Abuso de Ferramentas Legítimas de Baixo Nível para Ajudar Ransomware a Evitar Detecção por Antivírus
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O artigo explica como operadores de ransomware abusam de utilitários de baixo nível legítimos, como Process Hacker, IOBit Unlocker, PowerRun e ferramentas semelhantes, para enfraquecer o antivírus e a proteção de endpoint. Ao usarem indevidamente esses binários assinados, os atacantes podem obter privilégios de SYSTEM ou até de kernel, roubar credenciais e preparar o ambiente para a implantação de ransomware. O artigo destaca como a neutralização de AV evoluiu de scripts básicos para conjuntos de capacidades integradas dentro das ofertas modernas de Ransomware-como-um-Serviço. Também faz referência a grupos de ransomware do mundo real que adotaram esses métodos.
Investigação
A investigação descreve um padrão de intrusão em duas etapas no qual os adversários primeiro usam ferramentas de baixo nível para elevar privilégios e evadir antivírus, depois passam para roubo de credenciais, adulteração de kernel e execução da carga útil de ransomware. A atividade das ferramentas é mapeada para técnicas do MITRE ATT&CK, incluindo T1548.002, T1562.001 e T1003.001. Exemplos de casos conectam essas utilidades a operações de ransomware, como LockBit 3.0, Phobos, MedusaLocker e outras.
Mitigação
Mitigações recomendadas incluem a aplicação de listas de permissões de aplicativos, observando terminações de processos em larga escala, auditando alterações no registro que afetam as configurações de antivírus e limitando a execução de utilitários administrativos apenas a contas aprovadas. Plataformas de proteção de endpoint também devem fortalecer os controles de autoproteção para resistir ao encerramento forçado de processos e serviços de segurança.
Resposta
Quando esse comportamento for detectado, as organizações devem alertar sobre a terminação suspeita de processos de AV ou EDR, isolar o host impactado, preservar evidências forenses de alterações no registro e arquivos, e investigar qualquer acesso ao LSASS relacionado a roubo de credenciais. A resposta a incidentes deve seguir a cadeia de eliminação observada rapidamente o suficiente para conter a intrusão antes que a criptografia de ransomware comece.
Fluxo de Ataque
Detecções
Possível Abuso da Utilidade IObitUnlocker (via process_creation)
Visualizar
Execução Suspeita de Taskkill (via linha de comando)
Visualizar
Possíveis Argumentos do Mimikatz Detectados (via linha de comando)
Visualizar
Possível Tentativa de Execução do Utilitário TDSSKiller (via linha de comando)
Visualizar
Manipulação do Serviço HRSword para Neutralização de Antivírus [Sistema Windows]
Visualizar
Detecção de Táticas de Evasão de Ransomware Usando Ferramentas de Baixo Nível [Criação de Processo Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Verificação Pré‑voo de Telemetria & Ponto de Referência deve ter passado.
-
Narrativa de Ataque & Comandos:
O adversário obteve direitos administrativos no host da vítima e deseja neutralizar a proteção de endpoint antes de implantar cargas úteis de ransomware. Usando o utilitário legítimo HRSword.exe, eles emitem um comando que interrompe o serviço de antivírus (
avservice) e desativa seu reinício automático, garantindo que o defensor não possa recuperar o serviço durante a janela de ataque. O comando é executado diretamente em um console do PowerShell para gerar um evento claro de criação de processo do Sysmon que corresponde à regra de detecção. -
Script de Teste de Regressão:
<# Simulação do uso do HRSword.exe para parar um serviço de AV e desativar seu reinício. Este script deve ser executado com privilégios elevados (Administrador). #> # Variáveis $hrswordPath = "$env:ProgramFilesHRSwordHRSword.exe" $serviceName = "avservice" # Garantir que HRSword.exe exista (criar um mock se não) if (-Not (Test-Path $hrswordPath)) { Write-Host "Criando mock HRSword.exe para simulação..." # Criar um executável dummy (uma cópia do cmd.exe) apenas para fins de registro Copy-Item "$env:windirSystem32cmd.exe" $hrswordPath -Force } # Executar a linha de comando exata que a regra Sigma analisa $command = "& `"$hrswordPath`" /service stop $serviceName /disable" Write-Host "Executando: $command" Invoke-Expression $command # Opcional: Registrar um evento personalizado para indicar a conclusão (ajuda a verificar de ponta a ponta) Write-EventLog -LogName Application -Source "HRSwordSimulation" -EventId 3000 -EntryType Information -Message "Simulação de parada do serviço HRSword concluída." -
Comandos de Limpeza:
<# Restaurar o serviço de AV ao estado original e remover o executável mock. #> # Reiniciar o serviço de AV (se existir) $serviceName = "avservice" if (Get-Service -Name $serviceName -ErrorAction SilentlyContinue) { Write-Host "Reiniciando o serviço $serviceName ..." Start-Service -Name $serviceName -ErrorAction SilentlyContinue } # Remover o mock HRSword.exe (se foi criado) $hrswordPath = "$env:ProgramFilesHRSwordHRSword.exe" if (Test-Path $hrswordPath) { Write-Host "Removendo mock HRSword.exe ..." Remove-Item $hrswordPath -Force } # Limpar a entrada de log de evento personalizado Get-EventLog -LogName Application -Source "HRSwordSimulation" -After (Get-Date).AddMinutes(-10) | Remove-EventLog