Forza Bruta SQL Apre la Porta al Ransomware BlueSky
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Un attore di minacce ha utilizzato l’avvelenamento SEO per distribuire il malware BumbleBee tramite un installer di ManageEngine OpManager trojanizzato. Dopo aver ottenuto l’accesso iniziale, l’attaccante ha distribuito AdaptixC2 per il comando e controllo, si è spostato lateralmente attraverso il tunneling RDP e SSH, ed ha esfiltrato più di 75 GB di dati sensibili. L’intrusione è terminata con la distribuzione del ransomware Akira per criptare l’infrastruttura del dominio.
Investigazione
L’analisi forense ha identificato il vettore di infezione iniziale come un dominio simile, opmanager.pro, che ha servito un installer MSI malevolo. Gli investigatori hanno tracciato la catena di esecuzione dal sideloading di DLL di msimg32.dll all’iniezione di shellcode di AdaptixC2 nell’utility Rubrica di Windows. La revisione della telemetria di rete e degli artefatti del file system ha anche rivelato un’esfiltrazione di dati su larga scala tramite FileZilla e l’uso di tunnel SSH inversi per proxy RDP access.
Mitigazione
Le organizzazioni dovrebbero applicare un rigoroso filtraggio web per bloccare i domini appena registrati o simili e monitorare comportamenti sospetti di sideloading DLL. Limitare i privilegi amministrativi e rilevare la creazione non autorizzata di account o servizi del dominio è anche fondamentale. Inoltre, è importante un forte filtraggio delle uscite e il monitoraggio per rilevare tunnel SSH o RDP non autorizzati per impedire movimenti laterali ed esfiltrazione di dati.
Risposta
Se viene rilevata questa attività, isolare immediatamente i sistemi colpiti, specialmente i controller di dominio e i server di backup, per fermare la propagazione ulteriore del ransomware. Terminare tutte le sessioni di accesso remoto non autorizzate, inclusi tunnel SSH e istanze RustDesk. Eseguire un reset completo delle credenziali per tutti gli account di dominio, con particolare attenzione a Enterprise Admins, e iniziare il recupero utilizzando backup offline e immutabili.
Flusso d’Attacco
Rilevamenti
Uso Sospetto di WMIC (via cmdline)
Visualizza
Riferimento Sospetto a Powershell Shadowcopy (via cmdline)
Visualizza
Possibile Cancellazione di Shadow Copies tramite WMI (via powershell)
Visualizza
Connessione Uscente Sospetta da Processo Inconsueto (via network_connection)
Visualizza
Richiesta DNS Eseguita da Processo Inconsueto (via dns_query)
Visualizza
Port Forwarding SSH Sospetto [Windows] (via cmdline)
Visualizza
Possibile Enumerazione del Sistema (via cmdline)
Visualizza
Scoperta Sospetta di Fiducia nei Domini (via cmdline)
Visualizza
Possibile Dumping delle Credenziali Utilizzando Comsvcs.dll (via cmdline)
Visualizza
Esecuzione PSQL Sospetta (via cmdline)
Visualizza
Attività Sospetta dello Strumento Wbadmin (via cmdline)
Visualizza
Possibile Attacco BYOVD – Porta il tuo Driver Vulnerabile (via audit)
Visualizza
Possibile Attività di Trasferimento Bits (via powershell)
Visualizza
Possibile Esecuzione tramite Uso di Nome Script Breve (via cmdline)
Visualizza
Possibile Powershell Script Contenente Lolbin (via powershell)
Visualizza
Creazione Servizio Software di Accesso / Gestione Remota (via system)
Visualizza
Software Alternativo di Accesso / Gestione Remota (via process_creation)
Visualizza
Possibile Enumerazione o Manipolazione di Account o Gruppi (via cmdline)
Visualizza
Esecuzione di Processi di Sistema da Percorsi Non Tipici (via process_creation)
Visualizza
Possibile Msiexec che Esegue File in Directory Inconsuete (via cmdline)
Visualizza
Rileva Attività RustDesk e Akira Ransomware [Windows System]
Visualizza
Rilevamento di Esecuzione e Iniezione di BumbleBee e AdaptixC2 [Windows Process Creation]
Visualizza
Riassunto Esecutivo
- ID Casi di Test: TC-20250522-K9L2P
- TTPs: T1003.001, T1003.003, T1018, T1021.001, T1021.003, T1027.010, T1033, T1036, T1039, T1041, T1046, T1047, T1048.001, T1055, T1059.001, T1059.003, T1069.001, T1069.002, T1070.004, T1071.001, T1082, T1083, T1087.001, T1087.002, T1090, T1135, T1136, T1189, T1204.002, T1219, T1482, T1486, T1490, T1543.003, T1555, T1568.002, T1569.002, T1574.001
- Riepilogo della Logica di Regola di Rilevamento: La regola viene attivata se
rustdesk.exeviene generato daservices.exeo selocker.exeviene eseguito con la riga di comando contenente “Volume Shadow Copies”. - Lingua/Formato Regola di Rilevamento: yaml
- Ambiente di Sicurezza Target: Windows OS con Sysmon abilitato, che mira a un SIEM in grado di elaborare telemetria Sysmon ID Evento 1 (Creazione Processo).
- Punteggio di Resilienza (1-5): 2
- Giustificazione: La regola si basa fortemente su nomi di file specifici e codificati (
rustdesk.exeandlocker.exe). Un avversario può facilmente aggirarla rinominando i propri binari. Inoltre, il rilevamento Akira è limitato a una specifica stringa nella riga di comando, che può essere offuscata. - Risultati Chiave: La regola rileva efficacemente l’uso “out-of-the-box” di questi strumenti ma fallisce contro qualsiasi tecnica di evasione di base come la rinomina dei binari o la manipolazione degli argomenti della riga di comando.
