SOC Prime Bias: Alto

02 Jul 2026 06:38 UTC

Evoluzione degli Strumenti UAC-0226: Dall’Utilizzo di WinRAR ADS al Caricamento Riflessivo di GIFTEDCROOK

Author Photo
SOC Prime Team linkedin icon Segui
Evoluzione degli Strumenti UAC-0226: Dall’Utilizzo di WinRAR ADS al Caricamento Riflessivo di GIFTEDCROOK
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sintesi

L’attore di minaccia UAC-0226 ha perfezionato la sua catena di distribuzione sfruttando una vulnerabilità di percorso di WinRAR insieme a NTFS Alternate Data Streams per stabilire una persistenza silenziosa. La campagna si basa su un loader PowerShell multi-stage per distribuire un payload PE riflettente senza intestazione noto come GIFTEDCROOK. Il malware è progettato per raccogliere credenziali del browser, dati di configurazione VPN e documenti sensibili dai sistemi compromessi.

Indagine

L’analisi scompone un complesso flusso di esecuzione costruito attorno a un archivio WinRAR armato, un PDF esca e un file LNK nascosto posizionato nella cartella di avvio di Windows. I ricercatori hanno identificato una routine di decodifica additiva personalizzata e un loader riflettente avanzato che mappa una DLL direttamente in memoria. La telemetria ha anche mostrato che il loader riporta lo stato di esecuzione al suo server di comando e controllo tramite una struttura personalizzata di 16 byte.

Mitigazione

Le organizzazioni dovrebbero dare priorità all’aggiornamento di WinRAR per affrontare le vulnerabilità di percorso. L’applicazione di politiche di esecuzione di PowerShell rigorose e il monitoraggio dell’attività insolita di NTFS Alternate Data Streams possono aiutare a interrompere le prime fasi del compromesso. I team di sicurezza dovrebbero anche prestare attenzione ai file non autorizzati inseriti nelle cartelle di avvio e al comportamento sospetto dell’allocazione della memoria, come NtAllocateVirtualMemory.

Risposta

Se viene rilevata questa attività, isolare immediatamente gli host interessati per prevenire ulteriore esfiltrazione di dati. Ispezionare la directory C:ProgramData per file sospetti senza estensione e esaminare la cartella di avvio dell’utente per collegamenti LNK non autorizzati. Dovrebbero essere eseguite analisi forensi della memoria per identificare DLL riflettenti e i log di rete dovrebbero essere controllati per la comunicazione con l’infrastruttura di comando e controllo identificata.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il controllo preliminare di Telemetria e Baseline deve essere superato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrazione e Comandi di Attacco: L’avversario mira a distribuire un payload di furto. Per minimizzare la traccia e eludere l’interazione dell’utente, allestiscono un payload in C:ProgramDataWC3. Quindi invocano PowerShell con una serie di flag “living-off-the-land” progettati per bypassare le politiche di esecuzione e nascondere la finestra dall’utente. Il comando utilizzerà iex (Invoke-Expression) per eseguire un comando che fa riferimento al file allestito, simulando il comportamento di caricamento riflettente della campagna UAC-0226.

  • Script di Test di Regressione:

    # 1. Configurazione: Creare la directory specifica utilizzata nella regola di rilevamento
    $targetDir = "C:ProgramDataWC3"
    if (!(Test-Path $targetDir)) {
        New-Item -Path $targetDir -ItemType Directory -Force
    }
    
    # 2. Creare un file di payload fittizio per soddisfare il requisito del percorso
    $dummyFile = "$targetDirpayload.ps1"
    "Write-Output 'Simulated Malicious Payload'" | Out-File -FilePath $dummyFile -Encoding ascii
    
    # 3. Eseguire la catena di comandi malevola (questo dovrebbe attivare la regola)
    # Usiamo Start-Process per garantire che la linea di comando venga catturata come nuovo processo
    Start-Process powershell.exe -ArgumentList "-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command ""iex (Get-Content $dummyFile)""" -WindowStyle Hidden
    
    Write-Host "[+] Comando di simulazione eseguito. Controlla il tuo SIEM per l'allerta."
  • Comandi di Pulizia:

    # Rimuovere la directory e i file fittizi creati durante la simulazione
    Remove-Item -Path "C:ProgramDataWC3" -Recurse -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Pulizia completata."