SOC Prime Bias: Critico

01 Jul 2026 09:43 UTC

Forza Bruta SQL Apre la Porta al Ransomware BlueSky

Author Photo
SOC Prime Team linkedin icon Segui
Forza Bruta SQL Apre la Porta al Ransomware BlueSky
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

Un attore di minacce ha utilizzato l’avvelenamento SEO per distribuire il malware BumbleBee tramite un installer di ManageEngine OpManager trojanizzato. Dopo aver ottenuto l’accesso iniziale, l’attaccante ha distribuito AdaptixC2 per il comando e controllo, si è spostato lateralmente attraverso il tunneling RDP e SSH, ed ha esfiltrato più di 75 GB di dati sensibili. L’intrusione è terminata con la distribuzione del ransomware Akira per criptare l’infrastruttura del dominio.

Investigazione

L’analisi forense ha identificato il vettore di infezione iniziale come un dominio simile, opmanager.pro, che ha servito un installer MSI malevolo. Gli investigatori hanno tracciato la catena di esecuzione dal sideloading di DLL di msimg32.dll all’iniezione di shellcode di AdaptixC2 nell’utility Rubrica di Windows. La revisione della telemetria di rete e degli artefatti del file system ha anche rivelato un’esfiltrazione di dati su larga scala tramite FileZilla e l’uso di tunnel SSH inversi per proxy RDP access.

Mitigazione

Le organizzazioni dovrebbero applicare un rigoroso filtraggio web per bloccare i domini appena registrati o simili e monitorare comportamenti sospetti di sideloading DLL. Limitare i privilegi amministrativi e rilevare la creazione non autorizzata di account o servizi del dominio è anche fondamentale. Inoltre, è importante un forte filtraggio delle uscite e il monitoraggio per rilevare tunnel SSH o RDP non autorizzati per impedire movimenti laterali ed esfiltrazione di dati.

Risposta

Se viene rilevata questa attività, isolare immediatamente i sistemi colpiti, specialmente i controller di dominio e i server di backup, per fermare la propagazione ulteriore del ransomware. Terminare tutte le sessioni di accesso remoto non autorizzate, inclusi tunnel SSH e istanze RustDesk. Eseguire un reset completo delle credenziali per tutti gli account di dominio, con particolare attenzione a Enterprise Admins, e iniziare il recupero utilizzando backup offline e immutabili.

Flusso d’Attacco

Rilevamenti

Uso Sospetto di WMIC (via cmdline)

Squadra SOC Prime
01 Lug 2026

Riferimento Sospetto a Powershell Shadowcopy (via cmdline)

Squadra SOC Prime
01 Lug 2026

Possibile Cancellazione di Shadow Copies tramite WMI (via powershell)

Squadra SOC Prime
01 Lug 2026

Connessione Uscente Sospetta da Processo Inconsueto (via network_connection)

Squadra SOC Prime
01 Lug 2026

Richiesta DNS Eseguita da Processo Inconsueto (via dns_query)

Squadra SOC Prime
01 Lug 2026

Port Forwarding SSH Sospetto [Windows] (via cmdline)

Squadra SOC Prime
01 Lug 2026

Possibile Enumerazione del Sistema (via cmdline)

Squadra SOC Prime
01 Lug 2026

Scoperta Sospetta di Fiducia nei Domini (via cmdline)

Squadra SOC Prime
01 Lug 2026

Possibile Dumping delle Credenziali Utilizzando Comsvcs.dll (via cmdline)

Squadra SOC Prime
01 Lug 2026

Esecuzione PSQL Sospetta (via cmdline)

Squadra SOC Prime
01 Lug 2026

Attività Sospetta dello Strumento Wbadmin (via cmdline)

Squadra SOC Prime
01 Lug 2026

Possibile Attacco BYOVD – Porta il tuo Driver Vulnerabile (via audit)

Squadra SOC Prime
01 Lug 2026

Possibile Attività di Trasferimento Bits (via powershell)

Squadra SOC Prime
01 Lug 2026

Possibile Esecuzione tramite Uso di Nome Script Breve (via cmdline)

