mentre esegui una piena delimitazione ed eradicazione.
“graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#c2e0ff classDef tool fill:#cccccc classDef malware fill:#ffcccc classDef process fill:#e6e6e6 classDef data fill:#f0e68c classDef operator fill:#ff9900 %% Technique Nodes tech_priv_esc[“<b>Technique</b> – T1068 Exploitation for Privilege Escalation<br/><b>Description</b>: Use vulnerable driver to gain elevated system privileges.”] class tech_priv_esc technique tech_def_evasion[“<b>Technique</b> – T1211 Exploitation for Defense Evasion<br/><b>Description</b>: Exploit driver vulnerabilities to terminate or bypass security agents.”] class tech_def_evasion technique tech_impair[“<b>Technique</b> – T1562 Impair Defenses<br/><b>Description</b>: Disable or tamper with security solutions to reduce detection and response capabilities.”] class tech_impair technique tech_web_comm[“<b>Technique</b> – T1102.002 Web Service Bidirectional Communication<br/><b>Description</b>: Drop encrypted HTML wrapper that launches the Session messenger and obtains a proxy URL from a Polygon smart contract.”] class tech_web_comm technique tech_app_proto[“<b>Technique</b> – T1071.001 Application Layer Protocol Web Protocols<br/><b>Description</b>: Communicate with proxy and C2 server over standard web protocols (HTTP/WebSocket) blending with legitimate traffic.”] class tech_app_proto technique %% Tool Node tool_vuln_driver[“<b>Tool</b> – Name: Vulnerable Driver<br/><b>Purpose</b>: Provides kernelu2011level code execution used for privilege escalation and defense evasion.”] class tool_vuln_driver tool %% Malware Node malware_deadlock[“<b>Malware</b> – Name: DeadLock Ransomware<br/><b>Capability</b>: Performs encryption and C2 communication after initial compromise.”] class malware_deadlock malware %% Process Nodes process_html_wrapper[“<b>Process</b> – Name: HTML Wrapper<br/><b>Action</b>: Decrypts and launches the Session messenger on the victim host.”] class process_html_wrapper process process_session_messenger[“<b>Process</b> – Name: Session Messenger<br/><b>Action</b>: Handles encrypted traffic, retrieves proxy information and talks to C2.”] class process_session_messenger process process_c2_server[“<b>Server</b> – C2 Server<br/><b>Protocol</b>: HTTP/WebSocket”] class process_c2_server process %% Data Node data_proxy_url[“<b>Data</b> – Proxy URL<br/><b>Source</b>: Retrieved from a Polygon smart contract for rotating C2 endpoints.”] class data_proxy_url data %% Connections tech_priv_esc u002du002d>|uses| tool_vuln_driver tech_def_evasion u002du002d>|uses| tool_vuln_driver tool_vuln_driver u002du002d>|enables| tech_priv_esc tool_vuln_driver u002du002d>|enables| tech_def_evasion malware_deadlock u002du002d>|drops| process_html_wrapper process_html_wrapper u002du002d>|launches| process_session_messenger process_session_messenger u002du002d>|retrieves| data_proxy_url data_proxy_url u002du002d>|provides| tech_web_comm tech_web_comm u002du002d>|communicates via| tech_app_proto process_session_messenger u002du002d>|talks to| process_c2_server tech_impair u002du002d>|targets| malware_deadlock “
Flusso di Attacco
Rilevazioni
Eseguito un Processo Sospetto che Imita Svchost (via cmdline)
Visualizza
Possibile Cancellazione delle Copie Shadow tramite WMI (via powershell)
Visualizza
Possibile Tentativo di Abuso di Publicnode Ethereum come Canale C2 (via dns_query)
Visualizza
Rotazione degli URL del Server Proxy del Ransomware DeadLock tramite Contratti Smart [Proxy]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.
Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a misdiagnosi.
-
Narrativa dell’Attacco & Comandi:
L’attore della minaccia, avendo compromesso un servizio proxy controllato da contratto intelligente, ruota l’URL del proxy ogni pochi minuti per evadere liste statiche di blocco. Ogni rotazione pubblica un nuovo sottodominio sotto
deadlock.example.com. Il ransomware interroga il proxy per ottenere il prossimo indirizzo C2. Per emulare ciò, emettiamo una serie di richieste HTTP a tre URL distinti che contengono tutti la stringa letterale ‘.example.com’, imitando il pattern di rotazione osservato in natura. -
Script di Test di Regressione:
#!/usr/bin/env bash # Simulazione di Rotazione degli URL Proxy DeadLock – genera telemetria che corrisponde alla regola Sigma PROXY="http://proxy.example.local:3128" URLs=( "http://stage1.example.com/deadlock" "http://stage2.example.com/deadlock" "http://stage3.example.com/deadlock" ) echo "[*] Avvio della simulazione di rotazione degli URL proxy (3 richieste)..." for url in "${URLs[@]}"; do echo "[+] Richiesta a $url tramite $PROXY" curl -s -x "$PROXY" "$url" -o /dev/null sleep 2 # breve pausa per emulare intervallo realistico done echo "[*] Simulazione completata." -
Comandi di Pulizia:
#!/usr/bin/env bash # Rimuovi eventuali file temporanei creati durante la simulazione (nessuno in questo caso) echo "[*] Nessun artefatto da pulire. Lasciando la configurazione del proxy intatta."