Na semana passada, pesquisadores de segurança descobriram uma maneira curiosa de ocultar a carga maliciosa à vista de todos, e esse método está sendo ativamente usado em campo. Adversários usam logs de erros falsos para armazenar caracteres ASCII disfarçados como valores hexadecimais que decodificam uma carga maliciosa destinada a preparar o terreno para ataques baseados em scripts.
No cenário descoberto, os cibercriminosos aplicaram um novo método após comprometerem sistemas e alcançarem persistência. Em seguida, utilizaram um arquivo com a extensão .chk que imitava um log de erro do Windows para um aplicativo. À primeira vista, o arquivo não é suspeito, pois possui carimbos de data/hora e inclui referências ao número de versão interna do Windows, mas ao final de cada linha há uma representação decimal de um caractere ASCII. Tal arquivo não causará suspeita das soluções de segurança, e o usuário o considerará legítimo; na verdade, esse falso log de erro esconde um script codificado que entra em contato com o servidor de comando e controle para o próximo passo do ataque. O script é executado usando uma tarefa agendada e dois binários legítimos do Windows renomeados: mshta.exe e powershell.exe. Os atacantes usam o script para coletar detalhes sobre navegadores instalados, produtos de segurança e software de ponto de venda. Regra exclusiva de caça às ameaças desenvolvida por Osman Demir ajuda as soluções de segurança a encontrar logs de erro do Windows falsos contendo cargas maliciosas: https://tdm.socprime.com/tdm/info/KSymsSAJQuht/4Yxe23IBPeJ4_8xclBtg/?p=1
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Evasão de Defesa
Técnicas: Mascaramento (T1036)
