Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Tengu è un’operazione di Ransomware-as-a-Service che segue un modello di doppia estorsione. Prima di avviare la crittografia, gli attaccanti utilizzano Living Off the Land Binaries per eseguire payload ed esfiltrare dati sensibili sul cloud storage MEGA. Le comunicazioni con le vittime e le negoziazioni dei pagamenti vengono gestite tramite un portale basato su Tor.
Indagine
Il rapporto delinea l’intera catena di intrusione di Tengu, a partire dall’accesso iniziale tramite phishing o credenziali rubate e terminando con la crittografia dei dati. Sottolinea l’uso di utility amministrative legittime come PowerShell e Rclone, che aiutano gli attaccanti a mimetizzarsi con l’attività normale e ridurre la possibilità di rilevamento.
Mitigazione
I team di sicurezza dovrebbero imporre un’autenticazione a più fattori forte per ridurre il rischio di abuso delle credenziali sui servizi RDP e VPN. Le organizzazioni dovrebbero anche monitorare per attività sospette LOLBin, limitare l’uso non autorizzato delle piattaforme di cloud storage e mantenere backup offline regolari che possano supportare il recupero.
Risposta
Se viene rilevata un’attività di Tengu, isolare immediatamente i sistemi colpiti per fermare il movimento laterale e l’ulteriore esfiltrazione dei dati. Esaminare i registri degli eventi di Windows e le configurazioni dei servizi per modifiche non autorizzate e attivare le procedure di risposta agli incidenti per determinare l’estensione dell’esposizione dei dati e dell’attività di crittografia.
graph TB %% Sezione definizione delle classi classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#fbb,stroke:#333,stroke-width:2px classDef exfiltration fill:#bfb,stroke:#333,stroke-width:2px classDef impact fill:#f96,stroke:#333,stroke-width:2px classDef tool fill:#ccc,stroke:#333,stroke-width:1px %% Nodi di accesso iniziale access_phishing[“<b>Azione</b> – <b>T1566.002 Phishing: Link di Spearphishing</b><br/>Descrizione: Invio di link mirati alle vittime per ottenere accesso.”] class access_phishing initial_access access_exploit[“<b>Azione</b> – <b>T1190 Sfruttamento di Applicazione Pubblica</b><br/>Descrizione: Sfruttamento di vulnerabilità in software esposto su Internet.”] class access_exploit initial_access access_accounts[“<b>Azione</b> – <b>T1078 Account Validi</b><br/>Descrizione: Utilizzo di credenziali rubate per accedere a endpoint RDP o VPN.”] class access_accounts initial_access op_initial_access((“AND”)) class op_initial_access operator %% Nodi di esecuzione ed escalation dei privilegi exec_powershell[“<b>Azione</b> – <b>T1059.001 Interprete dei Comandi e Script: PowerShell</b><br/>Descrizione: Esecuzione di payload dannosi tramite PowerShell.”] class exec_powershell execution exec_cmd[“<b>Azione</b> – <b>T1059.003 Interprete dei Comandi e Script: Shell dei Comandi Windows</b><br/>Descrizione: Esecuzione di comandi tramite cmd.exe.”] class exec_cmd execution exec_rundll32[“<b>Azione</b> – <b>T1218.011 Rundll32</b><br/>Descrizione: Esecuzione di codice dannoso tramite Rundll32.exe.”] class exec_rundll32 execution priv_esc_lsass[“<b>Azione</b> – <b>T1003.001 Dump delle Credenziali del SO: Memoria LSASS</b><br/>Descrizione: Raccolta di credenziali amministrative dalla memoria LSASS.”] class priv_esc_lsass execution %% Nodi di compromissione delle difese def_disable_tools[“<b>Azione</b> – <b>T1562.001 Indebolimento delle Difese: Disabilitare o Modificare Strumenti</b><br/>Descrizione: Disabilitazione di Windows Security Center e Windows Update tramite sc config.”] class def_disable_tools defense_impairment def_clear_logs[“<b>Azione</b> – <b>T1070.001 Rimozione degli Indicatori: Cancellazione dei Log Eventi Windows</b><br/>Descrizione: Eliminazione delle prove forensi tramite wevtutil cl *.”] class def_clear_logs defense_impairment %% Nodi di esfiltrazione