SOC Prime Bias: Alto

26 Nov 2025 17:30
newspaper icon Wazuh

Funklocker Ransomware: Rilevamento e Risposta con Wazuh

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Funklocker Ransomware: Rilevamento e Risposta con Wazuh
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Riassunto

Il ransomware Funklocker, legato al gruppo FunkSec, prende di mira gli ambienti Windows e sfrutta la generazione di codice assistita da AI per creare nuove varianti. Si avvale di tecniche living-off-the-land, abusando di strumenti come PowerShell, taskkill, sc e vssadmin per disattivare i controlli di sicurezza, rimuovere copie shadow e criptare dati con l’estensione .funksec. L’articolo spiega come rilevare questi comportamenti utilizzando Sysmon più regole Wazuh personalizzate e come automatizzare la pulizia tramite scansioni YARA integrate.

Indagine

L’analisi spiega come Funklocker riduce i log degli eventi di sicurezza e di applicazione di Windows, disabilita la protezione in tempo reale di Windows Defender, supera la policy di esecuzione di PowerShell, termina i processi, arresta i servizi critici e cancella i backup della Copia Shadow del Volume. I campioni di test sono stati fatti esplodere su un host lab Windows 11 con installato l’agente Wazuh e Sysmon configurato per catturare tutta la telemetria rilevante.

Mitigazione del Ransomware Funlocker

I passaggi di mitigazione raccomandati includono il rafforzamento delle policy di esecuzione di PowerShell, l’applicazione del principio del minimo privilegio nella gestione dei servizi, il mantenimento di backup frequenti verificando che le copie shadow siano disponibili e l’implementazione di strumenti EDR come Wazuh combinati con regole Sysmon personalizzate per allertare sui modelli di comando di Funklocker. Le firme YARA possono poi essere applicate per mettere automaticamente in quarantena o eliminare gli eseguibili ransomware identificati.

Risposta

Quando viene rilevata l’attività di Funklocker, il server Wazuh solleva allarmi e la sua componente di Risposta Attiva attiva una scansione YARA che rimuove il binario ransomware insieme a tutti i file criptati appena creati. Il processo di risposta delineato copre anche la validazione manuale, il contenimento dei sistemi colpiti e il recupero dei dati dai backup fidati e non compromessi.

mermaid graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes action_phishing[“<b>Azione</b> – <b>T1204.004 Esecuzione Utente: File dannoso</b><br />Email di phishing contenente allegato dannoso inviato a vittime”] class action_phishing action action_execute_payload[“<b>Azione</b> – <b>T1218.007 Proxy Esecuzione Binario Firmato: Msiexec</b><br />Eseguire payload dannoso .exe o .msi usando utility di sistema”] class action_execute_payload action action_install_rat[“<b>Azione</b> – <b>T1219 Strumenti di Accesso Remoto</b><br />Installare strumento di accesso remoto su host compromesso”] class action_install_rat action malware_rat[“<b>Malware</b> – <b>Nome</b>: Strumento di Accesso Remoto<br /><b>Descrizione</b>: Abilita controllo remoto persistente”] class malware_rat malware action_c2[“<b>Azione</b> – <b>T1104 Comando e Controllo</b><br />Stabilire canale C2 per ricevere istruzioni”] class action_c2 action action_recon[“<b>Azione</b> – Riconoscimento<br /><b>T1082 Scoperta Informazioni di Sistema</b>, <b>T1592.002 Identificazione del Software</b>, <b>T1590.004 Scoperta Topologia di Rete</b><br />Raccolta dettagli su sistema, software e rete”] class action_recon action action_credential_dump[“<b>Azione</b> – <b>T1555.003 Credenziali nei File: Browser Web</b><br />Estrarre credenziali memorizzate nei browser web utilizzando WebBrowserPassView”] class action_credential_dump action tool_webbrowserpassview[“<b>Strumento</b> – <b>Nome</b>: WebBrowserPassView<br /><b>Descrizione</b>: Recupera password salvate dai browser”] class tool_webbrowserpassview tool action_valid_accounts[“<b>Azione</b> – <b>T1078 Account Validi</b><br />Utilizzare credenziali raccolte per autenticarsi”] class action_valid_accounts action action_lateral_movement[“<b>Azione</b> – <b>T1021.006 Servizi Remoti: WinRM</b><br />Muoversi lateralmente usando Windows Remote Management”] class action_lateral_movement action %% Connections action_phishing u002du002d>|porta a| action_execute_payload action_execute_payload u002du002d>|esegue| action_install_rat action_install_rat u002du002d>|installa| malware_rat malware_rat u002du002d>|comunica con| action_c2 action_c2 u002du002d>|abilita| action_recon action_recon u002du002d>|fornisce dati per| action_credential_dump action_credential_dump u002du002d>|utilizza| tool_webbrowserpassview action_credential_dump u002du002d>|porta a| action_valid_accounts action_valid_accounts u002du002d>|abilita| action_lateral_movement

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: La Verifica Pré‑volo della Telemetria e di Baseline deve essere superata.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrazione dell’Attacco & Comandi:
    L’attaccante ha ottenuto l’accesso come amministratore locale sul endpoint compromesso. Per garantire che il ransomware possa eseguire senza interruzioni e rimanere nascosto, eseguono una serie di comandi PowerShell one‑liner che (1) disabilitano il logging degli eventi di sicurezza, (2) disattivano la protezione in tempo reale di Microsoft Defender, (3) disabilitano il log delle applicazioni, e (4) impostano la policy di esecuzione di PowerShell su Bypass. Ogni comando è emesso direttamente da un prompt di PowerShell elevato, rispecchiando le esatte stringhe che la regola Sigma verifica.

  • Script di Test di Regressione:

    # Comandi in stile Funklocker per disabilitare i log e Defender
# 1. Disabilitare il log degli eventi di sicurezza
powershell -Command "wevtutil sl Security /e:false"

# 2. Disabilitare il monitoraggio in tempo reale di Microsoft Defender
powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

# 3. Disabilitare il log degli eventi delle applicazioni
powershell -Command "wevtutil sl Application /e:false"

# 4. Bypassare la policy di esecuzione di PowerShell per il processo corrente
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

  • Comandi di Pulizia:

    # Riabilitare il log degli eventi di sicurezza
wevtutil sl Security /e:true

# Riabilitare il monitoraggio in tempo reale di Microsoft Defender
Set-MpPreference -DisableRealtimeMonitoring $false

# Riabilitare il log degli eventi delle applicazioni
wevtutil sl Application /e:true

# Ripristinare la policy di esecuzione predefinita di PowerShell (Restricted)
Set-ExecutionPolicy Restricted -Scope Process -Force

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis