Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um instalador trojanizado posando como o LINE setup do mensageiro foi observado entregando um ValleyRAT payload. Construído com NSIS e assinado com um certificado suspeito, o dropper planta múltiplos componentes DLL e INI que suportam a injeção de código and persistência. O malware então se comunica com dois servidores C2 hospedados em Hong Kong para buscar binários maliciosos adicionais. A atividade parece ter como alvo usuários de língua chinesa e emprega tecnicas avançadas, incluindo Variante 7 do PoolParty injeção de processo.
Investigação
Analistas da Cybereason conduziram análises estática e dinâmica do falso instalador LINE e confirmaram o uso de PowerShell, rundll32, e carregadores DLL personalizados. A cadeia criou artefatos em %AppData% and %LocalAppData%, estabeleceu sincronização via mutexes, e registrou persistência através de tarefas agendadas criadas via RPC. O comportamento pós-instalação incluiu a injeção em explorer.exe and UserAccountBroker.exe, consistente com um fluxo de trabalho de acesso remoto focado em furtividade. A telemetria de rede identificou dois endereços IP C2 em Hong Kong usados para a recuperação de comandos e preparação de payloads. Atribuição foi avaliada como consistente com atividade Silver Fox e mostrou sobreposição de código com SADBRIDGE.
Mitigação
Procure pelo falso instalador empacotado por NSIS e alerte sobre a impressão digital de certificado suspeito associada à cadeia de assinatura. Monitore a criação do conjunto de arquivos descartados pelo instalador, modificações relacionadas no registro, e tentativas de adicionar exclusões do Windows Defender. Bloqueie a conectividade de saída para os IPs C2 identificados e aplique controles de assinatura de código que rejeitem certificados inválidos ou não confiáveis. Adicione detecções de EDR para padrões de injeção em estilo Variante 7 do PoolPartye para sequências de criação de tarefas agendadas consistentes com persistência baseada em RPC.
Resposta
Se atividade suspeita for detectada, isole o endpoint, termine os processos maliciosos, e remova o falso instalador e todos os artefatos descartados. Realize uma varredura completa para módulos adicionais, restaure as configurações do Defender (incluindo remoção de exclusões não autorizadas), e delete as tarefas agendadas criadas pelo invasor. Revise atividades recentes de usuário e host por sinais de movimento lateral, em seguida, escale para resposta a incidentes para captura de memória e coleta forense mais profunda. ValleyRAT modules, restore Defender settings (including removal of unauthorized exclusions), and delete attacker-created scheduled tasks. Review recent user and host activity for signs of lateral movement, then escalate to incident response for memory capture and deeper forensic collection.
graph TB %% Definições de classe classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ff9999 classDef malware fill:#ccffcc classDef network fill:#dddddd %% Nós tech_user_exec[“<b>Técnica</b> – <b>T1204 Execução pelo usuário</b><br/><b>Descrição</b>: A vítima executa um instalador falso malicioso (LineInstaller.exe) disfarçado de instalador legítimo do LINE.”] class tech_user_exec technique tech_masquerade[“<b>Técnica</b> – <b>T1036 Mascaramento</b><br/><b>Descrição</b>: O instalador imita o nome de software legítimo e usa um certificado de assinatura de código com aparência válida.”] class tech_masquerade technique tech_event_exec[“<b>Técnica</b> – <b>T1546.016 Execução acionada por evento: Pacotes de instalador</b><br/><b>Descrição</b>: Instalador baseado em NSIS