exfil_cloud[“<b>Azione</b> – <b>T1567.002 Esfiltrazione verso Archiviazione Cloud</b><br/>Descrizione: Trasferimento di dati sensibili verso provider cloud.”] class exfil_cloud exfiltration tool_rclone[“<b>Strumento</b> – <b>Nome</b>: Rclone / WinSCP<br/>Descrizione: Strumenti legittimi utilizzati per trasferire dati verso MEGA.”] class tool_rclone tool %% Nodi di impatto impact_recovery[“<b>Azione</b> – <b>T1490 Impedire il Ripristino del Sistema</b><br/>Descrizione: Eliminazione delle copie shadow tramite vssadmin delete shadows /all /quiet.”] class impact_recovery impact impact_encryption[“<b>Azione</b> – <b>T1486 Crittografia dei Dati per Impatto</b><br/>Descrizione: Crittografia dei file con estensione .tengu e creazione di TENGU_README.txt.”] class impact_encryption impact %% Connessioni access_phishing –>|porta_a| op_initial_access access_exploit –>|porta_a| op_initial_access access_accounts –>|porta_a| op_initial_access op_initial_access –>|porta_a| exec_powershell op_initial_access –>|porta_a| exec_cmd op_initial_access –>|porta_a| exec_rundll32 exec_powershell –>|abilita| priv_esc_lsass exec_cmd –>|abilita| priv_esc_lsass priv_esc_lsass –>|porta_a| def_disable_tools priv_esc_lsass –>|porta_a| def_clear_logs def_disable_tools –>|precede| exfil_cloud def_clear_logs –>|precede| exfil_cloud exfil_cloud –>|utilizza| tool_rclone tool_rclone –>|porta_a| impact_recovery impact_recovery –>|porta_a| impact_encryption
Flusso di Attacco
Rilevamenti
Possibile Esfiltrazione dei Dati tramite Rclone Tool (via cmdline)
Visualizza
Possibile Attività di Evasione della Difesa tramite Uso Sospetto di Wevtutil (via cmdline)
Visualizza
Attività Sospetta di VSSADMIN (via cmdline)
Visualizza
Esecuzione del Ransomware Tengu Utilizzando LOLBins [Creazione Processo Windows]
Visualizza
Esecuzione delle Simulazioni
Requisito: Il controllo pre-volo di Telemetria e Baseline deve essere stato superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTPs identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa e Comandi dell’Attacco: L’avversario intende avviare la fase di distribuzione del ransomware Tengu. Per evitare il rilevamento da parte di semplici firme antivirus, utilizzano tecniche “Living-off-the-Land” (LotL). L’attaccante userà inizialmente
powershell.exeper scaricare un payload di staging e poi useràrundll32.exeper eseguire un DLL maligno. Questo imita il comportamento descritto nella catena di attacco Tengu, dove binari legittimi di Windows sono abusati per eseguire azioni malevoli, cercando così di mimetizzarsi con l’attività amministrativa di routine. -
Script di Test di Regressione:
# Script di Simulazione Esecuzione Ransomware Tengu # Questo script simula l'uso di LOLBins per attivare la regola di rilevamento. Write-Host "[*] Avvio della Simulazione di Esecuzione Ransomware Tengu..." -ForegroundColor Cyan # 1. Simulazione del payload staging basato su PowerShell (T1059.001) Write-Host "[*] Simulazione del payload staging basato su PowerShell..." -ForegroundColor Yellow powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Simulazione download di payload malevolo...'" # 2. Simulazione di ricognizione basata su CMD (T1059.003) Write-Host "[*] Simulazione di ricognizione basata su CMD..." -ForegroundColor Yellow cmd.exe /c "whoami /all" # 3. Simulazione di esecuzione Rundll32 (T1218.011) Write-Host "[*] Simulazione di esecuzione DLL malevolo Rundll32..." -ForegroundColor Yellow rundll32.exe javascript:"alert('Esecuzione simulata di Payload Tengu');" Write-Host "[+] Simulazione Completa. Controllare SIEM per avvisi." -ForegroundColor Green -
Comandi di Cleanup:
# Nessun file permanente o chiavi di registro sono stati modificati in questa simulazione. # I comandi eseguiti sono esecuzioni di processi volatili. Write-Host "[*] Nessun cleanup necessario poiché non sono stati creati artefatti persistenti." -ForegroundColor Cyan