Técnicas Avançadas de Ataque do Kimsuky: JSONPing, Falsificação de Webex e uma Nova Variante do HttpSpy

Resumo

Kimsuky utilizou páginas de engenharia social que falsificavam software de segurança e reuniões do Webex para entregar um HttpSpy RAT de múltiplos estágios. A campanha introduziu uma verificação de infecção baseada em JSONP chamada JSONPing e dividiu o payload em instalador, carregador e módulo principal. Indicadores incluem chaves RC4 compartilhadas, certificados XAMPP e sobreposição de infraestrutura com campanhas anteriores.

Investigação

A equipe analisou páginas de instalação falsas, capturou binários de dropper, extraiu chaves RC4 e reconstruiu a cadeia de execução de três estágios de nos-setup.exe/astx-setup.exe através de MemLoader.dll, engine.dat e cacheMon.dat até o módulo final HttpSpy. O tráfego de rede mostrou requisições GET para portas locais e URLs de C2.

Mitigação

As organizações devem bloquear domínios e IPs suspeitos, desativar a execução de arquivos de script de fontes desconhecidas, monitorar a criação de regsvr32 e tarefas agendadas, e aplicar a verificação de assinatura de código. Validar links de reuniões do Webex antes de clicar e usar inspeção TLS para detectar o tráfego do JSONPing.

Resposta

Detectar a presença dos binários identificados, chaves de execução do registro, tarefas agendadas e indicadores de rede. Quarentenar hosts afetados, revogar certificados de assinatura de código comprometidos e conduzir análise forense para payloads e mecanismos de persistência.

Resumo Executivo

• ID do Caso de Teste: TC-20260529-A7Z3Q
• TTPs:
  • T1005 (Dados do Sistema Local)
  • T1010 (Descoberta de Janela de Aplicativo)
  • T1012 (Consulta Registro)
  • T1027.009 (Arquivos ou Informação Ofuscados: Payloads Embutidos)
  • T1027.010 (Arquivos ou Informação Ofuscados: Preenchimento Binário)
  • T1027.013 (Arquivos ou Informação Ofuscados: Remoção de Indicadores de Ferramentas)
  • T1036.004 (Mascaramento: Tarefa ou Serviço Mascarado)
  • T1041 (Exfiltração por Canal de Comando e Controle)
  • T1053.005 (Tarefa/Atribuição Agendada: Tarefa Agendada)
  • T1055.001 (Injeção de Processo: Injeção de Biblioteca de Link Dinâmico)
  • T1057 (Descoberta de Processo)
  • T1059.003 (Interpretador de Comando e Script: Shell de Comando do Windows)
  • T1059.007 (Interpretador de Comando e Script: JavaScript)
  • T1070.004 (Remoção de Indicadores no Host: Exclusão de Arquivo)
  • T1070.006 (Remoção de Indicadores no Host: Excluir Chaves de Registro)
  • T1070.009 (Remoção de Indicadores no Host: Limpar Logs de Evento do Windows)
  • T1071.001 (Protocolo de Camada de Aplicação: Protocolos Web)
  • T1082 (Descoberta de Informações do Sistema)
  • T1083 (Descoberta de Arquivos e Diretórios)
  • T1090 (Proxy)
  • T1113 (Captura de Tela)
  • T1132.001 (Codificação de Dados: Codificação Padrão)
  • T1134.002 (Manipulação de Token de Acesso: Criar e Imitar Token)
  • T1140 (Desobfuscar/Decodificar Arquivos ou Informação)
  • T1204.002 (Execução de Usuário: Arquivo Malicioso)
  • T1497.001 (Evasão de Virtualização/Sandbox: Verificações do Sistema)
  • T1547.001 (Execução de Auto-inicialização de Boot ou Logon: Chaves de Execução de Registro / Pasta de Inicialização)
  • T1566 (Phishing)
  • T1573.001 (Canal Criptografado: Criptografia Simétrica)
  • T1620 (Carregamento de Código Reflexivo)
• Resumo da Lógica da Regra de Detecção: Detecta um comando do PowerShell que lança regsvr32.exe com uma janela oculta para carregar uma DLL da C:ProgramData diretório.
• Idioma/Formato da Regra de Detecção: Sigma (YAML)
• Ambiente de Segurança Alvo:
  • OS: Windows 10 / Windows Server 2019 (eventos de criação de processo)
  • Registro: Windows Sysmon (ID do Evento 1) e Log de Eventos de Segurança do Windows (ID do Evento 4688)
  • Pilha de Segurança: SIEM que ingere regras Sigma (ex., Azure Sentinel, Splunk, Elastic) com cobertura EDR (Microsoft Defender para Endpoint)
• Pontuação de Resiliência (1-5): 3
• Justificativa: A regra acopla firmemente regsvr32.exe a execução com um padrão específico de lançamento do PowerShell, que é eficaz contra a técnica exata descrita. No entanto, adversários podem evadir usando (1) mecanismos alternativos de carregamento (ex., rundll32, ou PowerShell -EncodedCommand), (2) renomear regsvr32.exe, ou (3) executar a DLL via carregamento reflexivo sem invocar regsvr32.Portanto, resiliência moderada.
• Principais Conclusões: A regra dispara de forma confiável quando o comando exato PowerShell-regsvr32 é executado; o uso benigno de regsvr32.exe sem o wrapper PowerShell não aciona o alerta.
• Recomendação: Aumentar a regra com padrões adicionais (ex., detecção de regsvr32.exe invocado diretamente, monitoramento de carregamentos de DLL de caminhos atípicos e detecção de comandos PowerShell codificados) para elevar a resiliência para 4-5.

