Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un installer trojanizzato che si spaccia per il setup del messenger LINE è stato osservato distribuire un payload ValleyRAT. Costruito con NSIS e firmato utilizzando un certificato sospetto, il dropper impianta diversi componenti DLL e INI che supportano l’iniezione di codice and e la persistenza. Il malware comunica poi con due server C2 ospitati a Hong Kong per recuperare ulteriori binari dannosi. L’attività sembra mirata agli utenti di lingua cinese e impiega tecniche avanzate, tra cui PoolParty Variant 7 per l’iniezione di processo.
Indagine
Gli analisti di Cybereason hanno condotto un’analisi statica e dinamica del falso installer di LINE e hanno confermato l’uso di PowerShell, rundll32e di loader DLL personalizzati. La catena ha creato artefatti in %AppData% and %LocalAppData%, instaurato la sincronizzazione tramite mutexe registrato la persistenza attraverso compiti pianificati creati tramite RPC. Il comportamento post-installazione includeva l’iniezione in explorer.exe and UserAccountBroker.exe, coerente con un flusso di lavoro di accesso remoto a bassa visibilità. La telemetria di rete ha identificato due indirizzi IP C2 a Hong Kong utilizzati per il recupero comandi e la pianificazione del payload. L’attribuzione è stata valutata come coerente con l’attività di Silver Fox e ha mostrato sovrapposizione di codice con SADBRIDGE.
Mitigazione
Cerca il falso installer imballato NSIS e segnala la impronta digitale del certificato sospetto associato alla catena di firma. Monitora la creazione del set di file scaricati dall’installer, le modifiche correlate al registro e i tentativi di aggiungere esclusioni di Windows Defender. Blocca la connettività in uscita agli IP C2 identificati e applica controlli di firma del codice che rifiutano certificati non validi o non attendibili. Aggiungi rilevamenti EDR per modelli di iniezione in stile PoolParty Variant 7e per sequenze di creazione di compiti pianificati consistenti con la persistenza basata su RPC.
Risposta
Se viene rilevata attività sospetta, isola il endpoint, termina i processi dannosi e rimuovi il falso installer e tutti gli artefatti scaricati. Effettuare una ricerca completa per ulteriori payload ValleyRAT. moduli, ripristina le impostazioni di Defender (inclusa la rimozione delle esclusioni non autorizzate) e cancella i compiti pianificati creati dall’attaccante. Rivedi l’attività recente degli utenti e degli host per segni di movimento laterale, quindi dai l’avvio a una risposta agli incidenti per la cattura della memoria e per una raccolta forense più approfondita.
graph TB %% Definizioni classi classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ff9999 classDef malware fill:#ccffcc classDef network fill:#dddddd %% Nodi tech_user_exec[“<b>Tecnica</b> – <b>T1204 Esecuzione Utente</b><br/><b>Descrizione</b>: La vittima esegue un falso installer malevolo (LineInstaller.exe) mascherato da installer LINE legittimo.”] class tech_user_exec technique tech_masquerade[“<b>Tecnica</b> – <b>T1036 Mascheramento</b><br/><b>Descrizione</b>: L’installer imita il nome di un software legittimo e utilizza un certificato di firma del codice valido.”] class tech_masquerade technique tech_event_exec[“<b>Tecnica</b> – <b>T1546.016 Esecuzione Trigger Evento: Pacchetti Installer</b><br/><b>Descrizione</b>: Installer basato su NSIS eseguito con privilegi elevati tramite UAC.”] class tech_event_exec technique tech_powershell[“<b>Tecnica</b> – <b>T1059.001 PowerShell</b><br/><b>Descrizione</b>: PowerShell aggiunge percorsi di esclusione a Windows Defender e prepara script di