Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um aplicativo potencialmente indesejado assinado pela Dragon Boss Solutions abusou de um fluxo de atualização legítimo para silenciosamente baixar e executar cargas de MSI e PowerShell que desativaram proteções antivírus e estabeleceram persistência por meio de assinaturas de eventos WMI e tarefas agendadas. Como o atualizador se comunicava com domínios não registrados que poderiam ser reivindicados por qualquer pessoa, o software efetivamente criou uma oportunidade de cadeia de suprimentos para entrega de código arbitrário. Os pesquisadores observaram mais de 25.000 endpoints acessando esta infraestrutura, incluindo sistemas em vários setores de alto valor.
Investigação
A Huntress descobriu artefatos de persistência baseados em WMI e um aumento na criação de tarefas agendadas, depois rastrearam a atividade de volta a um executável assinado chamado RaceCarTwo.exe que lançou um instalador MSI. O instalador extraiu um script PowerShell chamado ClockRemoval.ps1, que terminou processos antivírus, bloqueou o acesso a domínios de atualização AV, adicionou exclusões do Microsoft Defender e reinstalou a si mesmo repetidamente para manter a presença. Os investigadores também descobriram que domínios não registrados, incluindo chromsterabrowser.com, estavam sendo usados como a principal fonte de atualização, o que significa que qualquer parte externa poderia registrar esses domínios e entregar suas próprias cargas.
Mitigação
Para interromper novos abusos, a equipe de pesquisa registrou os domínios expostos e os redirecionou, efetivamente cortando o caminho da atualização maliciosa. Eles também documentaram as assinaturas de eventos WMI relacionadas, as tarefas agendadas e as alterações de registro para que os defensores pudessem identificar e remover componentes afetados. As organizações devem bloquear os domínios conhecidos e monitorar os nomes de tarefas específicos e a atividade do consumidor WMI associada a esta campanha para reduzir o risco de comprometimento contínuo.
Resposta
As equipes de segurança devem detectar a criação de tarefas agendadas como ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogon, e RemoveClockPeriodic. Alertas também devem ser acionados em assinaturas de eventos WMI contendo MbRemoval or MbSetup. Os defensores devem monitorar executáveis assinados pela Dragon Boss Solutions, procurar pela presença de ClockRemoval.ps1 em diretórios WMILoad, revisar arquivos de hosts quanto a entradas que bloqueiam domínios de fornecedores de antivírus e investigar exclusões inesperadas do Windows Defender em sistemas impactados.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffeb99 classDef file fill:#c0ffc0 classDef technique fill:#dddddd %% Technique nodes tech_t1210[“<b>Técnica</b> – T1210 Exploração de Serviços Remotos<br/><b>Descrição</b>: Um mecanismo de atualização personalizado contacta URLs remotos para descarregar e instalar payloads MSI maliciosos.”]:::technique tech_t1218_007[“<b>Técnica</b> – T1218.007 Execução Proxy de Binários do Sistema: Msiexec<br/><b>Descrição</b>: Msiexec.exe é utilizado para instalar silenciosamente um pacote MSI malicioso.”]:::technique tech_t1059_001[“<b>Técnica</b> – T1059.001 Interpretador de Comandos e Scripts: PowerShell<br/><b>Descrição</b>: PowerShell é utilizado para executar o script ClockRemoval que desativa produtos de segurança e modifica configurações do sistema.”]:::technique tech_t1546_003[“<b>Técnica</b> – T1546.003 Execução Disparada por Evento: Subscrição de Eventos WMI<br/><b>Descrição</b>: Subscrições persistentes de WMI ativam scripts PowerShell maliciosos quando novos processos iniciam.”]:::technique tech_t1053[“<b>Técnica</b> – T1053 Tarefa/Trabalho Agendado<br/><b>Descrição</b>: Tarefas agendadas são criadas para arranque, login e execução periódica para manter persistência.”]:::technique tech_t1489[“<b>Técnica</b> – T1489 Paragem de Serviços<br/><b>Descrição</b>: Serviços de segurança são parados e desativados.”]:::technique tech_t1562[“<b>Técnica</b> – T1562 Comprometer Defesas<br/><b>Descrição</b>: O payload elimina processos de segurança, bloqueia domínios de atualização e remove entradas de registo.”]:::technique tech_t1564_012[“<b>Técnica</b> – T1564.012 Ocultar Artefactos: Exclusões de Ficheiro/Caminho<br/><b>Descrição</b>: O ficheiro hosts é modificado e são adicionadas exclusões ao Windows Defender.”]:::technique tech_t1070_004[“<b>Técnica</b> – T1070.004 Remoção de Indicadores: Eliminação de Ficheiros<br/><b>Descrição</b>: Ficheiros AV e chaves de registo são eliminados.”]:::technique %% Action and artifact nodes action_contact_domain[“<b>Ação</b> – Contactar domínio não registado<br/><b>Domínio</b>: worldwidewebframework3.com”]:::action file_malicious_msi[“<b>Ficheiro</b> – Payload MSI malicioso”]:::file tool_msiexec[“<b>Ferramenta</b> – Msiexec.exe”]:::tool script_clockremoval[“<b>Processo</b> – ClockRemoval.ps1 (PowerShell)”]:::process persistence_wmi[“<b>Ação</b> – Criar subscrição de eventos