Squadra SOC Prime
01 Lug 2026

Possibile Powershell Script Contenente Lolbin (via powershell)

Squadra SOC Prime
01 Lug 2026

Creazione Servizio Software di Accesso / Gestione Remota (via system)

Squadra SOC Prime
01 Lug 2026

Software Alternativo di Accesso / Gestione Remota (via process_creation)

Squadra SOC Prime
01 Lug 2026

Possibile Enumerazione o Manipolazione di Account o Gruppi (via cmdline)

Squadra SOC Prime
01 Lug 2026

Esecuzione di Processi di Sistema da Percorsi Non Tipici (via process_creation)

Squadra SOC Prime
01 Lug 2026

Possibile Msiexec che Esegue File in Directory Inconsuete (via cmdline)

Squadra SOC Prime
01 Lug 2026

Rileva Attività RustDesk e Akira Ransomware [Windows System]

Regole AI di SOC Prime
01 Lug 2026

Rilevamento di Esecuzione e Iniezione di BumbleBee e AdaptixC2 [Windows Process Creation]

Regole AI di SOC Prime
01 Lug 2026

Riassunto Esecutivo

  • ID Casi di Test: TC-20250522-K9L2P
  • TTPs: T1003.001, T1003.003, T1018, T1021.001, T1021.003, T1027.010, T1033, T1036, T1039, T1041, T1046, T1047, T1048.001, T1055, T1059.001, T1059.003, T1069.001, T1069.002, T1070.004, T1071.001, T1082, T1083, T1087.001, T1087.002, T1090, T1135, T1136, T1189, T1204.002, T1219, T1482, T1486, T1490, T1543.003, T1555, T1568.002, T1569.002, T1574.001
  • Riepilogo della Logica di Regola di Rilevamento: La regola viene attivata se rustdesk.exe viene generato da services.exe o se locker.exe viene eseguito con la riga di comando contenente “Volume Shadow Copies”.
  • Lingua/Formato Regola di Rilevamento: yaml
  • Ambiente di Sicurezza Target: Windows OS con Sysmon abilitato, che mira a un SIEM in grado di elaborare telemetria Sysmon ID Evento 1 (Creazione Processo).
  • Punteggio di Resilienza (1-5): 2
  • Giustificazione: La regola si basa fortemente su nomi di file specifici e codificati (rustdesk.exe and locker.exe). Un avversario può facilmente aggirarla rinominando i propri binari. Inoltre, il rilevamento Akira è limitato a una specifica stringa nella riga di comando, che può essere offuscata.
  • Risultati Chiave: La regola rileva efficacemente l’uso “out-of-the-box” di questi strumenti ma fallisce contro qualsiasi tecnica di evasione di base come la rinomina dei binari o la manipolazione degli argomenti della riga di comando.
  • Raccomandazione: Cambiare il rilevamento basato sui nomi dei file a indicatori comportamentali, come il monitoraggio per installazioni di servizi non autorizzate, connessioni di rete inaspettate da strumenti di desktop remoto, e cancellazioni di copie shadow tramite vssadmin or wmic a prescindere dal nome del processo padre.

## Ambiente di Simulazione & Contesto

  • TTP in Test:
    • T1003.001: Dumping delle Credenziali OS: Memoria LSASS
    • T1059.001: Interprete di Comandi e Script: PowerShell
    • T1490: Inibire il Recupero del Sistema (Cancellazione Shadow Copy)
    • T1543.003: Creare o Modificare Processo di Sistema: Servizio Windows
  • Contesto e Rilevanza TTP: La simulazione mira a replicare il profilo di doppia minaccia: l’uso di RustDesk per l’accesso remoto persistente (installato come servizio) e l’esecuzione di comandi in stile ransomware Akira per inibire il recupero del sistema prendendo di mira le Shadow Copies.
  • Ambiente Target:
    • OS: Windows 10/11 o Windows Server
    • Log: Sysmon (specificamente ID Evento 1: Creazione di Processi)
    • Stack di Sicurezza: SIEM (ad es. Splunk, Sentinel, o ELK)

## Telemetria & Controllo Baseline Pre-flight

Motivazione: Prima di simulare l’attacco, dobbiamo confermare che l’host target sia configurato per generare i registri necessari, che questi registri siano ingeriti dal SIEM, e che la regola di rilevamento non si attivi su attività benigne. Senza questa convalida, qualsiasi risultato del test è inattendibile.

