Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Essa ameaça se concentra em uma cadeia de carregadores multistágio altamente sofisticada disfarçada como software legítimo da Panasonic. O malware usa o Alibaba OSS para entregar cargas e conta com portadores criptografados baseados em imagem que usam um formato distinto de trailer EOF de cinco bytes. Sua fase final implanta o backdoor Sauron, que mantém a persistência por meio da criação de serviços e alterações específicas no registro.
Investigação
Analistas conduziram tanto análise estática quanto dinâmica e descobriram uma sequência de operações de carregamento lateral envolvendo binários rotulados como software Tencent e Philips. A investigação expôs uma rotina de descriptografia em camadas usando XOR incremental e RC4, juntamente com a criação de tarefas agendadas por mecanismos RPC. A forense de memória e a telemetria sandbox ajudaram a reconstruir o caminho completo de execução, desde o wrapper temático da Panasonic inicial até o backdoor final Sauron.
Mitigação
As organizações devem monitorar a criação de tarefas agendadas não autorizadas baseadas em RPC e a criação suspeita de tarefas agendadas através de NdrClientCall3. Listas de permissões fortes de aplicativos podem ajudar a bloquear a execução de DLLs carregadas lateralmente não aprovadas. Os defensores também devem monitorar a exclusão inesperada de cópias de sombra de volume e modificações suspeitas no registro sob HKCUSOFTWARE.
Resposta
Se essa atividade for detectada, isole imediatamente os sistemas afetados para interromper o movimento lateral adicional ou a comunicação de comando e controle. Conduza uma análise de memória para identificar os módulos injetados e determine o estágio atual da cadeia de carregadores. Os registros da rede também devem ser revisados para tráfego para a infraestrutura do Alibaba OSS e os endereços IP de comando e controle conhecidos identificados durante a triagem.
graph TB %% Class Definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef evasion fill:#ccffcc classDef persistence fill:#ffff99 %% Node Definitions %% Initial Access and Execution exec_user_malicious[“<b>Ação</b> – <b id=’T1204.002’>Execução do Usuário: Arquivo Malicioso</b><br/><b>Arquivo</b>: ainstaller-86533005.exe<br/><b>Descrição</b>: Usuário executa executável trojanizado<br/>disfarçado como software de Notificação PC Panasonic.”] class exec_user_malicious action %% Obfuscation and Masquerading obf_files[“<b id=’T1027’>Arquivos ou Informações Ofuscados</b><br/><b>Técnica</b>: Buffers em camadas múltiplas<br/><b>Mecanismo</b>: Decodificação customizada XOR/RC4<br/><b>Extração</b>: Trailer EOF de cinco bytes de portadores de imagem.”] class obf_files malware mask_file_type[“<b id=’T1036.008’>Mascaramento: Tipo de Arquivo Mascarado</b><br/><b>Descrição</b>: Usando extensões de imagem (gif, jpg, png, db)<br/>para ocultar cargas criptografadas.”] class mask_file_type evasion %% Proxy Execution proxy_sys_bin[“<b id=’T1218’>Execução de Proxy de Binário do Sistema</b><br/><b>Alvo 1</b>: Tencent UxEnhanceHost carregando UxEnhance64.dll<br/><b>Alvo 2</b>: Philips/Speech Processing Solutions carregando XPSPLOG.dll”] class proxy_sys_bin action %% Persistence persist_sched_task[“<b id=’T1053.005’>Tarefa/Trabalho Agendado: Tarefa Agendada</b><br/><b>Módulo</b>: VirtuOne<br/><b>Mecanismo</b>: Chamadas RPC para o Agendador de Tarefas via \pipeatsvc<br/><b>Objetivo</b>: Criar tarefas ocultas recorrentes.”] class persist_sched_task persistence %% Defense Evasion evade_def_impair[“<b