Analisi, Rilevazione e Mitigazione dell’Attacco Squiblydoo

Nel dinamico e in continua evoluzione ambito della cybersecurity, gli attaccanti dimostrano una determinazione incrollabile mentre continuamente escogitano tecniche innovative per eludere le misure di sicurezza e infiltrarsi in sistemi che non possono essere facilmente considerati vulnerabili. Una di queste tecniche che ha acquisito rilevanza è l’attacco Squiblydoo. Questo attacco mira specificamente allo sfruttamento di applicazioni o file legittimi integrati nel sistema operativo. Sfruttando queste applicazioni fidate, gli attaccanti possono efficacemente eludere la rilevazione ed eseguire script malevoli sulle macchine bersaglio, rappresentando un rischio significativo per la postura di cybersecurity delle organizzazioni.

Nella sua essenza, la tecnica Squiblydoo concede agli script non autorizzati la capacità di funzionare su macchine configurate esclusivamente per consentire script autorizzati. Anche i sistemi con misure di sicurezza rigorose possono cadere vittime di questo attacco. Gli attaccanti con privilegi di utente normale possono scaricare ed eseguire script memorizzati su server remoti, aggirando i protocolli di sicurezza stabiliti. L’uso di applicazioni conosciute in questo attacco fornisce un velo di legittimità, rendendo ancora più ardue la rilevazione e la rimedinazione di tali attività malevole.

Squiblydoo sfrutta specificamente regsvr32.dll, comunemente noto come LOLBin (Living Off the Land binary). I LOLBin sono binari legittimi che attori di minacce sofisticati usano frequentemente in modo improprio per eseguire operazioni malevole. Un altro esempio popolare di LOLBin è CertReq.exe, che può essere sfruttato dagli attaccanti per caricare e scaricare piccoli file malevoli. 

The regsvr32.dll Il binario è parte del sistema operativo, progettato per scopi legittimi. Tuttavia, gli attaccanti ne sfruttano la funzionalità per caricare direttamente uno scriptlet COM da internet ed eseguirlo senza attivare i meccanismi di sicurezza. Adottando questo approccio, Squiblydoo elude efficacemente le misure di sicurezza tradizionali e si infiltra nei sistemi bersaglio, potenzialmente portando a conseguenze gravi come accessi non autorizzati, violazioni dei dati o l’installazione di ulteriori payload malevoli.

Questo articolo fornisce un’analisi dell’attacco Squiblydoo, la sua rilevazione, descrizione della tecnica e il flusso dell’attacco, e fornisce raccomandazioni per mitigare i rischi associati.

Rilevazione dell’Attacco Squiblydoo

Per consentire alle organizzazioni di rilevare proattivamente e cacciare attacchi Squiblydoo correlati allo sfruttamento del binario LOLBin regsvr32.exe nelle operazioni offensive, la piattaforma SOC Prime offre un set di regole Sigma rilevanti allineate con il framework MITRE ATT&CK® e convertibili automaticamente nelle soluzioni SIEM, EDR e XDR leader del settore. 

Clicca sul pulsante Esplora Rilevazioni qui sotto per accedere istantaneamente all’intera raccolta di Sigma relativa alla tecnica Squiblydoo. Tutte le rilevazioni sono arricchite con CTI, link ATT&CK e più contesti di minaccia informatica azionabili. 

pulsante Esplora Rilevazioni

Linea Temporale della Minaccia Squiblydoo

The L’attacco Squiblydoo sfrutta il binario LOLBin regsvr32.exe, un’utilità a linea di comando legittima per registrare e deregistrare DLL e controlli ActiveX nel Registro di Windows. Gli attaccanti approfittano degli effetti collaterali inaspettati dei LOLBin per eseguire script e payload malevoli su macchine compromesse. In questo attacco, l’ regsvr32.exe utilità viene applicata per scaricare un file XML o JavaScript (JS) malevolo da un server di comando e controllo. La DLL scrobj.dll facilita l’esecuzione dello script o del payload scaricato, permettendo all’attaccante di svolgere varie attività malevole, inclusa la distribuzione di spyware, trojan o minatori di criptovalute.

Scatenare allarmi quando vengono identificate attività sospette associate alla tecnica Squiblydoo include notifiche di “Comando di processo malevolo”, che vengono attivate quando regsvr32.exe è utilizzato in combinazione con richieste HTTP o scrobj.dll. 

Il flusso dell’attacco di Squiblydoo coinvolge l’esecuzione di comandi e l’interazione con diversi processi. Analizzando la tecnica, i ricercatori di sicurezza possono ottenere informazioni sulle attività malevole e sui payload coinvolti. La dimostrazione della capacità di Squiblydoo di eseguire codice arbitrario tramite il regsvr32.exe comando evidenzia i rischi potenziali associati ai LOLBin e la necessità di misure di sicurezza robuste. Il flusso dell’attacco mostra anche l’uso di comandi PowerShell eseguiti da CMD.exe per scaricare più file .txt da server di comando e controllo, dimostrando ulteriormente l’intento dell’attaccante di sfruttare le vulnerabilità del sistema.

