Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma campanha observada em abril de 2026 utilizou e-mails de spear-phishing com arquivos LNK maliciosos ou downloads executáveis hospedados no Google Cloud Storage. A carga útil entregue instalou um driver de kernel chamado PoisonX juntamente com um RAT modular chamado 10FXRAT, permitindo que os atacantes ganhassem privilégios de nível de kernel, desativassem ferramentas de segurança e ocultassem atividades maliciosas. Variantes posteriores também adotaram táticas BYOVD através de drivers legítimos assinados como EneIo64.sys and procexp.sys. A atividade tem sido observada visando organizações no Japão e na China.
Investigação
O relatório percorre toda a cadeia de execução, começando com um downloader baseado em LNK que invoca curl.exe, depois passando para os componentes PXDropper que implementam o driver PoisonX e os módulos 10FXRAT. Ele também descreve as rotinas IOCTL baseadas em driver usadas para terminar processos relacionados à segurança e ocultar o tráfego de rede. Os pesquisadores documentaram verificações anti-análise, modificações de registro, criação de serviços e métodos de persistência, além de listar endereços IP de comando e controle codificados no programa associados à operação.
Mitigação
Os defensores devem monitorar atividades inesperadas de instalação de drivers, especialmente drivers que não são assinados ou são assinados de forma suspeita, e para criação de serviços com nomes de arquivos estilo HID randomizados. A detecção também deve cobrir mudanças no registro que adicionam exclusões do Microsoft Defender ou desativam serviços do Defender. O tráfego de saída para os intervalos de IP de comando e controle identificados deve ser bloqueado, e o monitoramento de rede deve procurar pelo valor mágico 0x58463031 em cargas úteis de TCP.
Resposta
Se esta atividade for detectada, isole o endpoint afetado imediatamente, descarregue o driver PoisonX quando possível, e termine todos os processos 10FXRAT. Restaure as configurações de registro alteradas, reative as proteções do Microsoft Defender e substitua arquivos modificados por versões limpas de fontes confiáveis. Uma investigação forense completa deve então ser realizada para identificar mecanismos de persistência e revisar o tráfego para os servidores de comando e controle conhecidos.
"graph TB %% Definições de classe classDef action fill:#ffcc99 classDef tool fill:#99ff99 classDef malware fill:#ff9966 classDef process fill:#ccccff %% Nós email["<b>Ferramenta</b> – <b>Nome</b>: Phishing Email<br/><b>Descrição</b>: Email direcionado com link malicioso de Armazenamento em Nuvem do Google"] class email tool initial_access_phishing["<b>Ação</b> – <b>T1566.002 Link de Spearphishing</b><br/>O atacante envia email contendo um link para um arquivo LNK ou EXE malicioso"] class initial_access_phishing action lNK_file["<b>Ferramenta</b> – <b>Nome</b>: Atalho LNK Malicioso<br/><b>Descrição</b>: Atalho que executa curl.exe para buscar o instalador"] class lNK_file tool curl_download["<b>Processo</b> – <b>Nome</b>: curl.exe<br/><b>Ação</b>: Faz download da carga PXDropper do servidor remoto"] class curl_download process pxdropper["<b>Malware</b> – <b>Nome</b>: PXDropper<br/><b>Descrição</b>: Instalador que estabelece persistência e prepara a escalada de privilégios"] class pxdropper malware persistence_service["<b>Ação</b> – <b>T1547.009 Modificação de Atalho</b><br/>Cria ou modifica um atalho para conseguir autostart"] class persistence_service action registry_run["<b>Ação</b> – <b>T1547.001 Chaves de Execução do Registro/Pasta de Inicialização</b><br/>Adiciona uma entrada de execução no registro para execução automática"] class registry_run action