id=’T1685’>Impairment de Defesa</b><br/><b>Ação</b>: Patch ntdll.dll!NtTraceEvent”] class evade_def_impair evasion evade_selective_excl[“<b id=’T1679’>Exclusão Seletiva</b><br/><b>Ferramenta</b>: PowerShell<br/><b>Comando</b>: Add-MpPreference -ExclusionPath<br/><b>Objetivo</b>: Adicionar exclusões no Windows Defender.”] class evade_selective_excl evasion %% Final Stage proxy_rundll32[“<b id=’T1218.011’>Execução de Proxy de Binário do Sistema: Rundll32</b><br/><b>Arquivo</b>: rundll32.dat<br/><b>Exportação</b>: Edge<br/><b>Ação</b>: Instala e inicia serviço malicioso.”] class proxy_rundll32 action malware_sauron[“<b id=’Malware’>Malware: Sauron</b><br/><b>Tipo</b>: Serviço Malicioso<br/><b>Capacidade</b>: Backdoor persistente e lançamento de comandos.”] class malware_sauron malware %% Connections %% Flow of execution exec_user_malicious –>|triggers| obf_files obf_files –>|utiliza| mask_file_type mask_file_type –>|leads_to| proxy_sys_bin proxy_sys_bin –>|habilita| persist_sched_task persist_sched_task –>|facilita| evade_def_impair persist_sched_task –>|facilita| evade_selective_excl evade_def_impair –>|prepara ambiente para| proxy_rundll32 evade_selective_excl –>|prepara ambiente para| proxy_rundll32 proxy_rundll32 –>|instala| malware_sauron
Fluxo de Ataque
Detecções
Execução de Processos do Sistema a partir de Caminhos Atípicos (via criação_de_processo)
Ver
Execução Suspeita do Perfil de Usuário Público (via criação_de_processo)
Ver
Atividade Suspeita de VSSADMIN (via linha_de_comando)
Ver
Alterações Suspeitas nas Preferências do Windows Defender (via powershell)
Ver
Arquivos Suspeitos no Perfil de Usuário Público (via evento_de_arquivo)
Ver
Detecção de Indicadores de Rede da Cadeia de Carregador Estilo SilverFox [Conexão de Rede do Windows]
Ver
Detecção da Cadeia de Carregador Estilo SilverFox usando Executável Trojanizado da Panasonic [Criação de Processo do Windows]
Ver
Execução da Simulação
Pré-requisito: O Check-up de Telemetria & Linha de Base deve ter sido aprovado.
Racional: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa de Ataque & Comandos: O adversário busca baixar uma carga de segunda etapa usando um serviço legítimo de armazenamento em nuvem para se misturar com o tráfego normal. O atacante usa uma linha única de PowerShell para simular um carregador fazendo uma solicitação a uma URL conhecida do SilverFox Alibaba OSS:
https://jun616.oss-cn-beijing.aliyuncs.com/tad/payload.exe. Esta ação visa contornar filtros de domínio simples aproveitando a reputação dealiyuncs.comenquanto usa o caminho malicioso específico definido na regra de detecção. -
Script de Teste de Regressão:
# Simulação do Indicador de Rede do Carregador SilverFox # Este script tenta se conectar à URL específica monitorada pela regra Sigma. $targetUrl = "https://jun616.oss-cn-beijing.aliyuncs.com/tad/test_file.txt" Write-Host "[!] Simulando conexão de rede SilverFox para: $targetUrl" try { # Usando Invoke-WebRequest para gerar telemetria padrão de proxy HTTP $response = Invoke-WebRequest -Uri $targetUrl -Method Get -UseBasicParsing Write-Host "[+] Solicitação concluída. Código de Status: $($response.StatusCode)" } catch { # Esperamos um erro 404 ou de conexão se a URL realmente não hospedar um arquivo, # mas o log do proxy ainda registrará a tentativa. Write-Host "[-] Solicitação tentada. Verifique os logs do proxy para a tentativa de conexão." } -
Comandos de Limpeza:
# Nenhuma alteração persistente feita por esta simulação; nenhuma limpeza necessária. Write-Host "[*] Limpeza da simulação concluída."