フォローする 
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
ClickFix社会工学キャンペーンが利用され、Potemkinローダーがデプロイされ、その後、RMMProject RATとEtherRATが配信されました。侵入には、キーボードの操作、WMIExecおよびSMBExecを通じた横方向の移動、Microsoft Defenderを弱体化または無効化しようとする試みが含まれていました。攻撃者は、被害者環境内の11を超えるシステムに拡散しました。
調査
調査により、無管理のエンドポイントでユーザーが悪意あるコマンドを実行したことに起因する侵害が確認されました。アナリストは、決定的なドメイン生成アルゴリズムを使用したカスタムローダー「Potemkin」と、Chromeアプリケーションバウンド暗号化を回避できるLua対応のRAT「RMMProject」を特定しました。また、researchersは、Ethereumブロックチェーンを通じてコマンドアンドコントロールインフラストラクチャを取得するEtherRATや、侵入中にChiselトンネルを使用したことも記録しました。
緩和策
最も効果的な防御の1つは、ClickFixの実行の可能性を減少させるために、グループポリシーを通じてWindows Runダイアログを無効にすることです。また、組織はMicrosoft Defenderの改ざん防止を有効にし、セキュリティ設定に影響を与える無許可のレジストリ変更や無効化の試みを監視すべきです。 WinDefend サービス。攻撃者が初期の足がかりを得るのを防ぐために、広範囲かつ一貫したエンドポイントカバレッジが不可欠です。
対応
この活動が検出された場合、応答者は追加の横方向の移動を防ぐために直ちに影響を受けたシステムを隔離すべきです。緩和策には、悪意あるNode.jsプロセスの終了、Runキーやスケジュールされたタスクなど特定された持続メカニズムの削除、無許可のMicrosoft Defender排除パスのクリーンアップが含まれるべきです。持続メソッドがホストごとに異なる可能性があるため、環境全体の全面的なスイープが必要です。
"graph TB %% Class Definitions classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef defense_evasion fill:#9b59b6,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef c2 fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#f1c40f,stroke:#333,stroke-width:2px classDef lateral_movement fill:#1abc9c,stroke:#333,stroke-width:2px classDef defense_impairment fill:#34495e,stroke:#333,stroke-width:2px %% Initial Access and Execution Phase action_clickfix["<b>Action</b> – <b>T1204.004 User Execution: Malicious Copy and Paste</b><br/>Description: User is tricked via ClickFix social engineering to paste and run a command in the Windows Run Dialog.<br/><b/>Artifacts: cmd /min /c pcalua.exe -a mshta.exe…"] class action_clickfix initial_access exec_mshta["<b/>Action</b> – <b>T1218.005 System Binary Proxy Execution: Mshta</b><br/>Description: Abuses pcalua.exe to proxy mshta.exe execution to fetch remote HTA payload.<br/><b/>Artifacts: hte.hta payload, pcalua.exe"] class exec_mshta execution exec_msiexec["<b/>Action</b> – <b>T1218.007 System Binary Proxy Execution: Msiexec</b><br/>Description: Malicious MSI package is silently installed using msiexec.<br/><b/>Artifacts: inst24.msi, msiexec /qn"] class exec_msiexec execution %% Persistence and Loader Phase persist_netsh["<b/>Action</b> – <b>T1546.007 Event Triggered Execution: Netsh Helper DLL</b><br/>Description: Persistence established via an MSI AutostartRegistry component.<br/><b/>Artifacts: Potemkin loader, RunSearch.exe in %LOCALAPPDATA%MicrosoftRunSearch"] class persist_netsh persistence %% Command and Control Phase c2_dga["<b/>Action</b> – <b>T1568 Dynamic Resolution</b><br/>Description: Potemkin loader uses a Domain Generation Algorithm to find C2 servers.<br/><b/>Artifacts: Potemkin DGA"] class c2_dga c2 c2_ether["<b/>Action</b> – <b>T1568 Dynamic Resolution</b><br/>Description: EtherRAT resolves its C2 address from the Ethereum blockchain via EtherHiding.<br/><b/>Artifacts: EtherRAT"] class c2_ether c2 %% Credential Access Phase cred_steal["<b/>Action</b> – <b>T1539 Steal Web Session Cookie</b><br/>Description: RMMProject RAT targets browsers to steal cookies and credentials via DLL injection to bypass Chrome App-Bound Encryption.<br/><b/>Artifacts: RMMProject, browser SQLite databases"] class cred_steal credential_access %% Lateral Movement Phase lat_move["<b/>Action</b> – <b>T1210 Exploitation of Remote Services</b><br/>Description: Attacker moves laterally using WMIExec and SMBExec to spread the MSI installer.