Evoluzione degli Strumenti UAC-0226: Dall’Utilizzo di WinRAR ADS al Caricamento Riflessivo di GIFTEDCROOK
Detection stack
- AIDR
- Alert
- ETL
- Query
Sintesi
L’attore di minaccia UAC-0226 ha perfezionato la sua catena di distribuzione sfruttando una vulnerabilità di percorso di WinRAR insieme a NTFS Alternate Data Streams per stabilire una persistenza silenziosa. La campagna si basa su un loader PowerShell multi-stage per distribuire un payload PE riflettente senza intestazione noto come GIFTEDCROOK. Il malware è progettato per raccogliere credenziali del browser, dati di configurazione VPN e documenti sensibili dai sistemi compromessi.
Indagine
L’analisi scompone un complesso flusso di esecuzione costruito attorno a un archivio WinRAR armato, un PDF esca e un file LNK nascosto posizionato nella cartella di avvio di Windows. I ricercatori hanno identificato una routine di decodifica additiva personalizzata e un loader riflettente avanzato che mappa una DLL direttamente in memoria. La telemetria ha anche mostrato che il loader riporta lo stato di esecuzione al suo server di comando e controllo tramite una struttura personalizzata di 16 byte.
Mitigazione
Le organizzazioni dovrebbero dare priorità all’aggiornamento di WinRAR per affrontare le vulnerabilità di percorso. L’applicazione di politiche di esecuzione di PowerShell rigorose e il monitoraggio dell’attività insolita di NTFS Alternate Data Streams possono aiutare a interrompere le prime fasi del compromesso. I team di sicurezza dovrebbero anche prestare attenzione ai file non autorizzati inseriti nelle cartelle di avvio e al comportamento sospetto dell’allocazione della memoria, come NtAllocateVirtualMemory.
Risposta
Se viene rilevata questa attività, isolare immediatamente gli host interessati per prevenire ulteriore esfiltrazione di dati. Ispezionare la directory C:ProgramData per file sospetti senza estensione e esaminare la cartella di avvio dell’utente per collegamenti LNK non autorizzati. Dovrebbero essere eseguite analisi forensi della memoria per identificare DLL riflettenti e i log di rete dovrebbero essere controllati per la comunicazione con l’infrastruttura di comando e controllo identificata.
Flusso di Attacco
Rilevamenti
Possibile Comportamento di Esecuzione Ritardata (via cmdline)
Visualizza
Potenziale Auto-Rimozione del Malware o Operazione di Nascosto Stderr (via cmdline)
Visualizza
La Possibilità di Esecuzione Tramite Linee di Comando PowerShell Nascoste (via cmdline)
Visualizza
Avvio di Prompt dei Comandi Minimizzato che Avvia Processo PowerShell Nascosto [Creazione Processo Windows]
Visualizza
Rileva l’Esecuzione di PowerShell per la Campagna UAC-0226 [Windows Powershell]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il controllo preliminare di Telemetria e Baseline deve essere superato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrazione e Comandi di Attacco: L’avversario mira a distribuire un payload di furto. Per minimizzare la traccia e eludere l’interazione dell’utente, allestiscono un payload in
C:ProgramDataWC3. Quindi invocano PowerShell con una serie di flag “living-off-the-land” progettati per bypassare le politiche di esecuzione e nascondere la finestra dall’utente. Il comando utilizzeràiex(Invoke-Expression) per eseguire un comando che fa riferimento al file allestito, simulando il comportamento di caricamento riflettente della campagna UAC-0226. -
Script di Test di Regressione:
# 1. Configurazione: Creare la directory specifica utilizzata nella regola di rilevamento $targetDir = "C:ProgramDataWC3" if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force } # 2. Creare un file di payload fittizio per soddisfare il requisito del percorso $dummyFile = "$targetDirpayload.ps1" "Write-Output 'Simulated Malicious Payload'" | Out-File -FilePath $dummyFile -Encoding ascii # 3. Eseguire la catena di comandi malevola (questo dovrebbe attivare la regola) # Usiamo Start-Process per garantire che la linea di comando venga catturata come nuovo processo Start-Process powershell.exe -ArgumentList "-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command ""iex (Get-Content $dummyFile)""" -WindowStyle Hidden Write-Host "[+] Comando di simulazione eseguito. Controlla il tuo SIEM per l'allerta." -
Comandi di Pulizia:
# Rimuovere la directory e i file fittizi creati durante la simulazione Remove-Item -Path "C:ProgramDataWC3" -Recurse -Force -ErrorAction SilentlyContinue Write-Host "[+] Pulizia completata."