executa com privilégios elevados via UAC.”] class tech_event_exec technique tech_powershell[“<b>Técnica</b> – <b>T1059.001 PowerShell</b><br/><b>Descrição</b>: PowerShell adiciona caminhos de exclusão ao Windows Defender e prepara scripts de persistência.”] class tech_powershell technique tech_regsvr32[“<b>Técnica</b> – <b>T1218.010 Execução proxy Regsvr32</b><br/><b>Descrição</b>: Tarefa agendada invoca regsvr32.exe para acionar DllRegisterServer em intel.dll.”] class tech_regsvr32 technique tech_rundll32[“<b>Técnica</b> – <b>T1218.011 Execução proxy Rundll32</b><br/><b>Descrição</b>: rundll32.exe lança DllRegisterServer do intel.dll.”] class tech_rundll32 technique tech_sched_task[“<b>Técnica</b> – <b>T1053 Tarefa agendada</b><br/><b>Descrição</b>: Tarefas agendadas maliciosas criadas via chamadas RPC ao serviço de Agendador de Tarefas.”] class tech_sched_task technique tech_sandbox_evasion[“<b>Técnica</b> – <b>T1497.002 Evasão de virtualização/sandbox</b><br/><b>Descrição</b>: intel.dll verifica locks de arquivos e mutexes para detectar ambientes sandbox.”] class tech_sandbox_evasion technique tech_pe_injection[“<b>Técnica</b> – <b>T1055.002 Injeção de processo: Injeção de Executável Portável</b><br/><b>Descrição</b>: intel.dll e sangee.ini injetam shellcode no Explorer.exe usando PoolParty Variant 7.”] class tech_pe_injection technique tech_apc_injection[“<b>Técnica</b> – <b>T1055.004 Injeção de processo: Chamada de Procedimento Assíncrona</b><br/><b>Descrição</b>: A injeção utiliza ZwSetIoCompletion com handle de I/O Completion Port.”] class tech_apc_injection technique tech_exploit_defense[“<b>Técnica</b> – <b>T1211 Exploração para Evasão de Defesa</b><br/><b>Descrição</b>: Malware chama SetTcpEntry para deletar conexões TCP de componentes de segurança.”] class tech_exploit_defense technique tech_obfuscation[“<b>Técnica</b> – <b>T1027.005 Arquivos Ofuscados: Remoção de Indicadores</b><br/><b>Descrição</b>: Checagens anti-sandbox e anti-análise ocultam artefatos e previnem execução em ambientes de análise.”] class tech_obfuscation technique tech_web_service[“<b>Técnica</b> – <b>T1102 Serviço Web</b><br/><b>Descrição</b>: Payload final ValleyRat recuperado de servidores C2 remotos via TCP padrão.”] class tech_web_service technique file_lineinstaller[“<b>Arquivo</b> – <b>Nome</b>: LineInstaller.exe<br/><b>Tipo</b>: Instalador NSIS”] class file_lineinstaller file file_inteldll[“<b>Arquivo</b> – <b>Nome</b>: intel.dll<br/><b>Tipo</b>: DLL usada para execução proxy e injeção”] class file_inteldll file file_sangee[“<b>Arquivo</b> – <b>Nome</b>: sangee.ini<br/><b>Propósito</b>: Configuração de rotinas de injeção”] class file_sangee file file_policyxml[“<b>Arquivo</b> – <b>Nome</b>: policyManagement.xml<br/><b>Propósito</b>: Define detalhes da tarefa agendada”] class file_policyxml file file_updatedps1[“<b>Arquivo</b> – <b>Nome</b>: updated.ps1<br/><b>Propósito</b>: Script de persistência PowerShell”] class file_updatedps1 file malware_valleyrat[“<b>Malware</b> – <b>Nome</b>: ValleyRat<br/><b>Função</b>: Payload final entregue à vítima”] class malware_valleyrat malware process_regsvr32[“<b>Processo</b> – <b>Nome</b>: regsvr32.exe”] class process_regsvr32 process process_rundll32[“<b>Processo</b> – <b>Nome</b>: rundll32.exe”] class process_rundll32 process process_explorer[“<b>Processo</b> – <b>Nome</b>: Explorer.exe”] class process_explorer process network_c2[“<b>Rede</b> – <b>Servidores C2</b>: 143.92.38.217:18852, 206.238.221.165:443”] class network_c2 network %% Conexões tech_user_exec –>|inicia| file_lineinstaller file_lineinstaller –>|aciona| tech_masquerade