Panda Aquático (Lusca da Terra): Campanhas, Malware e TTPs
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Aquatic Panda é um grupo APT alinhado com a China, focado em coleta de inteligência e espionagem industrial. O grupo utiliza um arsenal diversificado de malware, incluindo SprySOCKS, ShadowPad e BIOPASS RAT, para atacar indústrias críticas. Suas operações também envolvem a exploração de vulnerabilidades como Log4Shell e o uso de rootkits avançados para manter furtividade.
Investigação
O relatório descreve múltiplas campanhas, incluindo a Operação FishMedley e ataques envolvendo servidores VMware Horizon. Examina o design técnico do backdoor SprySOCKS, incluindo sua funcionalidade de rootkit em modo kernel e recursos de persistência. A análise também detalha as TTPs específicas do grupo para acesso inicial, execução e evasão de defesa.
Mitigação
As organizações devem validar suas defesas contra as táticas conhecidas do Aquatic Panda usando plataformas de simulação e teste. As principais medidas de mitigação incluem o reparo de vulnerabilidades do Log4j como a CVE-2021-44228 e o monitoramento de tarefas agendadas não autorizadas ou alterações suspeitas nos serviços do Windows. A detecção forte de endpoint também é essencial para identificar o carregamento lateral de DLLs e a atividade de injeção de processos.
Resposta
Se a atividade do Aquatic Panda for detectada, os respondedores devem isolar imediatamente os sistemas afetados para interromper o movimento lateral. As investigações devem se concentrar em alterações de registro não autorizadas, especialmente nas configurações do Processador de Impressão ou IFEO. A análise forense deve priorizar a coleta de memória de processos suspeitos e auditoria de tarefas agendadas e serviços do Windows.
"flowchart TD step_resource_development["Desenvolvimento de Recursos: Registrando domínios homógrafos e preparando ferramentas JNDI/Log4Shell"] step_initial_access["Acesso Inicial: Explorando Log4j (CVE-2021-44228) no VMware Horizon"] step_execution["Execução: Criação de downloads do PowerShell, cmd/C com curl/wget, Tarefas Agendadas e Serviços do Windows"] step_persistence["Persistência: Criação de Serviços do Windows, Tarefas Agendadas e registro de DLL do Processador de Impressão"] step_privilege_escalation["Escalonamento de Privilégios: Injeção IFEO e Manipulação de Token de Acesso via CreateProcessAsUserW"] step_defense_impairment["Imparidade de Defesa: Modificação do Firewall do Host do Windows com personificação ICMPv6"] step_credential_access["Acesso a Credenciais: Dumping de memória do LSASS, roubo do hive SAM/SYSTEM, roubo de credenciais de navegador e DLL de Filtro de Senha"] step_discovery["Descoberta: Enumeração de serviços, processos, informações do sistema e produtos de segurança de software"] step_collection["Coleta: Captura de teclas e arquivamento de dados com WinRAR"] step_command_and_control["Comando e Controle: TCP/UDP/WebSockets com AES-128 e Sinalização de Tráfego baseada em WFP"] step_stealth["Furtividade: Rootkit em modo kernel (RawWNPF), Injeção de Processo, Carregamento Lateral de DLL e Evasão de Sandbox"] rules_for_step_stealth("<b>Nome da Regra</b>: Caminho de Processo Suspeito (via linha de comando)<br/><b>ID da Regra</b>: f28587e8-2aa1-4e6b-bdd1-ad0ce520346a") step_exfiltration["Exfiltração: Transferência de dados via C2 ou Dropbox (dbxcli)"] step_resource_development –>|leads_to| step_initial_access step_initial_access –>|leads_to| step_execution step_execution –>|leads_to| step_persistence step_persistence –>|leads_to| step_privilege_escalation step_privilege_escalation –>|leads_to| step_defense_impairment step_defense_impairment –>|leads_to| step_credential_access step_credential_access –>|leads_to| step_discovery step_discovery –>|leads_to| step_collection step_collection –>|leads_to| step_command_and_control step_command_and_control –>|leads_to| step_stealth step_stealth –>|leads_to| step_exfiltration step_stealth -.->|detected_by| rules_for_step_stealth "
Fluxo de Ataque
Detecções
Possível Compressão de Dados para Infiltração ou Exfiltração (via linha de comando)
Visualizar
Possível Enumeração de Serviços (via linha de comando)
Visualizar
Possível Dumping de SAM/SYSTEM/SECURITY (via linha de comando)
Visualizar
Possível Dumping de Credenciais Usando Comsvcs.dll (via linha de comando)
Visualizar
Possível descarte de credenciais usando comsvcs.dll (via PowerShell)
Visualizar
Modificações Suspeitas no Firewall via CLI (via linha de comando)
Visualizar
Cadeia de Processo do Sistema Anormal (via criação_de_processos)
Visualizar
Possíveis Recursos de Acessibilidade por Abuso de Registro (via linha de comando)
Visualizar
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via evento_de_registro)
Visualizar
Criação de Serviço Suspeito para Persistência (via sistema)
Visualizar
Operações de Imagem de Serviço por Processo Raro (via evento_de_registro)
Visualizar
Local de Execução de Executável/Roteiro Suspeito via [cmd.exe /C] (via linha de comando)
Visualizar
Chamada de Classes/Métodos .NET Suspeitos a partir da Linha de Comando do PowerShell (via criação_de_processos)
Visualizar
Schtasks Aponta para Diretório / Binário / Script Suspeito (via linha de comando)
Visualizar
Caminho de Processo Suspeito (via linha de comando)
Visualizar
Alocação de Memória de Hollowing de Processo [Windows Sysmon]
Visualizar
Modificações de Registro para Sequestro de Depurador e Persistência do Processador de Impressão [Evento de Registro do Windows]
Visualizar
Criação de Tarefa Agendada e Download Malicioso do PowerShell [Criação de Processo do Windows]
Visualizar
## Execução de Simulação
Pré-requisito: A Verificação Preliminar de Telemetria & Linha de Base deve estar aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos: Um adversário pretende realizar hollowing de processo para esconder código malicioso dentro de um contêiner de processo legítimo. Para testar se a detecção atual (ainda que falha) dispara, o adversário lançará
powershell.exede um diretório específico. Isso simula o estágio inicial de um ataque Living-off-the-Land (LotL), onde o adversário utiliza uma ferramenta padrão do sistema para iniciar suas atividades maliciosas, como injeção de memória ou coleta de credenciais. O objetivo é gerar um evento deCriação de Processoonde o campoImagemcontém uma barra invertida, conforme definido na lógica de detecção. -
Script de Teste de Regressão:
# Simulando um lançamento de processo que satisfaz a lógica de detecção (fraca) # Isso imita o início de uma sessão do adversário usando uma ferramenta padrão $targetProcess = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" Write-Host "Executando: $targetProcess" Start-Process -FilePath $targetProcess -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command Write-Host 'Simulation Active'" -
Comandos de Limpeza:
# Nenhuma alteração persistente feita; nenhuma limpeza necessária para esta simulação. Write-Host "Limpeza da simulação completa."