service_creation["<b>Ação</b> – <b>T1543.003 Criar ou Modificar Processo do Sistema: Serviço do Windows</b><br/>Instala um serviço do Windows para executar o instalador na inicialização"] class service_creation action priv_esc_exploit["<b>Ação</b> – <b>T1068 Exploração para Escalada de Privilégio</b><br/>Explora uma vulnerabilidade para carregar um driver assinado"] class priv_esc_exploit action driver_install["<b>Malware</b> – <b>Nome</b>: Driver PoisonX<br/><b>Descrição</b>: Driver de kernel assinado carregado como um serviço (BYOVD)"] class driver_install malware kernel_privilege["<b>Ação</b> – <b>T1547.006 Execução de Autostart na Inicialização ou Logon</b><br/>Driver de kernel concede privilégios de nível SYSTEM"] class kernel_privilege action defense_evasion["<b>Ação</b> – <b>T1497.001 Evasão de Virtualização/Sandbox</b><br/>Realiza verificações para ambientes de análise"] class defense_evasion action rootkit["<b>Ação</b> – <b>T1014 Rootkit</b><br/>Hooks em APIs do kernel para ocultar processos e tráfego de rede"] class rootkit action discovery_process["<b>Ação</b> – <b>T1057 Descoberta de Processos</b><br/>Enumera processos em execução no host"] class discovery_process action discovery_security["<b>Ação</b> – <b>T1518.001 Descoberta de Software de Segurança</b><br/>Detecta produtos de segurança instalados"] class discovery_security action defense_impair["<b>Ação</b> – <b>Impairment de Defesa</b><br/>Utiliza comandos IOCTL de driver para terminar processos de produtos de segurança"] class defense_impair action c2_ratat["<b>Malware</b> – <b>Nome</b>: 10FXRAT<br/><b>Descrição</b>: Ferramenta de acesso remoto que cria um proxy SOCKS5 interno"] class c2_ratat malware c2_communication["<b>Ação</b> – <b>T1219 Ferramentas de Acesso Remoto</b><br/>Estabelece canal C2 criptografado com o atacante"] class c2_communication action proxy_setup["<b>Ação</b> – <b>T1090 Proxy</b><br/>Configura túnel SOCKS5 interno para encaminhamento de tráfego"] class proxy_setup action additional_mods["<b>Ação</b> – <b>Capacidades Adicionais</b><br/>Plugins modulares fornecem keylogging, roubo de credenciais e coleta de carteiras de criptomoedas"] class additional_mods action %% Conexões mostrando o fluxo de ataque email –>|entrega| initial_access_phishing initial_access_phishing –>|fornece| lNK_file lNK_file –>|executa| curl_download curl_download –>|faz download| pxdropper pxdropper –>|cria| persistence_service persistence_service –>|registra| service_creation service_creation –>|executa| pxdropper pxdropper –>|adiciona| registry_run pxdropper –>|utiliza| priv_esc_exploit priv_esc_exploit –>|instala| driver_install driver_install –>|concede| kernel_privilege kernel_privilege –>|ativa| rootkit rootkit –>|realiza| defense_evasion rootkit –>|realiza| discovery_process rootkit –>|realiza| discovery_security discovery_process –>|ativa| defense_impair pxdropper –>|descarta| c2_ratat c2_ratat –>|utiliza| c2_communication c2_communication –>|estabelece| proxy_setup proxy_setup –>|suporta| additional_mods "
Fluxo de Ataque
Detecções
Uso Suspeito de CURL (via cmdline)
Ver
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via registry_event)
Ver
Desativando Proteções do Windows Defender (via registry_event)
Ver
Possível Arquivo LNK Malicioso com Extensão Dupla (via cmdline)
Ver
Possibilidade de Execução por Meio de Linhas de Comando PowerShell Ocultas (via cmdline)
Ver
Chamar Classes/Métodos .NET Suspeitos de Powershell CommandLine (via process_creation)
Ver
Execução de Processos do Sistema a Partir de Caminhos Não Típicos (via process_creation)
Ver
Chamar Métodos .NET Suspeitos de Powershell (via powershell)
Ver
Alterações Suspeitas nas Preferências do Windows Defender (via powershell)
Ver