persistenza.”] class tech_powershell technique tech_regsvr32[“<b>Tecnica</b> – <b>T1218.010 Esecuzione Proxy Regsvr32</b><br/><b>Descrizione</b>: Task pianificato invoca regsvr32.exe per attivare DllRegisterServer in intel.dll.”] class tech_regsvr32 technique tech_rundll32[“<b>Tecnica</b> – <b>T1218.011 Esecuzione Proxy Rundll32</b><br/><b>Descrizione</b>: rundll32.exe avvia DllRegisterServer di intel.dll.”] class tech_rundll32 technique tech_sched_task[“<b>Tecnica</b> – <b>T1053 Task Pianificato</b><br/><b>Descrizione</b>: Task pianificati malevoli creati tramite chiamate RPC al servizio Task Scheduler.”] class tech_sched_task technique tech_sandbox_evasion[“<b>Tecnica</b> – <b>T1497.002 Evasione Virtualizzazione/Sandbox</b><br/><b>Descrizione</b>: intel.dll verifica blocchi file e mutex per rilevare ambienti sandbox.”] class tech_sandbox_evasion technique tech_pe_injection[“<b>Tecnica</b> – <b>T1055.002 Iniezione Processi: Portable Executable</b><br/><b>Descrizione</b>: intel.dll e sangee.ini iniettano shellcode in Explorer.exe usando PoolParty Variant 7.”] class tech_pe_injection technique tech_apc_injection[“<b>Tecnica</b> – <b>T1055.004 Iniezione Processi: Asynchronous Procedure Call</b><br/><b>Descrizione</b>: L’iniezione sfrutta ZwSetIoCompletion con handle I/O Completion Port.”] class tech_apc_injection technique tech_exploit_defense[“<b>Tecnica</b> – <b>T1211 Sfruttamento per Evasione Difese</b><br/><b>Descrizione</b>: Malware chiama SetTcpEntry per eliminare connessioni TCP dei componenti di sicurezza.”] class tech_exploit_defense technique tech_obfuscation[“<b>Tecnica</b> – <b>T1027.005 File Offuscati: Rimozione Indicatori</b><br/><b>Descrizione</b>: Controlli anti-sandbox e anti-analisi nascondono artefatti e prevengono l’esecuzione in ambienti di analisi.”] class tech_obfuscation technique tech_web_service[“<b>Tecnica</b> – <b>T1102 Servizio Web</b><br/><b>Descrizione</b>: Payload finale ValleyRat recuperato dai server C2 remoti tramite TCP standard.”] class tech_web_service technique file_lineinstaller[“<b>File</b> – <b>Nome</b>: LineInstaller.exe<br/><b>Tipo</b>: Installer NSIS”] class file_lineinstaller file file_inteldll[“<b>File</b> – <b>Nome</b>: intel.dll<br/><b>Tipo</b>: DLL per esecuzione proxy e iniezione”] class file_inteldll file file_sangee[“<b>File</b> – <b>Nome</b>: sangee.ini<br/><b>Scopo</b>: Configurazione per routine di iniezione”] class file_sangee file file_policyxml[“<b>File</b> – <b>Nome</b>: policyManagement.xml<br/><b>Scopo</b>: Definisce dettagli del task pianificato”] class file_policyxml file file_updatedps1[“<b>File</b> – <b>Nome</b>: updated.ps1<br/><b>Scopo</b>: Script PowerShell di persistenza”] class file_updatedps1 file malware_valleyrat[“<b>Malware</b> – <b>Nome</b>: ValleyRat<br/><b>Ruolo</b>: Payload finale consegnato alla vittima”] class malware_valleyrat malware process_regsvr32[“<b>Processo</b> – <b>Nome</b>: regsvr32.exe”] class process_regsvr32 process process_rundll32[“<b>Processo</b> – <b>Nome</b>: rundll32.exe”] class process_rundll32 process process_explorer[“<b>Processo</b> – <b>Nome</b>: Explorer.exe”] class process_explorer process network_c2[“<b>Rete</b> – <b>Server C2</b>: 143.92.38.217:18852, 206.238.221.165:443”] class network_c2 network %% Connessioni tech_user_exec –>|inizia| file_lineinstaller file_lineinstaller –>|attiva| tech_masquerade tech_masquerade –>|abilita| tech_event_exec tech_event_exec –>|eleva a| process_regsvr32 process_regsvr32 –>|chiama| file_inteldll file_inteldll –>|registrato tramite| tech_regsvr32 tech_regsvr32 –>|usa anche| process_rundll32 process_rundll32 –>|carica| file_inteldll