Cos’è Squiblydoo?

Squiblydoo è una tecnica utilizzata per aggirare i prodotti di sicurezza utilizzando applicazioni o file legittimi e conosciuti, integrati per impostazione predefinita nel sistema operativo. Questa tecnica fornisce un modo per far eseguire uno script non approvato su una macchina configurata per consentire solo script approvati di eseguire. Squiblydoo descrive l’uso specifico di regsvr32.dll (LOLBin) per caricare direttamente uno scriptlet COM da internet e eseguirlo in modo da aggirare le protezioni di sicurezza.

La rilevazione della tecnica di Esecuzione Proxy tramite Binario di Sistema, specificamente la sotto-tecnica Regsvr32, fornisce una copertura moderata per la tattica di Evasione Difensiva nel framework ATT&CK.

Casey Smith di Red Canary documentò inizialmente la tecnica Squiblydoo, sebbene il post del blog contenente l’informazione sia attualmente non disponibile.

La capacità di Squiblydoo di sfruttare applicazioni e file legittimi, combinata con la sua capacità di eludere le misure di sicurezza tradizionali, la rende una tecnica formidabile che può rappresentare una sfida per i difensori informatici. Comprendendo le complessità dell’attacco, implementando adeguate misure di rilevazione e prevenzione e promuovendo una cultura della sicurezza, le organizzazioni possono rafforzare le proprie difese contro questa tecnica e meglio proteggere i propri sistemi e dati.

Raccomandazioni e Misure di Mitigazione

L’attacco Squiblydoo presenta una minaccia significativa per le organizzazioni, poiché scavalca le misure di sicurezza utilizzando applicazioni e file legittimi. Comprendere l’attacco Squiblydoo è cruciale per una rilevazione e prevenzione efficaci. Le organizzazioni necessitano di soluzioni di sicurezza robuste capaci di riconoscere gli indicatori e i pattern associati a questa tecnica d’attacco. I meccanismi di rilevazione dovrebbero includere il monitoraggio delle attività sospette relative all’utilizzo di regsvr32.dll, come argomenti della linea di comando anomali o connessioni di rete inaspettate. Identificando e rispondendo prontamente a questi segnali, i team di sicurezza possono minimizzare l’impatto potenziale dell’attacco e mitigare i rischi associati.

Bloccare il traffico verso domini malevoli o indirizzi IP associati all’attacco è un altro passo cruciale per mitigare l’impatto di Squiblydoo. Le organizzazioni possono limitare la comunicazione con i server di C2 implementando controlli a livello di rete e interrompendo le operazioni dell’attaccante. Disconnettere gli host compromessi dalla rete può aiutare a sventare l’attacco e prevenire ulteriori danni. Implementare controlli di accesso forti, limitare i privilegi degli utenti e aggiornare regolarmente i sistemi sono passaggi essenziali per ridurre la superficie di attacco. Inoltre, l’utilizzo di sistemi avanzati di rilevazione delle minacce che possono identificare e segnalare i tentativi sospetti di esecuzione di script è cruciale. La formazione sulla consapevolezza della sicurezza per gli utenti è anche vitale per garantirne la vigilanza contro i tentativi di ingegneria sociale che possono portare all’esecuzione di script malevoli.

Un altro passo cruciale è indagare sugli incidenti secondo le politiche stabilite. Condurre un’analisi approfondita dei vettori dell’attacco, dei sistemi compromessi e della potenziale esfiltrazione di dati può fornire informazioni preziose sugli intenti e le tecniche dell’attaccante. Queste informazioni possono essere utilizzate per rafforzare le difese, colmare le vulnerabilità e migliorare la postura di sicurezza complessiva.

La tecnica Squiblydoo serve come promemoria dell’innovazione costante e adattabilità delle minacce informatiche e richiede attenta attenzione da parte dei difensori informatici. Comprendendo le tecniche impiegate dagli attaccanti, le organizzazioni possono meglio prepararsi per rilevare, prevenire e rispondere efficacemente a tali attacchi. Implementare misure di sicurezza proattive, fare leva su sistemi avanzati di rilevazione delle minacce e seguire le migliori pratiche sono essenziali per proteggere i sistemi e i dati dalle minacce informatiche in evoluzione come Squiblydoo.

Piattaforma SOC Prime equipaggia i difensori cyber aspiranti ed esperti con un kit sofisticato per l’ingegneria avanzata della rilevazione e la caccia alle minacce supportato dalle sue potenti soluzioni, Threat Detection Marketplace, Uncoder AI, e Attack Detective. Esplora il flusso di notizie sulla sicurezza più veloce al mondo e il più grande repository di regole Sigma per le minacce attuali ed emergenti, razionalizza le tue procedure di ingegneria della rilevazione con l’autocompletamento Sigma e ATT&CK, e identifica i punti ciechi nel tuo stack di rilevazione in meno di 300 secondi per essere pronto a risolverli in tempo e ottimizzare a livello di rischio la tua postura di cybersecurity.