SOC Prime Bias: Alto

26 Nov 2025 17:30
newspaper icon Wazuh

Funklocker Ransomware: Detectando e Respondendo com Wazuh

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Funklocker Ransomware: Detectando e Respondendo com Wazuh
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

O ransomware Funklocker, ligado ao grupo FunkSec, tem como alvo ambientes Windows e aproveita a geração de código assistida por IA para criar novas variantes. Ele depende de técnicas de viver da terra, abusando de ferramentas como PowerShell, taskkill, sc e vssadmin para desligar controles de segurança, remover cópias sombra e criptografar dados com a extensão .funksec. O artigo aborda como detectar esses comportamentos usando o Sysmon mais regras personalizadas do Wazuh e como automatizar a limpeza através de varreduras YARA integradas.

Investigação

A análise explica como o Funklocker reduz o registro de eventos de Segurança e Aplicação do Windows, desativa a proteção em tempo real do Windows Defender, contorna a política de execução do PowerShell, encerra processos, interrompe serviços críticos e apaga backups de Volume Shadow Copy. Amostras de teste foram detonadas em um host de laboratório com Windows 11 com o agente Wazuh instalado e o Sysmon ajustado para capturar toda a telemetria relevante.

Mitigação de Ransomware Funklocker

As etapas de mitigação recomendadas incluem o endurecimento das políticas de execução do PowerShell, a aplicação do princípio de menor privilégio em relação ao gerenciamento de serviços, a manutenção de backups frequentes verificando que as cópias sombra permanecem disponíveis e a implantação de ferramentas EDR como o Wazuh combinado com regras Sysmon personalizadas para alertar sobre os padrões de comando do Funklocker. Assinaturas YARA podem então ser aplicadas para automaticamente isolar ou excluir executáveis de ransomware identificados.

Resposta

Quando é detectada atividade do Funklocker, o servidor Wazuh gera alertas e seu componente Active Response inicia uma varredura YARA que remove o binário do ransomware junto com qualquer arquivo criptografado criado recentemente. O processo de resposta delineado também cobre a validação manual, o isolamento dos sistemas afetados e a recuperação de dados de backups confiáveis e não comprometidos.

mermaid graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes action_phishing[“<b>Ação</b> – <b>T1204.004 Execução pelo Usuário: Arquivo Malicioso</b><br/>E-mail de phishing contendo anexo malicioso enviado às vítimas”] class action_phishing action action_execute_payload[“<b>Ação</b> – <b>T1218.007 Execução de Binário Assinado por Proxy: Msiexec</b><br/>Executar payload .exe ou .msi malicioso usando utilitários do sistema”] class action_execute_payload action action_install_rat[“<b>Ação</b> – <b>T1219 Ferramentas de Acesso Remoto</b><br/>Instalar ferramenta de acesso remoto no host comprometido”] class action_install_rat action malware_rat[“<b>Malware</b> – <b>Nome</b>: Ferramenta de Acesso Remoto<br/><b>Descrição</b>: Habilita controle remoto persistente”] class malware_rat malware action_c2[“<b>Ação</b> – <b>T1104 Comando e Controle</b><br/>Estabelecer canal C2 para receber instruções”] class action_c2 action action_recon[“<b>Ação</b> – Reconhecimento<br/><b>T1082 Descoberta de Informação do Sistema</b>, <b>T1592.002 Identificação de Software</b>, <b>T1590.004 Descoberta de Topologia de Rede</b><br/>Coletar detalhes de sistema, software e rede”] class action_recon action action_credential_dump[“<b>Ação</b> – <b>T1555.003 Credenciais em Arquivos: Navegadores Web</b><br/>Extrair credenciais web armazenadas usando WebBrowserPassView”] class action_credential_dump action tool_webbrowserpassview[“<b>Ferramenta</b> – <b>Nome</b>: WebBrowserPassView<br/><b>Descrição</b>: Recupera senhas salvas de navegadores”] class tool_webbrowserpassview tool action_valid_accounts[“<b>Ação</b> – <b>T1078 Contas Válidas</b><br/>Usar credenciais coletadas para autenticar”] class action_valid_accounts action action_lateral_movement[“<b>Ação</b> – <b>T1021.006 Serviços Remotos: WinRM</b><br/>Mover lateralmente usando Gerenciamento Remoto do Windows”] class action_lateral_movement action %% Connections action_phishing u002du002d>|leva a| action_execute_payload action_execute_payload u002du002d>|executa| action_install_rat action_install_rat u002du002d>|instala| malware_rat malware_rat u002du002d>|comunica-se com| action_c2 action_c2 u002du002d>|habilita| action_recon action_recon u002du002d>|fornece dados para| action_credential_dump action_credential_dump u002du002d>|usa| tool_webbrowserpassview action_credential_dump u002du002d>|leva a| action_valid_accounts action_valid_accounts u002du002d>|habilita| action_lateral_movement

Fluxo de Ataque

Execução da Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa & Comandos de Ataque:
    O atacante obteve acesso administrativo local no endpoint comprometido. Para garantir que o ransomware possa funcionar sem interrupções e permanecer oculto, ele executa uma série de comandos PowerShell de linha única que (1) desativam o registro de eventos de segurança, (2) desligam a proteção em tempo real do Microsoft Defender, (3) desativam o log de Aplicação e (4) definem a política de execução do PowerShell para Bypass. Cada comando é emitido diretamente de um prompt elevado do PowerShell, espelhando as strings exatas que a regra Sigma corresponde.

  • Script de Teste de Regressão:

    # Comandos de desativação de logs e defender ao estilo Funklocker
# 1. Desativar log de eventos de Segurança
powershell -Command "wevtutil sl Security /e:false"

# 2. Desativar monitoramento em tempo real do Microsoft Defender
powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

# 3. Desativar log de eventos de Aplicação
powershell -Command "wevtutil sl Application /e:false"

# 4. Contornar política de execução do PowerShell para o processo atual
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

  • Comandos de Limpeza:

    # Reativar log de eventos de Segurança
wevtutil sl Security /e:true

# Reativar monitoramento em tempo real do Microsoft Defender
Set-MpPreference -DisableRealtimeMonitoring $false

# Reativar log de eventos de Aplicação
wevtutil sl Application /e:true

# Restaurar política de execução padrão do PowerShell (Restrito)
Set-ExecutionPolicy Restricted -Scope Process -Force

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Junte-se Gratuitamente