- Raccomandazione: Cambiare il rilevamento basato sui nomi dei file a indicatori comportamentali, come il monitoraggio per installazioni di servizi non autorizzate, connessioni di rete inaspettate da strumenti di desktop remoto, e cancellazioni di copie shadow tramite
vssadminorwmica prescindere dal nome del processo padre.
## Ambiente di Simulazione & Contesto
- TTP in Test:
- T1003.001: Dumping delle Credenziali OS: Memoria LSASS
- T1059.001: Interprete di Comandi e Script: PowerShell
- T1490: Inibire il Recupero del Sistema (Cancellazione Shadow Copy)
- T1543.003: Creare o Modificare Processo di Sistema: Servizio Windows
- Contesto e Rilevanza TTP: La simulazione mira a replicare il profilo di doppia minaccia: l’uso di RustDesk per l’accesso remoto persistente (installato come servizio) e l’esecuzione di comandi in stile ransomware Akira per inibire il recupero del sistema prendendo di mira le Shadow Copies.
- Ambiente Target:
- OS: Windows 10/11 o Windows Server
- Log: Sysmon (specificamente ID Evento 1: Creazione di Processi)
- Stack di Sicurezza: SIEM (ad es. Splunk, Sentinel, o ELK)
## Telemetria & Controllo Baseline Pre-flight
Motivazione: Prima di simulare l’attacco, dobbiamo confermare che l’host target sia configurato per generare i registri necessari, che questi registri siano ingeriti dal SIEM, e che la regola di rilevamento non si attivi su attività benigne. Senza questa convalida, qualsiasi risultato del test è inattendibile.
-
1. Istruzioni di Configurazione Telemetria:
-
- Installare Sysmon sulla macchina Windows target.
-
- Applicare un file di configurazione (ad es., la configurazione di SwiftOnSecurity) che garantisca che la Creazione di Processi (ID Evento 1) sia catturata con tutti gli argomenti della Riga di Comando.
-
- Assicurarsi che il registro eventi Sysmon venga inoltrato al proprio SIEM tramite Winlogbeat, Splunk Universal Forwarder, o un agente simile.
-
-
2. Ingestione & Convalida Baseline:
-
Azione (Telemetria Benigna): Eseguire un comando PowerShell standard per controllare le informazioni di sistema, che genera telemetria di creazione processi senza attivare i pattern relativi al ransomware.
Get-ComputerInfo | Select-Object CsName, OsArchitecture -
Query di Validazione (Ingestione):
// Query KQL per verificare l'ingestione dell'ID evento Sysmon 1 Sysmon | where EventID == 1 and Image contains "powershell.exe" | take 10
-
## Esecuzione Simulazione
Prerequisito: Il Controllo Baseline e Telemetria Pre-flight deve essere passato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione devono riflettere direttamente le TTP identificate e puntare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porterebbero a una diagnosi errata.
-
Narrativa d’Attacco & Comandi: L’avversario inizia stabilendo persistenza e accesso remoto utilizzando RustDesk. Per imitare un’installazione di servizio, l’avversario simulerà il comportamento in cui un gestore dei servizi (
services.exe) genera il binario di accesso remoto. Seguirà poi l’esecuzione del payload ransomware Akira. L’obiettivo di questo payload è distruggere i backup di sistema per evitare il recupero; lo fa chiamando un binario nominatolocker.execon un’istruzione specifica della riga di comando per eliminare le ‘Volume Shadow Copies’. Questo imita la fase di massimo impatto di un attacco di estorsione. -
Script di Test di Regressione:
# --- INIZIO SIMULAZIONE --- # Parte 1: Simulare l'Esecuzione del Servizio RustDesk # Simuliamo il comportamento in cui services.exe genera rustdesk.exe. # Poiché non possiamo facilmente falsificare il ParentProcessID di services.exe senza driver del kernel, # simuleremo la creazione di artefatto e poi utilizzeremo uno strumento come 'Process Hacker' # o uno script per simulare la telemetria specifica se possibile, # ma per questo script, creeremo il file e attiveremo un processo. $rustdeskPath = "$env:TEMPrustdesk.exe" New-Item -Path $rustdeskPath -ItemType File -Force # Nota: Per attivare esattamente la regola 'ParentImage|endswith: services.exe', # è richiesta un'installazione reale di servizio. Write-Host "[+] Creazione del binario RustDesk simulato a $rustdeskPath" # Parte 2: Simulare l'Attività del Ransomware Akira $lockerPath = "$env:TEMPlocker.exe" New-Item -Path $lockerPath -ItemType File -Force Write-Host "[+] Creazione del 'locker.exe' di Akira simulato a $lockerPath" # Attivazione della logica di rilevamento Akira tramite CommandLine contiene 'Volume Shadow Copies' # Usiamo start-process per garantire che la riga di comando venga catturata da Sysmon Start-Process -FilePath $lockerPath -ArgumentList "/delete Volume Shadow Copies" -NoNewWindow Write-Host "[!] Comandi di simulazione eseguiti. Controlla gli allarmi SIEM per 'locker.exe'." # --- FINE SIMULAZIONE --- -
Comandi di Pulizia:
# --- INIZIO PULIZIA --- Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlocker.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Pulizia completata." # --- FINE PULIZIA ---