Campagna StrikeShark Consegna Cobalt Strike Tramite SharkLoader
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
StrikeShark è una campagna di minacce recentemente identificata che utilizza un caricatore malware personalizzato chiamato SharkLoader per consegnare Cobalt Strike Beacons. L’operazione si basa su molteplici metodi di accesso iniziale, inclusa l’esploitazione di applicazioni accessibili da internet e la consegna basata su dropper. Il malware utilizza anche tecniche di evasione avanzate come il sideloading di DLL e l’hooking delle API per eludere le difese di sicurezza.
Investigazione
L’indagine ha identificato infezioni SharkLoader in diversi paesi e settori industriali, incluse entità diplomatiche e organizzazioni di sviluppo software. I ricercatori hanno tracciato l’intera catena di intrusione, dall’esploitazione di vulnerabilità come ProxyLogon all’esecuzione del payload finale di Cobalt Strike. Lo studio ha anche descritto l’uso tecnico del “Perfect DLL Hijacking” e sofisticati hooking delle API progettati per ridurre la rilevazione.
Mitigazione
Le organizzazioni dovrebbero dare priorità all’aggiornamento dei sistemi accessibili da internet, in particolare Microsoft Exchange, SharePoint e dispositivi di rete esposti. L’implementazione di forti capacità di rilevamento e risposta degli endpoint può aiutare a scoprire sideloading sospetti di DLL e la creazione non autorizzata di task pianificati. I team di sicurezza dovrebbero anche monitorare relazioni anomale tra processi genitore-figlio, come svchost.exe che lancia processi inaspettati.
Risposta
Se viene rilevata questa attività, isolare immediatamente i sistemi interessati per interrompere ulteriori movimenti laterali e traffico di comando e controllo. Condurre un’indagine forense completa per determinare il punto di accesso iniziale e l’intero scope del compromesso. Resettare le credenziali per tutti gli account potenzialmente interessati, in particolare gli utenti privilegiati, e rivedere Active Directory per cambiamenti non autorizzati o nuove assegnazioni di gruppi.
Flusso di Attacco
Rilevamenti
Attività Sospetta di Ntdsutil (via cmdline)
Visualizza
Tentativo di Enumerazione Possibile di Utenti / Gruppi (via powershell)
Visualizza
Possibile Enumerazione o Manipolazione di Account o Gruppi (via cmdline)
Visualizza
Possibile Scoperta della Configurazione di Rete del Sistema (via cmdline)
Visualizza
Possibile Enumerazione del Sistema (via cmdline)
Visualizza
Possibile Enumerazione dei Servizi (via cmdline)
Visualizza
Task Pianificato Sospetto sotto Utente di Sistema (via cmdline)
Visualizza
Punti di Persistenza Possibili [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizza
Esecuzione di Processi di Sistema da Percorsi Insoliti (via process_creation)
Visualizza
Enumerazione Informazioni di Rete e Sistema da Campagna StrikeShark [Log di Sicurezza di Windows Microsoft]
Visualizza
Rilevamento dell’Uso di SharkLoader di SystemSettings.exe e Enumerazione Active Directory [Creazione di Processi Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Check Pre-volo di Telemetria & Baseline deve essere passato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione & Comandi di Attacco: L’avversario mira a stabilire un punto d’appoggio utilizzando i metodi caratteristici della campagna SharkLoader. Innanzitutto, l’attaccante simula il byproduct del sideloading di DLL avviando una versione rinominata di un binario legittimo come
SystemSettings.exe. Una volta in esecuzione il processo, l’attaccante tenta di ottenere una consapevolezza situazionale enumerando l’ambiente di dominio. Per imitare il TTP osservato, l’attaccante utilizza PowerShell per interrogare Active Directory per oggetti utenti e computer, il che è un passaggio comune nella fase di ricognizione di un compromesso di dominio. -
Script di Test di Regressione:
# Script di simulazione per rilevamento SharkLoader & Enumerazione AD Write-Host "[*] Inizio simulazione..." -ForegroundColor Cyan # 1. Simulare l'esecuzione del processo SharkLoader via SystemSettings.exe # Usiamo notepad.exe come proxy per simulare il comportamento del binario sideloadato Start-Process "notepad.exe" -ArgumentList "/c "Questo è un SystemSettings.exe simulato"" -WindowStyle Nascosto # Nota: In un ambiente reale, il file stesso sarebbe denominato SystemSettings.exe. # Per questo test, simuleremo la creazione della voce del processo. # 2. Simulare l'enumerazione malevola di Active Directory Write-Host "[*] Simulazione dell'enumerazione AD in corso..." -ForegroundColor Yellow # Utilizzando cmdlet standard che la regola specificamente cerca Get-ADUser -Filter * | Select-Object -First 5 Get-ADComputer -Filter * | Select-Object -First 5 Get-ADGroup -Filter * | Select-Object -First 5 Write-Host "[+] Comandi di simulazione eseguiti." -ForegroundColor Green -
Comandi di Pulizia:
# Script di pulizia per garantire che non rimangano processi residui Stop-Process -Name "notepad" -ErrorAction SilentlyContinue Write-Host "[*] Pulizia completata." -ForegroundColor Cyan