Domínio de Armazenamento da Google Api Foi Resolvido Por Processo Incomum (via dns_query)
Ver
IOCs (HashSha256) para detectar: Campanha de Ataque Baseada em Driver PoisonX Alvejando Organizações Japonesas Parte 2
Ver
IOCs (HashSha256) para detectar: Campanha de Ataque Baseada em Driver PoisonX Alvejando Organizações Japonesas Parte 1
Ver
IOCs (SourceIP) para detectar: Campanha de Ataque Baseada em Driver PoisonX Alvejando Organizações Japonesas
Ver
IOCs (DestinationIP) para detectar: Campanha de Ataque Baseada em Driver PoisonX Alvejando Organizações Japonesas
Ver
Detecção de Comunicação de C2 10FXRAT [Conexão de Rede Windows]
Ver
Detecção de Comandos de Desativação de 10FXRAT e Serviços de Segurança [Criação de Processo do Windows]
Ver
Persistência de Malware via Modificações no Windows Defender e Chave de Execução [Evento de Registro do Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação Prévia do Telemetria & Baseline deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e narrativas DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos de Ataque:
O atacante primeiro injeta uma carga útil de shellcode personalizada emusoclient64.exepara obter um ponto de apoio de processo confiável (T1574.009). Com o processo sequestrado, eles executam um one-liner do PowerShell que adiciona a pasta de carga útil maliciosa à lista de exclusão do Windows Defender (T1564.012). Finalmente, eles desativam serviços de segurança principais usando uma chamada encadeadacmd.exeque para o Windows Defender, o Windows Security Center e qualquer AV de terceiros (T1547.001 persistência via interrupção de serviço).- Hollowing/Injeção de Processo – simular lançando
usoclient64.execom um script PowerShell que permanece inativo (representa código injetado). - Adicionar Exclusão do Defender – comando PowerShell que corresponde exatamente à string da regra.
- Parar Serviços de Segurança –
cmd.exeone-liner que para os serviços.
- Hollowing/Injeção de Processo – simular lançando
-
Script de Teste de Regressão:
# ------------------------------------------------------------------------- # Script de Simulação – aciona a regra Sigma para comportamento semelhante ao 10FXRAT # ------------------------------------------------------------------------- # 1. Simular injeção de usoclient64.exe (hollowing de processo como placeholder) $usoclient = "$env:SystemRootSystem32usoclient64.exe" Write-Host "[*] Iniciando usoclient64.exe (injeção simulada)..." Start-Process -FilePath $usoclient -ArgumentList "/RunDll32" -WindowStyle Hidden # 2. Comando PowerShell que adiciona uma exclusão do Defender (corresponde à regra) Write-Host "[*] Adicionando caminho de exclusão do Windows Defender..." powershell.exe -NoP -NonI -W Hidden -C "Add-MpPreference -ExclusionPath 'C:TempMalicious'" # 3. Desativar serviços de segurança via cmd (corresponde à regra) Write-Host "[*] Parando serviços de segurança..." cmd.exe /c "net stop WinDefend /y >nul 2>&1 & net stop wscsvc /y >nul 2>&1 & net stop Sense /y >nul 2>&1" Write-Host "[+] Simulação completa. Verifique alertas no SIEM." -
Comandos de Limpeza:
# ------------------------------------------------------------------------- # Limpeza – restaura a postura normal de segurança # ------------------------------------------------------------------------- # Remove a exclusão do Defender powershell.exe -NoP -NonI -W Hidden -C "Remove-MpPreference -ExclusionPath 'C:TempMalicious'" # Reinicia serviços parados cmd.exe /c "net start WinDefend >nul 2>&1 & net start wscsvc >nul 2>&1 & net start Sense >nul 2>&1" # Opcionalmente, mate a instância injetada de usoclient64.exe Get-Process -Name usoclient64 -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "[+] Limpeza concluída."