SOC Prime Bias: Alto

01 Dez 2025 17:35
newspaper icon fieldeffectsoft

Play Ransomware Se Faz Passar pelo SentinelOne em Campanha de Reconhecimento Grixba

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Play Ransomware Se Faz Passar pelo SentinelOne em Campanha de Reconhecimento Grixba
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

O relatório delineia uma operação de ransomware Play que depende de um utilitário de reconhecimento .NET customizado chamado Grixba, implantado via RDP em um servidor Windows. Grixba se disfarça como um executável SentinelOne (GT_NET.exe) e armazena a saída de varredura em ExportData.db. A ferramenta se comunica com um endereço IP de VPN PIA e gera um data.zip protegido por senha. A identificação precoce desses artefatos pode interromper o ataque antes da fase de ransomware.

Análise do Ataque do Play Ransomware

A Field Effect MDR observou o binário Grixba sendo solto em C:UsersPublicMusic junto com data.dat, seguido pela execução de GT_NET.exe e extração da chave XOR para decodificar inf_g.dll. Análises adicionais expuseram switches de linha de comando para reconhecimento e a criação de ExportData.db, contendo detalhes extensivos do sistema. Os investigadores também recuperaram o elemento de senha codificada necessário para desbloquear data.zip.

Mitigação

As medidas recomendadas incluem manter backups confiáveis, aplicar patches em softwares rapidamente, usar firewalls DNS, impor o uso seguro de VPNs, aplicar MFA e usar plataformas MDR/XDR para capturar atividades de reconhecimento cedo. As equipes devem continuamente monitorar os artefatos e comportamentos de execução distintos associados ao Grixba.

Resposta

Quando GT_NET.exe, data.dat, inf_g.dll ou ExportData.db forem detectados, os respondedores devem isolar o endpoint, capturar evidências voláteis, derivar a senha ZIP do valor embutido e investigar movimentos laterais ou estágios do ransomware. Os manipuladores de incidentes também devem bloquear o endereço IP relacionado e revisar cuidadosamente os logs de acesso RDP.

graph TB %% Class Definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef data fill:#ccffcc %% Nodes initial_access[“<b>Ação</b> – <b>T1021.001 Serviços Remotos: RDP</b><br/>O adversário usa RDP para obter acesso inicial e deposita <b>GT_NET.exe</b> e <b>data.dat</b> em C:\\Users\\Public\\Music”] class initial_access action tool_gt_net[“<b>Malware</b> – <b>Nome</b>: GT_NET.exe<br/><b>Descrição</b>: Payload .NET personalizado depositado durante a sessão RDP”] class tool_gt_net malware execution_obfusc[“<b>Ação</b> – <b>T1027.007 Resolução Dinâmica de API</b><br/>Ferramenta .NET ofuscada utiliza codificação Base64 e XOR para ocultar a funcionalidade”] class execution_obfusc action discovery[“<b>Ação</b> – <b>T1016 Descoberta da Configuração de Rede do Sistema</b>, <b>T1018 Descoberta de Sistema Remoto</b>, <b>T1595.001 Varredura Ativa: Varredura de Blocos IP</b><br/>O Grixba escaneia a rede interna, enumera hosts, softwares e processos em execução”] class discovery action collection[“<b>Ação</b> – <b>T1560.001 Arquivar Dados Coletados: Arquivamento via Utilitário</b><br/>Os resultados coletados são gravados em ExportData.db e depois compactados em um data.zip protegido por senha”] class collection action credential_extraction[“<b>Ação</b> – <b>T1140 Desofuscar/Decodificar Arquivos ou Informações</b><br/>A chave XOR é decodificada para descriptografar data.dat e gerar a senha do arquivo zip”] class credential_extraction action preparation[“<b>Ação</b> – Preparação para a Próxima Etapa<br/>As informações obtidas são usadas para escalonamento de privilégios e exploração de vulnerabilidades”] class preparation action %% Connections initial_access –>|drops| tool_gt_net tool_gt_net –>|executes| execution_obfusc execution_obfusc –>|performs| discovery discovery –>|leads to| collection collection –>|produces| credential_extraction credential_extraction –>|enables| preparation

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Telemetria e Linha de Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

  • Narrativa do Ataque & Comandos:

    O adversário obteve uma primeira entrada em uma estação de trabalho comprometida. Para mapear a rede interna antes de um movimento lateral, eles baixaram o binário de reconhecimento Grixba (GT_NET.exe) do servidor de comando e controle e executaram com o conjunto de argumentos que a regra Sigma mira. O argumento escolhido -m:scanall -i:d força uma descoberta completa dos hosts associados ao domínio, enquanto -i:r e -i:f enumeram compartilhamentos remotos e compartilhamentos de arquivos, respectivamente. Esses argumentos são típicos da carga padrão da ferramenta e produzem cadeias distintas de linha de comando que a regra de detecção observa.

    Passos:

    1. Baixar a ferramenta (simulada com uma cópia de uma pasta de teste).
    2. Executar o binário com cada conjunto de argumentos direcionado para garantir que a regra dispare para cada caso.
    3. Deixar o processo rodando brevemente para permitir que o SIEM capture o evento.

  • Script de Teste de Regressão:

    # Script de Teste de Regressão – Execução da Ferramenta Grixba
# ----------------------------------------------------
# Suposições:
#   • GT_NET.exe está localizado em C:TempGT_NET.exe (substituir pelo caminho real)
#   • Executando com privilégios suficientes para invocar o binário
# ----------------------------------------------------

$exePath = "C:TempGT_NET.exe"

if (-Not (Test-Path $exePath)) {
    Write-Error "GT_NET.exe não encontrado em $exePath. Abortando."
    exit 1
}

# 1. Executar com -m:scanall -i:d
Write-Host "`n[+] Lançando GT_NET.exe com '-m:scanall -i:d' ..."
Start-Process -FilePath $exePath -ArgumentList "-m:scanall -i:d" -WindowStyle Hidden -PassThru | Out-Null
Start-Sleep -Seconds 5

# 2. Executar com -i:r
Write-Host "`n[+] Lançando GT_NET.exe com '-i:r' ..."
Start-Process -FilePath $exePath -ArgumentList "-i:r" -WindowStyle Hidden -PassThru | Out-Null
Start-Sleep -Seconds 5

# 3. Executar com -i:f
Write-Host "`n[+] Lançando GT_NET.exe com '-i:f' ..."
Start-Process -FilePath $exePath -ArgumentList "-i:f" -WindowStyle Hidden -PassThru | Out-Null
Start-Sleep -Seconds 5

Write-Host "`n[+] Execução completa. Verifique a detecção no SIEM."

  • Comandos de Limpeza:

    # Limpeza – terminar quaisquer processos GT_NET.exe persistentes e remover o binário
Get-Process -Name "GT_NET" -ErrorAction SilentlyContinue | Stop-Process -Force

$exePath = "C:TempGT_NET.exe"
if (Test-Path $exePath) {
    Remove-Item $exePath -Force
    Write-Host "[+] GT_NET.exe removido."
} else {
    Write-Host "[*] GT_NET.exe não presente; nada para deletar."
}

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Junte-se Gratuitamente