Ambiente de Simulação & Contexto

• TTPs em Teste:

  • T1055.001: Injeção de Processo – Injeção de Biblioteca de Link Dinâmico (DLL maliciosa carregada via regsvr32.exe)
  • T1059.003: Interpretador de Comando e Script – Shell de Comando do Windows (PowerShell usado para ocultar execução)
  • T1027.009 / T1027.010 / T1027.013: Arquivos ou Informação Ofuscados (ofuscação de nome de DLL, janela oculta)

• Contexto & Relevância do TTP:

  • T1055.001: O atacante utiliza regsvr32.exe para carregar uma DLL maliciosa (mTSTCv8.mdxm) em um processo confiável, contornando listagem branca de aplicativos.
  • T1059.003: O PowerShell lança o regsvr32. comando com -windowstyle hidden para evitar a percepção do usuário e o monitoramento de interface de usuário do endpoint.
  • TTPs de Ofuscação: Uso de uma extensão de DLL não padrão (.mdxm) e janela oculta são técnicas clássicas de evasão que a regra tenta revelar.

• Ambiente Alvo:

  • OS: Windows 10 Enterprise (build 1909)
  • Registro: Sysmon configurado com conjunto de regras padrão (captura ProcessCreate, ImageLoaded) mais Log de Eventos de Segurança do Windows 4688 habilitado.
  • Pilha de Segurança: Azure Sentinel (espaço de trabalho do Log Analytics) ingerindo logs Sysmon/Windows; Microsoft Defender para Endpoint para alertas baseados em host.

Verificação de Telemetria & Base de Linhas Pré‑voo

Justificativa: Antes de simular o ataque, devemos confirmar que o host alvo está configurado para gerar os logs necessários, que estes logs são ingeridos pelo SIEM e que a regra de detecção não dispara em atividade benigna.

• 1. Instruções de Configuração de Telemetria:

  • Instalar Sysmon (v13 ou posterior) com o seguinte trecho de configuração (salvo como sysmon-config.xml):

    <Sysmon schemaversion="4.70">
      <EventFiltering>
        <ProcessCreate onmatch="include">
          <Image condition="is">regsvr32.exe</Image>
        </ProcessCreate>
      </EventFiltering>
    </Sysmon>

    Executar: sysmon -i -accepteula -c sysmon-config.xml

  • Verificar se a Auditoria de Segurança do Windows está habilitada para “Criação de Processo de Auditoria” (Política: Configuração do Computador → Configurações do Windows → Configurações de Segurança → Configuração Avançada de Política de Auditoria → Políticas de Auditoria do Sistema → Rastreamento Detalhado → Criação de Processo de Auditoria – configurado para Sucesso).

