SOC Prime Bias: Alto

01 Dec 2025 14:35 UTC

Play Ransomware Se Faz Passar pelo SentinelOne em Campanha de Reconhecimento Grixba

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Play Ransomware Se Faz Passar pelo SentinelOne em Campanha de Reconhecimento Grixba
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O relatório delineia uma operação de ransomware Play que depende de um utilitário de reconhecimento .NET customizado chamado Grixba, implantado via RDP em um servidor Windows. Grixba se disfarça como um executável SentinelOne (GT_NET.exe) e armazena a saída de varredura em ExportData.db. A ferramenta se comunica com um endereço IP de VPN PIA e gera um data.zip protegido por senha. A identificação precoce desses artefatos pode interromper o ataque antes da fase de ransomware.

Análise do Ataque do Play Ransomware

A Field Effect MDR observou o binário Grixba sendo solto em C:UsersPublicMusic junto com data.dat, seguido pela execução de GT_NET.exe e extração da chave XOR para decodificar inf_g.dll. Análises adicionais expuseram switches de linha de comando para reconhecimento e a criação de ExportData.db, contendo detalhes extensivos do sistema. Os investigadores também recuperaram o elemento de senha codificada necessário para desbloquear data.zip.

Mitigação

As medidas recomendadas incluem manter backups confiáveis, aplicar patches em softwares rapidamente, usar firewalls DNS, impor o uso seguro de VPNs, aplicar MFA e usar plataformas MDR/XDR para capturar atividades de reconhecimento cedo. As equipes devem continuamente monitorar os artefatos e comportamentos de execução distintos associados ao Grixba.

Resposta

Quando GT_NET.exe, data.dat, inf_g.dll ou ExportData.db forem detectados, os respondedores devem isolar o endpoint, capturar evidências voláteis, derivar a senha ZIP do valor embutido e investigar movimentos laterais ou estágios do ransomware. Os manipuladores de incidentes também devem bloquear o endereço IP relacionado e revisar cuidadosamente os logs de acesso RDP.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Telemetria e Linha de Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

  • Narrativa do Ataque & Comandos:

    O adversário obteve uma primeira entrada em uma estação de trabalho comprometida. Para mapear a rede interna antes de um movimento lateral, eles baixaram o binário de reconhecimento Grixba (GT_NET.exe) do servidor de comando e controle e executaram com o conjunto de argumentos que a regra Sigma mira. O argumento escolhido -m:scanall -i:d força uma descoberta completa dos hosts associados ao domínio, enquanto -i:r e -i:f enumeram compartilhamentos remotos e compartilhamentos de arquivos, respectivamente. Esses argumentos são típicos da carga padrão da ferramenta e produzem cadeias distintas de linha de comando que a regra de detecção observa.

    Passos:

    1. Baixar a ferramenta (simulada com uma cópia de uma pasta de teste).
    2. Executar o binário com cada conjunto de argumentos direcionado para garantir que a regra dispare para cada caso.
    3. Deixar o processo rodando brevemente para permitir que o SIEM capture o evento.
  • Script de Teste de Regressão:

    # Script de Teste de Regressão – Execução da Ferramenta Grixba
    # ----------------------------------------------------
    # Suposições:
    #   • GT_NET.exe está localizado em C:TempGT_NET.exe (substituir pelo caminho real)
    #   • Executando com privilégios suficientes para invocar o binário
    # ----------------------------------------------------
    
    $exePath = "C:TempGT_NET.exe"
    
    if (-Not (Test-Path $exePath)) {
        Write-Error "GT_NET.exe não encontrado em $exePath. Abortando."
        exit 1
    }
    
    # 1. Executar com -m:scanall -i:d
    Write-Host "`n[+] Lançando GT_NET.exe com '-m:scanall -i:d' ..."
    Start-Process -FilePath $exePath -ArgumentList "-m:scanall -i:d" -WindowStyle Hidden -PassThru | Out-Null
    Start-Sleep -Seconds 5
    
    # 2. Executar com -i:r
    Write-Host "`n[+] Lançando GT_NET.exe com '-i:r' ..."
    Start-Process -FilePath $exePath -ArgumentList "-i:r" -WindowStyle Hidden -PassThru | Out-Null
    Start-Sleep -Seconds 5
    
    # 3. Executar com -i:f
    Write-Host "`n[+] Lançando GT_NET.exe com '-i:f' ..."
    Start-Process -FilePath $exePath -ArgumentList "-i:f" -WindowStyle Hidden -PassThru | Out-Null
    Start-Sleep -Seconds 5
    
    Write-Host "`n[+] Execução completa. Verifique a detecção no SIEM."
  • Comandos de Limpeza:

    # Limpeza – terminar quaisquer processos GT_NET.exe persistentes e remover o binário
    Get-Process -Name "GT_NET" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    $exePath = "C:TempGT_NET.exe"
    if (Test-Path $exePath) {
        Remove-Item $exePath -Force
        Write-Host "[+] GT_NET.exe removido."
    } else {
        Write-Host "[*] GT_NET.exe não presente; nada para deletar."
    }