  • 1. Istruzioni di Configurazione Telemetria:

      1. Installare Sysmon sulla macchina Windows target.
      1. Applicare un file di configurazione (ad es., la configurazione di SwiftOnSecurity) che garantisca che la Creazione di Processi (ID Evento 1) sia catturata con tutti gli argomenti della Riga di Comando.
      1. Assicurarsi che il registro eventi Sysmon venga inoltrato al proprio SIEM tramite Winlogbeat, Splunk Universal Forwarder, o un agente simile.
  • 2. Ingestione & Convalida Baseline:

    • Azione (Telemetria Benigna): Eseguire un comando PowerShell standard per controllare le informazioni di sistema, che genera telemetria di creazione processi senza attivare i pattern relativi al ransomware.

      Get-ComputerInfo | Select-Object CsName, OsArchitecture
    • Query di Validazione (Ingestione):

      // Query KQL per verificare l'ingestione dell'ID evento Sysmon 1
      Sysmon | where EventID == 1 and Image contains "powershell.exe" | take 10

## Esecuzione Simulazione

Prerequisito: Il Controllo Baseline e Telemetria Pre-flight deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione devono riflettere direttamente le TTP identificate e puntare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porterebbero a una diagnosi errata.

  • Narrativa d’Attacco & Comandi: L’avversario inizia stabilendo persistenza e accesso remoto utilizzando RustDesk. Per imitare un’installazione di servizio, l’avversario simulerà il comportamento in cui un gestore dei servizi (services.exe) genera il binario di accesso remoto. Seguirà poi l’esecuzione del payload ransomware Akira. L’obiettivo di questo payload è distruggere i backup di sistema per evitare il recupero; lo fa chiamando un binario nominato locker.exe con un’istruzione specifica della riga di comando per eliminare le ‘Volume Shadow Copies’. Questo imita la fase di massimo impatto di un attacco di estorsione.

  • Script di Test di Regressione:

    # --- INIZIO SIMULAZIONE ---
    # Parte 1: Simulare l'Esecuzione del Servizio RustDesk
    # Simuliamo il comportamento in cui services.exe genera rustdesk.exe. 
    # Poiché non possiamo facilmente falsificare il ParentProcessID di services.exe senza driver del kernel, 
    # simuleremo la creazione di artefatto e poi utilizzeremo uno strumento come 'Process Hacker' 
    # o uno script per simulare la telemetria specifica se possibile, 
    # ma per questo script, creeremo il file e attiveremo un processo.
    
    $rustdeskPath = "$env:TEMPrustdesk.exe"
    New-Item -Path $rustdeskPath -ItemType File -Force
    
    # Nota: Per attivare esattamente la regola 'ParentImage|endswith: services.exe', 
    # è richiesta un'installazione reale di servizio.
    Write-Host "[+] Creazione del binario RustDesk simulato a $rustdeskPath"
    
    # Parte 2: Simulare l'Attività del Ransomware Akira
    $lockerPath = "$env:TEMPlocker.exe"
    New-Item -Path $lockerPath -ItemType File -Force
    Write-Host "[+] Creazione del 'locker.exe' di Akira simulato a $lockerPath"
    
    # Attivazione della logica di rilevamento Akira tramite CommandLine contiene 'Volume Shadow Copies'
    # Usiamo start-process per garantire che la riga di comando venga catturata da Sysmon
    Start-Process -FilePath $lockerPath -ArgumentList "/delete Volume Shadow Copies" -NoNewWindow
    
    Write-Host "[!] Comandi di simulazione eseguiti. Controlla gli allarmi SIEM per 'locker.exe'."
    # --- FINE SIMULAZIONE ---
  • Comandi di Pulizia:

    # --- INIZIO PULIZIA ---
    Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPlocker.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Pulizia completata."
    # --- FINE PULIZIA ---