  • Garantir que o coletor de eventos encaminha o ID do Evento 4688 (Criação de Processo) e o ID do Evento Sysmon 1 para o Azure Sentinel através do agente do Log Analytics.

• 2. Validação de Ingestão & Base de Linhas:

  • Ação (Telemetria Benigna): Executar uma chamada legítima regsvr32. que não not envolva PowerShell ou janelas ocultas (ex., registrar uma DLL da Microsoft).

    # Registro benigno de uma DLL do Windows (sem janela oculta)
    regsvr32.exe /s C:WindowsSystem32shdocvw.dll

  • Consulta de Validação (Ingestão): No Azure Sentinel (KQL), confirmar que o evento benigno foi ingerido mas não not correspondeu à regra.

    // Verificar a ingestão da execução benigna do regsvr32
    Event
    | where SourceSystem == "Security" and EventID == 4688
    | where Process == "regsvr32.exe"
    | where CommandLine !contains "powershell.exe"
    | project TimeGenerated, Computer, Process, CommandLine, EventID

    O conjunto de resultados deve incluir o evento benigno, e o alerta da regra Sigma deve permanecer silencioso.

Execução de Simulação

Pré-requisito: A Verificação de Telemetria & Base de Linhas Pré‑voo deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e narrativas DEVEM refletir diretamente os TTPs identificados e têm como objetivo gerar a telemetria exata esperada pela lógica de detecção.

• Narrativa & Comandos do Ataque:
  O adversário obteve uma DLL customizada (mTSTCv8.mdxm) que contém um carregador reflexivo para um payload de segundo estágio. Para evitar execução interativa, o atacante cria um comando PowerShell de uma linha que executa regsvr32.exe com a /s flag silenciosa enquanto oculta o console PowerShell (-WindowStyle Hidden). A DLL reside em C:ProgramData para se misturar com dados legítimos de aplicativos. Etapas de execução:

  1. Copiar a DLL maliciosa para C:ProgramDatamTSTCv8.mdxm.
  2. Lançar PowerShell (oculto) que executa regsvr32.exe /s C:ProgramDatamTSTCv8.mdxm.
  3. O processo PowerShell oculto gera regsvr32.exe, que carrega a DLL em seu próprio espaço de processo, alcançando assim a execução de código com um binário confiável.

• Script de Teste de Regressão:

  # ==============================
  #  Teste de Regressão: Regsvr32 via PowerShell (DLL Maligna)
  # ==============================
  # 1. Implantar a DLL maligna (simulada com uma DLL conhecida e benigna por segurança)
  $dllPath = "C:ProgramDatamTSTCv8.mdxm"
  Copy-Item -Path "$env:SystemRootSystem32windows.storage.dll" -Destination $dllPath -Force
  
  # 2. Executar o lançamento do PowerShell escondido que a regra Sigma procura
  $psCommand = "powershell.exe -WindowStyle Hidden regsvr32.exe /s `"$dllPath`""
  Start-Process -FilePath "powershell.exe" -ArgumentList "-WindowStyle Hidden", "regsvr32.exe", "/s", "`"$dllPath`"" -NoNewWindow
  
  # Opcional: Esperar alguns segundos para que o processo apareça nos logs
  Start-Sleep -Seconds 5
  
  # 3. Emitir um evento de marcador para o console para validação do teste
  Write-Host "[*] Execução do Regsvr32 lançada via PowerShell oculto."

• Comandos de Limpeza:

  # Remover a DLL maligna simulada
  Remove-Item -Path "C:ProgramDatamTSTCv8.mdxm" -Force -ErrorAction SilentlyContinue
  
  # Fechar quaisquer processos regsvr32.exe remanescentes (se houver)
  Get-Process -Name regsvr32 -ErrorAction SilentlyContinue | Stop-Process -Force
  
  Write-Host "[*] Limpeza concluída."