O Paradoxo Cibernético do Irã: APTs Degradados, Proxies em Ascensão e Wipers Bootkit
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A atividade cibernética ligada ao Irã está cada vez mais se afastando das equipes APT estabelecidas e se aproximando de operadores proxy que usam apagadores estilo bootkit, exploram uma gama crescente de CVEs e até mesmo combinam operações cibernéticas com a interrupção física da infraestrutura de nuvem. Novos grupos rastreados, como Rusty Boots e MoKhargosh, demonstraram persistência em nível de bootkit, enquanto HYDRO KITTEN tem se concentrado em PLCs Rockwell e dispositivos de rede voltados para a internet através de métodos de intrusão baseados em credenciais. Ataques físicos contra centros de dados em nuvem na região do Golfo expandem ainda mais o risco para um domínio ciberfísico híbrido. O relatório destaca a importância da validação da integridade do firmware e da detecção baseada em comportamento em ambientes OT.
Investigação
O relatório destaca três principais desenvolvimentos. Primeiro, Rusty Boots e MoKhargosh demonstraram a capacidade de implantar apagadores com persistência estilo bootkit. Segundo, HYDRO KITTEN explorou múltiplos CVEs que afetam sistemas Rockwell, FortiGate, SonicWall, Ivanti, PAN-OS e OpenSSH. Terceiro, UNC6446 usou malware personalizado em C# e Golang, incluindo DUSTYPROXY e ERIESNAKE.GO, comunicando-se sobre HTTP não criptografado tunelado através da porta 443. O relatório também faz referência a ataques físicos visando infraestrutura de nuvem no Bahrein e Dubai.
Mitigação
As organizações devem aplicar patches em todos os CVEs referenciados em firewalls, ativos OT e serviços SSH, enquanto executam boot seguro e verificações regulares de integridade do firmware. As equipes de defesa devem monitorar a atividade de gravação de disco bruto e modificações no MBR ou VBR, bloquear o tráfego HTTP não criptografado na porta 443, revisar as chaves de execução do registro para executáveis desconhecidos e implementar monitoramento comportamental OT para detectar alterações nos setpoints de PLC fora de períodos de manutenção aprovados.
Resposta
Os defensores devem bloquear imediatamente todos os endereços IP, domínios e hashes de arquivo divulgados através de DNS, proxy e controles de endpoint. O conteúdo de detecção deve ser implementado para HTTP não criptografado sobre TCP/443, falhas de integridade de boot seguro, novas entradas de chaves de execução do registro e comportamento de autenticação de PLC suspeito. A caça a ameaças deve se concentrar nas assinaturas de malware listadas, bem como em sinais de acesso pré-posicionado, incluindo longos períodos de inatividade seguidos por operações abruptas relacionadas a OT.
Fluxo de Ataque
Detecções
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via registry_event)
Ver
Possível Enumeração do Sistema (via cmdline)
Ver
Processo Suspeito Imita Processo do Sistema Foi Executado (via cmdline)
Ver
Possível Descoberta de Informações do Sistema Usando Módulo Wmi Powershell (via powershell)
Ver
IOCs (HashMd5) para detectar: PARADOXO CIBERNÉTICO DO IRÃ: APTs DEGRADADOS, PROXIES EMPODERADOS E O SURGIMENTO DOS APAGADORES BOOTKIT
Ver
IOCs (SourceIP) para detectar: PARADOXO CIBERNÉTICO DO IRÃ: APTs DEGRADADOS, PROXIES EMPODERADOS E O SURGIMENTO DOS APAGADORES BOOTKIT
Ver
IOCs (DestinationIP) para detectar: PARADOXO CIBERNÉTICO DO IRÃ: APTs DEGRADADOS, PROXIES EMPODERADOS E O SURGIMENTO DOS APAGADORES BOOTKIT
Ver
Exploração do HYDRO KITTEN do Rockwell RSLogix 5000 [Firewall]
Ver
Detectar Tráfego HTTP Anômalo e Comportamento de Revezamento de Proxy Indicando Atividade ERIESNAKE.GO e DUSTYPROXY [Proxy]
Ver
Detecção da Execução do ERIESNAKE.GO PowerShell por Processos Específicos [Windows Powershell]
Ver
Persistência do DUSTYPROXY via Chave de Execução do Registro [Evento do Registro do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) destinada a acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um erro de diagnóstico.
-
Narrativa e Comandos de Ataque:
- Colheita de Credenciais (T1078) – O invasor, tendo comprometido uma conta de serviço de baixo privilégio, obtém as credenciais do serviço “Rockwell” de um armazenamento de credenciais inseguro.
- Logon Interativo Remoto (T1078, LogonType 10) – Usando essas credenciais, o invasor conecta-se à estação de trabalho de gerenciamento do PLC de destino via RDP, gerando um evento de logon bem-sucedido (EventID 4624, LogonType 10) que corresponde à
seleção1. - Tentativa de Exploração (T1190 / T1542.003) – Enquanto está logado, o invasor executa uma requisição HTTP manipulada contra o serviço web do RSLogix 5000, acionando o bypass de autenticação (CVE‑2021‑22681). O serviço registra um evento de autenticação falha (EventID 4625) com uma string de razão de falha contendo “CVE‑2021‑22681”, satisfazendo
seleção2. - Pós-Exploração (T1059.001, T1071.001, T1090.002) – Um shell reverso PowerShell é estabelecido através de um proxy externo para baixar a carga maliciosa, mas esses passos não são necessários para a regra disparar.
-
Script de Teste de Regressão: O script abaixo automatiza os passos 2 e 3 para produzir a telemetria exata.
# ============================== # Teste de Exploração do Hydro Kitten # ============================== # 1️⃣ Variáveis – substitua pelos valores do seu ambiente $targetHost = "10.0.0.50" # IP do servidor RSLogix $rockwellUser = "Rockwell" $rockwellPwd = "P@ssw0rd!" # Senha conhecida (ou capturada) $proxyUrl = "http://proxy.example.com:8080" # 2️⃣ Estabelecer uma sessão remota interativa (RDP) usando as credenciais Rockwell $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd) Write-Host "[*] Iniciando sessão RDP para $targetHost com $rockwellUser..." # Start-Process cria uma nova sessão de logon – isso gera EventID 4624 com LogonType 10 Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred Start-Sleep -Seconds 10 # Permitir tempo para que o logon seja registrado # 3️⃣ Acionar a tentativa de bypass de autenticação CVE‑2021‑22681 $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1" Write-Host "[*] Enviando solicitação malformada para acionar a detecção CVE..." Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue Write-Host "[+] Solicitação de exploração enviada. Verifique o SIEM para EventID 4625 contendo 'CVE-2021-22681'." -
Comandos de Limpeza: Remova a sessão RDP e quaisquer artefatos temporários.
# Termine o processo do cliente RDP Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force # (Opcional) Limpe o histórico do PowerShell para reduzir a pegada forense Clear-History