tech_masquerade –>|habilita| tech_event_exec tech_event_exec –>|eleva para| process_regsvr32 process_regsvr32 –>|chama| file_inteldll file_inteldll –>|registrado via| tech_regsvr32 tech_regsvr32 –>|também usa| process_rundll32 process_rundll32 –>|carrega| file_inteldll tech_rundll32 –>|também carrega| file_inteldll file_inteldll –>|cria| tech_sched_task tech_sched_task –>|cria tarefa usando| file_policyxml tech_sched_task –>|executa| file_updatedps1 file_updatedps1 –>|executa comandos PowerShell para| tech_powershell tech_powershell –>|adiciona exclusões e prepara| tech_sandbox_evasion tech_sandbox_evasion –>|verifica ambiente antes de| tech_pe_injection tech_pe_injection –>|injeta em| process_explorer tech_pe_injection –>|usa| tech_apc_injection tech_apc_injection –>|aproveita| tech_exploit_defense tech_exploit_defense –>|interrompe ferramentas de segurança| file_sangee tech_obfuscation –>|oculta artefatos para| malware_valleyrat malware_valleyrat –>|recuperado de| network_c2 network_c2 –>|entrega payload via| tech_web_service tech_web_service –>|entrega final para| process_explorer
Fluxo de Ataque
Detecções
Possível Criação de Tarefa Agendada (via powershell)
Visualizar
Tarefa Agendada Suspeita (via auditoria)
Visualizar
Execução de Caminho Suspeito de Rundll32 Dll (via criação de processo)
Visualizar
Alterações Suspeitas nas Preferências do Windows Defender (via powershell)
Visualizar
LOLBAS Regsvr32 (via linha de comando)
Visualizar
IOCs (DestinationIP) para detectar: Falso Instalador: Infecção ValleyRAT
Visualizar
IOCs (HashSha1) para detectar: Falso Instalador: Infecção ValleyRAT
Visualizar
IOCs (SourceIP) para detectar: Falso Instalador: Infecção ValleyRAT
Visualizar
Detecção de Falso Instalador Usando Exclusões do Windows Defender e Tarefas Agendadas [Windows Powershell]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
Um invasor que já comprometeu uma conta de baixa privilégio deseja preparar um payload no host comprometido enquanto evita escaneamento antivírus. O invasor:- Usa PowerShell para adicionar uma exclusão do Windows Defender que cobre todo o C: drive, garantindo que quaisquer binários maliciosos colocados lá estejam invisíveis para o Defender.
- Na mesma invocação do PowerShell, registra uma tarefa agendada que lançará o payload oculto ( ) toda vez que um processo legítimo específico (ex.:
) iniciar, fornecendo persistência.Como ambas as ações estão combinadas em um único comando de linha, a telemetria corresponde àexplorer.exeregra Sigma - Because both actions are combined into a single command line, the telemetry matches the Sigma rule’s
seleção1 e seleção2condição, causando um alerta.
-
Script de Teste de Regressão:
# ------------------------------------------------- # Simulação de Falso Instalador – Aciona Regra Sigma # ------------------------------------------------- # 1. Defina caminho de exclusão (todo o drive C:) $exclusion = "C:" # 2. Defina detalhes da tarefa agendada $taskName = "UpdateScheduler" $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1" $trigger = New-ScheduledTaskTrigger -AtLogOn # 3. Combine ambos os comandos em uma única linha de comando do PowerShell $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force" # 4. Invoque o comando combinado Invoke-Expression $combined -
Comandos de Limpeza:
# ------------------------------------------------- # Limpeza – Remova exclusão e tarefa agendada # ------------------------------------------------- # Remova a exclusão do Defender para C: Remove-MpPreference -ExclusionPath "C:" # Delete a tarefa agendada Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false