tech_rundll32 –>|carica anche| file_inteldll file_inteldll –>|crea| tech_sched_task tech_sched_task –>|crea task usando| file_policyxml tech_sched_task –>|esegue| file_updatedps1 file_updatedps1 –>|esegue comandi PowerShell per| tech_powershell tech_powershell –>|aggiunge esclusioni e prepara| tech_sandbox_evasion tech_sandbox_evasion –>|controlla ambiente prima di| tech_pe_injection tech_pe_injection –>|inietta in| process_explorer tech_pe_injection –>|usa| tech_apc_injection tech_apc_injection –>|sfrutta| tech_exploit_defense tech_exploit_defense –>|disturba strumenti di sicurezza| file_sangee tech_obfuscation –>|nasconde artefatti per| malware_valleyrat malware_valleyrat –>|recuperato da| network_c2 network_c2 –>|consegna payload tramite| tech_web_service tech_web_service –>|consegna finale a| process_explorer
Flusso di Attacco
Rilevazioni
Possibile Creazione di Compito Pianificato (via powershell)
Visualizza
Compito Pianificato Sospetto (via audit)
Visualizza
Esecuzione di Percorso Sospetto Rundll32 Dll (via process_creation)
Visualizza
Modifiche Sospette alle Preferenze di Windows Defender (via powershell)
Visualizza
LOLBAS Regsvr32 (via cmdline)
Visualizza
IOC (DestinationIP) da rilevare: Falso Installer: Infezione ValleyRAT finale
Visualizza
IOC (HashSha1) da rilevare: Falso Installer: Infezione ValleyRAT finale
Visualizza
IOC (SourceIP) da rilevare: Falso Installer: Infezione ValleyRAT finale
Visualizza
Rilevazione Falso Installer Usando Esclusioni di Windows Defender e Compiti Pianificati [Windows Powershell]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Base deve essere superato.
Motivo: Questa sezione detaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO rispecchiare direttamente i TTP identificati e mirano a generare esattamente la telemetria prevista dalla logica di rilevamento.
-
Narrativa & Comandi di Attacco:
Un attaccante che ha già compromesso un account a basso privilegio desidera elaborare un payload sull’host compromesso mentre elude la scansione antivirus. L’attaccante:- Utilizza PowerShell per aggiungere un’esclusione di Windows Defender che copre l’intero C: drive, garantendo che eventuali binari malevoli posizionati lì siano invisibili al Defender.
- Nello stesso invocazione di PowerShell, registra un compito pianificato che lancerà il payload nascosto (
C:Malwarepayload.ps1) ogni volta che un processo legittimo specifico (es.,explorer.exe) inizia, fornendo persistenza. - Poiché entrambe le azioni sono combinate in una singola linea di comando, la telemetria corrisponde alla regola Sigma
selezione1 e selezione2condizione, provocando un avviso.
-
Script di Test di Regressione:
# ------------------------------------------------- # Simulazione di Falso Installer – Attiva la Regola Sigma # ------------------------------------------------- # 1. Definisci percorso di esclusione (intero C: drive) $exclusion = "C:" # 2. Definisci dettagli del compito pianificato $taskName = "UpdateScheduler" $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1" $trigger = New-ScheduledTaskTrigger -AtLogOn # 3. Combina entrambi i comandi in una singola linea di comando di PowerShell $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force" # 4. Esegui il comando combinato Invoke-Expression $combined -
Comandi di Pulizia:
# ------------------------------------------------- # Pulizia – Rimuovi l'esclusione e il compito pianificato # ------------------------------------------------- # Rimuovi l'esclusione di Defender per C: Remove-MpPreference -ExclusionPath "C:" # Cancella il compito pianificato Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false