<br/><b/>Artifacts: WMIExec, SMBExec, msiexec /i <IP>ADMIN$Temp…"] class lat_move lateral_movement %% Defense Impairment Phase def_impair["<b/>Action</b> – <b>T1687 Exploitation for Defense Impairment</b><br/>Description: Fighting Windows Defender by patching AMSI, writing registry policies, and killing the service.<br/><b/>Artifacts: DisableAntiSpyware registry keys, Stop-Service WinDefend, AMSI patching"] class def_impair defense_impairment %% C2 Tunneling Phase c2_tunnel["<b/>Action</b> – <b>T1572 Protocol Tunneling</b><br/>Description: Using Chisel to establish reverse SOCKS tunnels and Cloudflare tunnels to expose internal services.<br/><b/>Artifacts: Chisel, cloudflared renamed to svchost.exe"] class c2_tunnel c2 %% Connections %% Flow from initial access to execution action_clickfix –>|leads_to| exec_mshta action_clickfix –>|leads_to| exec_msiexec %% Execution leads to persistence exec_msiexec –>|installs| persist_netsh %% Persistence leads to C2 and Loader deployment persist_netsh –>|deploys| c2_dga persist_netsh –>|deploys| c2_ether %% C2 activities lead to credential access c2_dga –>|executes| cred_steal c2_ether –>|executes| cred_steal %% Lateral movement spreads the attack cred_steal –>|enables| lat_move lat_move –>|deploys_to_new_hosts| exec_msiexec %% Defense impairment protects the attacker exec_mshta –>|used_to_patch| def_impair def_impair –>|facilitates| c2_tunnel "
アタックフロー
検出
非典型的なパスからのシステムプロセス実行(via process_creation)
表示
Windows Defenderの設定変更(via powershell)
表示
持続性の可能性があるポイント[ASEPs – Software/NTUSER ハイブ](via registry_event)
表示
Windows Defenderの保護を無効化(via registry_event)
表示
Impacketのコマンドラインパターンの可能性(via cmdline)
表示
疑わしいランサムウェアの干渉サービス停止(via cmdline)
表示
隠されたPowerShellコマンドラインによる実行の可能性(via cmdline)
表示
珍しい場所からのNodeJSバイナリの実行(via cmdline)
表示
LOLBAS Pcalua(via cmdline)
表示
関連コマンドの検出によるLOLBAS MSHTAの防御回避行動(via process_creation)
表示
LOLBAS Conhost(via cmdline)
表示
Certutilを使用したデータエンコーディングと証明書操作(via cmdline)
表示
トンネリングツール使用の可能性[Windows](via cmdline)
表示
疑わしいCURLの使用(via cmdline)
表示
Powershellからの疑わしい.NETメソッドの呼び出し(via powershell)
表示
正規のシステムプロセスに似た名前の疑わしい実行可能ファイルの作成(via file_event)
表示
C2 チャンネルとしてのPublicnode Ethereumの悪用試行の可能性(via dns_query)
表示
疑わしいファイルダウンロード直接IP(via proxy)
表示
PowerShellスクリプト実行とWindows Defenderの改ざん[Windows Powershell]
表示
EthereumベースのC2コミュニケーションの検出by EtherRAT[Windowsネットワーク接続]
表示
ClickFix HTAペイロードのmshta.exeによる配信の検出[Windowsプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリー&ベースラインプリフライトチェックが合格している必要があります。
理由: このセクションでは、検出ルールをトリガーするように設計された敵の手法(TTP)の正確な実行を詳細に説明します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。抽象的または関連のない例は誤診につながる可能性があります。
-
攻撃の物語とコマンド: 敵はEtherRATの署名方法を使用してC2チャネルを確立しようとしています。マルウェアの設定の静的解析を回避するために、
curlを利用して公開Ethereum RPCエンドポイント(https://eth.drpc.org)にHTTP POSTリクエストを実行します。このリクエストは、ブロックチェーンから実際のC2 IP/ドメインを取得するためのものです。現在の検出ルールの特定のロジックを満足させるために、コマンドは既知の悪意のあるドメインanus-staylard.xyzをコマンドライン引数に含め、ペイロードの配信または設定フェーズをシミュレートしています。 -
回帰テストスクリプト:
# Ethereum RPCを介したEtherRAT C2解決のシミュレーション # このスクリプトはSigmaルールをトリガーするために必要な特定のコマンドラインパターンを模倣します。 $maliciousDomain = "anus-staylard.xyz" $rpcEndpoint = "https://eth.drpc.org" $maliciousIpString = "77.110.122.58:23205/lQhEQui9a4lZ.exe" # (selection1 OR selection2) AND selection3 ロジックにマッチするコマンドの構築 # パターン: curl -s -X POST https://eth.drpc.org ... anus-staylard.xyz $cmd = "curl.exe -s -X POST $rpcEndpoint -d 'data=query' --user-agent '$maliciousDomain' --referer '$maliciousIpString'" Write-Host "[+] EtherRATのシミュレートされたコマンドを実行: $cmd" Start-Process "cmd.exe" -ArgumentList "/c $cmd" -NoNewWindow -
クリーンアップコマンド:
# このシミュレーションでは永続的なファイルは作成されません; # ただ一時的なプロセス実行が行われます。 Write-Host "[+] シミュレーション完了。クリーンアップは不要。"