WMI”]:::action persistence_schtask[“<b>Ação</b> – Registar tarefas agendadas”]:::action action_service_stop[“<b>Ação</b> – Parar e desativar serviços de segurança”]:::action action_impair_defenses[“<b>Ação</b> – Comprometer defesas”]:::action action_host_modification[“<b>Ação</b> – Modificar hosts e adicionar exclusões do Defender”]:::action action_file_deletion[“<b>Ação</b> – Eliminar ficheiros AV e chaves de registo”]:::action %% Connections showing flow action_contact_domain –>|downloads| file_malicious_msi file_malicious_msi –>|installed via| tool_msiexec tool_msiexec –>|executes| script_clockremoval script_clockremoval –>|creates| persistence_wmi script_clockremoval –>|creates| persistence_schtask script_clockremoval –>|stops| action_service_stop script_clockremoval –>|impairs| action_impair_defenses script_clockremoval –>|modifies| action_host_modification script_clockremoval –>|deletes| action_file_deletion %% Linking actions to techniques action_contact_domain –>|uses| tech_t1210 tool_msiexec –>|uses| tech_t1218_007 script_clockremoval –>|uses| tech_t1059_001 persistence_wmi –>|uses| tech_t1546_003 persistence_schtask –>|uses| tech_t1053 action_service_stop –>|uses| tech_t1489 action_impair_defenses –>|uses| tech_t1562 action_host_modification –>|uses| tech_t1564_012 action_file_deletion –>|uses| tech_t1070_004 %% Class assignments class action_contact_domain action class file_malicious_msi file class tool_msiexec tool class script_clockremoval process class persistence_wmi action class persistence_schtask action class action_service_stop action class action_impair_defenses action class action_host_modification action class action_file_deletion action
Fluxo de Ataque
Detecções
Execução Suspeita do Taskkill (via linha de comando)
Visualizar
PowerShell Executando Arquivo em Diretório Suspeito Usando Política de Execução Bypass (via linha de comando)
Visualizar
LOLBAS Schtasks (via linha de comando)
Visualizar
LOLBAS MsiExec Spawn Shell (via linha de comando)
Visualizar
IOCs (HashSha256) para detectar: Quando PUPs Ganham Dentes: Dragon Boss Solutions Deixou uma Porta Aberta em 25.000+ Endpoints
Visualizar
Modificação de Política de Execução de PowerShell da Dragon Boss Solutions [Windows PowerShell]
Visualizar
Detecção de Execuções Maliciosas da Dragon Boss Solutions LLC [Criação do Processo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação Prévia de Telemetria e Linha de Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e o roteiro DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos de Ataque:
Um adversário obteve o legítimo RaceCarTwo.exe assinado pela Dragon Boss Solutions LLC. Eles aproveitam o status confiável do binário para contornar a lista branca de aplicativos. Primeiro, eles implantam um MSI malicioso (Setup.msi) que solta um serviço privilegiado e instala uma tarefa agendada para alcançar T1546.016. Em seguida, eles executam um script PowerShell (ClockRemoval.ps1) que desativa ou desinstala o produto AV do endpoint, refletindo T1059.001. Ambas as ações são executadas a partir do mesmo processo, garantindo que a regra de detecção veja os padrões exatos da linha de comando.-
Implantar MSI malicioso:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "Setup.msi" ` -Wait -
Executar script PowerShell de desativação do AV:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "ClockRemoval.ps1" ` -Wait
-
-
Script de Teste de Regressão:
O script abaixo automatiza os dois passos em uma única execução, reproduzindo a telemetria exata que a regra Sigma espera.# ------------------------------------------------- # Simulação da cadeia de execução maliciosa da DragonBoss # ------------------------------------------------- $binaryPath = "C:Program FilesDragonBossRaceCarTwo.exe" # 1. Instalar MSI malicioso Write-Host "[*] Implantando MSI malicioso (Setup.msi)…" Start-Process -FilePath $binaryPath -ArgumentList "Setup.msi" -Wait # 2. Executar script PowerShell de desativação do AV Write-Host "[*] Executando ClockRemoval.ps1 via o mesmo binário…" Start-Process -FilePath $binaryPath -ArgumentList "ClockRemoval.ps1" -Wait Write-Host "[+] Simulação completa. Verifique os alertas no SIEM." -
Comandos de Limpeza:
Remova quaisquer artefatos criados durante a simulação para restaurar o host ao seu estado antes do teste.# ------------------------------------------------- # Limpeza para simulação da DragonBoss # ------------------------------------------------- # Remover o produto MSI instalado (substitua ProductCode pelo GUID real) $productCode = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" try { Write-Host "[*] Desinstalando MSI malicioso..." msiexec /x $productCode /quiet /norestart } catch { Write-Warning "Falha na desinstalação do MSI ou produto não presente." } # Excluir o script PowerShell se ele foi escrito no disco pelo MSI $scriptPath = "$env:ProgramDataClockRemoval.ps1" if (Test-Path $scriptPath) { Write-Host "[*] Removendo ClockRemoval.ps1..." Remove-Item $scriptPath -Force } Write-Host "[+] Limpeza completa."