Dragon Boss deixa mais de 25.000 endpoints expostos
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um aplicativo potencialmente indesejado assinado pela Dragon Boss Solutions abusou de um fluxo de atualização legítimo para silenciosamente baixar e executar cargas de MSI e PowerShell que desativaram proteções antivírus e estabeleceram persistência por meio de assinaturas de eventos WMI e tarefas agendadas. Como o atualizador se comunicava com domínios não registrados que poderiam ser reivindicados por qualquer pessoa, o software efetivamente criou uma oportunidade de cadeia de suprimentos para entrega de código arbitrário. Os pesquisadores observaram mais de 25.000 endpoints acessando esta infraestrutura, incluindo sistemas em vários setores de alto valor.
Investigação
A Huntress descobriu artefatos de persistência baseados em WMI e um aumento na criação de tarefas agendadas, depois rastrearam a atividade de volta a um executável assinado chamado RaceCarTwo.exe que lançou um instalador MSI. O instalador extraiu um script PowerShell chamado ClockRemoval.ps1, que terminou processos antivírus, bloqueou o acesso a domínios de atualização AV, adicionou exclusões do Microsoft Defender e reinstalou a si mesmo repetidamente para manter a presença. Os investigadores também descobriram que domínios não registrados, incluindo chromsterabrowser.com, estavam sendo usados como a principal fonte de atualização, o que significa que qualquer parte externa poderia registrar esses domínios e entregar suas próprias cargas.
Mitigação
Para interromper novos abusos, a equipe de pesquisa registrou os domínios expostos e os redirecionou, efetivamente cortando o caminho da atualização maliciosa. Eles também documentaram as assinaturas de eventos WMI relacionadas, as tarefas agendadas e as alterações de registro para que os defensores pudessem identificar e remover componentes afetados. As organizações devem bloquear os domínios conhecidos e monitorar os nomes de tarefas específicos e a atividade do consumidor WMI associada a esta campanha para reduzir o risco de comprometimento contínuo.
Resposta
As equipes de segurança devem detectar a criação de tarefas agendadas como ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogon, e RemoveClockPeriodic. Alertas também devem ser acionados em assinaturas de eventos WMI contendo MbRemoval or MbSetup. Os defensores devem monitorar executáveis assinados pela Dragon Boss Solutions, procurar pela presença de ClockRemoval.ps1 em diretórios WMILoad, revisar arquivos de hosts quanto a entradas que bloqueiam domínios de fornecedores de antivírus e investigar exclusões inesperadas do Windows Defender em sistemas impactados.
Fluxo de Ataque
Detecções
Execução Suspeita do Taskkill (via linha de comando)
Visualizar
PowerShell Executando Arquivo em Diretório Suspeito Usando Política de Execução Bypass (via linha de comando)
Visualizar
LOLBAS Schtasks (via linha de comando)
Visualizar
LOLBAS MsiExec Spawn Shell (via linha de comando)
Visualizar
IOCs (HashSha256) para detectar: Quando PUPs Ganham Dentes: Dragon Boss Solutions Deixou uma Porta Aberta em 25.000+ Endpoints
Visualizar
Modificação de Política de Execução de PowerShell da Dragon Boss Solutions [Windows PowerShell]
Visualizar
Detecção de Execuções Maliciosas da Dragon Boss Solutions LLC [Criação do Processo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação Prévia de Telemetria e Linha de Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e o roteiro DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos de Ataque:
Um adversário obteve o legítimo RaceCarTwo.exe assinado pela Dragon Boss Solutions LLC. Eles aproveitam o status confiável do binário para contornar a lista branca de aplicativos. Primeiro, eles implantam um MSI malicioso (Setup.msi) que solta um serviço privilegiado e instala uma tarefa agendada para alcançar T1546.016. Em seguida, eles executam um script PowerShell (ClockRemoval.ps1) que desativa ou desinstala o produto AV do endpoint, refletindo T1059.001. Ambas as ações são executadas a partir do mesmo processo, garantindo que a regra de detecção veja os padrões exatos da linha de comando.-
Implantar MSI malicioso:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "Setup.msi" ` -Wait -
Executar script PowerShell de desativação do AV:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "ClockRemoval.ps1" ` -Wait
-
-
Script de Teste de Regressão:
O script abaixo automatiza os dois passos em uma única execução, reproduzindo a telemetria exata que a regra Sigma espera.# ------------------------------------------------- # Simulação da cadeia de execução maliciosa da DragonBoss # ------------------------------------------------- $binaryPath = "C:Program FilesDragonBossRaceCarTwo.exe" # 1. Instalar MSI malicioso Write-Host "[*] Implantando MSI malicioso (Setup.msi)…" Start-Process -FilePath $binaryPath -ArgumentList "Setup.msi" -Wait # 2. Executar script PowerShell de desativação do AV Write-Host "[*] Executando ClockRemoval.ps1 via o mesmo binário…" Start-Process -FilePath $binaryPath -ArgumentList "ClockRemoval.ps1" -Wait Write-Host "[+] Simulação completa. Verifique os alertas no SIEM." -
Comandos de Limpeza:
Remova quaisquer artefatos criados durante a simulação para restaurar o host ao seu estado antes do teste.# ------------------------------------------------- # Limpeza para simulação da DragonBoss # ------------------------------------------------- # Remover o produto MSI instalado (substitua ProductCode pelo GUID real) $productCode = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" try { Write-Host "[*] Desinstalando MSI malicioso..." msiexec /x $productCode /quiet /norestart } catch { Write-Warning "Falha na desinstalação do MSI ou produto não presente." } # Excluir o script PowerShell se ele foi escrito no disco pelo MSI $scriptPath = "$env:ProgramDataClockRemoval.ps1" if (Test-Path $scriptPath) { Write-Host "[*] Removendo ClockRemoval.ps1..." Remove-Item $scriptPath -Force } Write-Host "[+] Limpeza completa."