Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Video

Briefing Vectra AI : Salt Typhoon

Briefing Vectra AI : Salt Typhoon
Seleziona la lingua per scaricare
Scarica
Accesso
Video
Grazie per aver scaricato!
Accedi alla tua offerta gratuita qui sotto.
Scarica
Scarica
Scarica in francese
Scarica in tedesco
Scarica in spagnolo
Scarica in giapponese
Scarica in italiano

TL;DW: Come funziona Salt Typhoon ?

Salt Typhoon una sequenza di attacco strutturata utilizzando strumenti Windows integrati per evitare il rilevamento. Ecco una panoramica delle loro tattiche e dei comandi che utilizzano.

1. Accesso iniziale

Salt Typhoon sfrutta Salt Typhoon server pubblici con vulnerabilità note. Anziché ricorrere al phishing, preferisce zero-day N-day e zero-day per ottenere l'esecuzione di codice remoto (RCE).

2. Esecuzione e perseveranza

Una volta ottenuto l'accesso, eseguono payload dannosi e garantiscono la persistenza utilizzando gli strumenti di Windows.

Esecuzione di PowerShell:

Utilizzano PowerShell per eseguire script senza restrizioni:

powershell -ex bypass -c "<password>"
  • -ex bypass: Ignora i criteri di esecuzione per consentire l'esecuzione dello script.
  • <password>: Chiave utilizzata per decriptare lo script, che solitamente è criptato.

Persistenza del registro:

Per garantire che malware ogni volta che un utente accede al sistema, aggiungono una chiave di registro:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "<malware_name>" /t REG_SZ /d "<malware_path>" /f
  • "HKCU\Software\Microsoft\Windows\CurrentVersion\Run": Posizione del registro per i programmi ad avvio automatico.
  • REG_SZ: Specifica un valore stringa (il malware ).
  • /f: Forza l'esecuzione senza conferma.

3. Ricognizione

Salt Typhoon informazioni sull'ambiente prima di aumentare i privilegi.

Utilizzo di WMIC (Windows Management Instrumentation Command-line)

wmic process get name,processid,commandline
  • Elenca tutti i processi in esecuzione e gli argomenti della riga di comando.

Utilizzo gruppo netto Identificare gli amministratori di dominio

cmd /c "net group 'amministratori di dominio' /dominio"
  • Interroga Active Directory per gli account amministratori di dominio.
  • /dominio: Assicura che la query venga applicata al dominio Active Directory anziché solo al computer locale.

4. Furto di credenziali e aumento dei privilegi

Dopo la ricognizione, aumentano i privilegi e rubano le credenziali.

Implementazione di strumenti per il furto di credenziali

Installano strumenti come:

  • Mimikatz (estrae le credenziali dalla memoria).
  • Keylogger (registra i tasti digitati).
  • Utilità per il dumping delle credenziali.

Elevazione dei privilegi tramite Cobalt Strike

Essi implementano Cobalt Strike, uno strumento legittimo di red teaming, per ottenere privilegi di SISTEMA e addentrarsi maggiormente nella rete.

5. Movimento laterale

Salt Typhoon nella rete utilizzando varie utilità di Windows.

Copiare un file batch su un altro computer

copy \\<target_ip>\C$\Windows\Temp\malware.bat
  • Usi \\<target_ip> per specificare una cartella condivisa su un altro computer.
  • Inserisce uno script batch (.bat) da eseguire in remoto.

Esecuzione dello script copiato tramite WMIC

wmic /node:<target_ip> process call create "cmd /c C:\Windows\Temp\malware.bat"
  • /node:<target_ip>: Specifica il macchina di destinazione.
  • crea chiamata di processo: Esegue un processo in remoto.
  • cmd /c: Esegue il file batch copiato.

Creazione di una backdoor utilizzando i servizi Windows (crea sc)

sc \\<target_ip> create VGAuthtools binpath= "C:\Windows\System32\installutil.exe C:\Windows\Temp\malware.exe" start= auto type= own
  • sc: Utilità di controllo dei servizi Windows.
  • \\<target_ip>: Crea il servizio da remoto su un altro computer.
  • VGAuthtools: Camuffa malware uno strumento legittimo.
  • percorso del cestino: Usi installutil.exe (a strumento Windows legittimo) per eseguire il payload dannoso.
  • inizio= automatico: Assicura la persistenza riavviando il malware volta che il computer viene riavviato.

6. Command & Control C2) + Esfiltrazione dei dati

Salt Typhoon una comunicazione persistente con i propri server C2.

Cobalt Strike Malware Demodex

  • Invia "heartbeat" per segnalare le macchine compromesse.
  • Riceve nuove istruzioni e aggiornamenti.
  • Esfiltra credenziali rubate e dati sensibili.

Abuso Cloud pubblico per l'esfiltrazione

Salt Typhoon essere individuato utilizzando piattaforme affidabili per caricare i dati rubati:

  • AnonFiles
  • File.io
  • GitHub
  • Gmail

7. Spionaggio in corso e impatto

Salt Typhoon monitora Salt Typhoon le reti compromesse e ruba dati sensibili per un periodo prolungato.

    ----

    In che modo Vectra AI è in grado di Vectra AI questi attacchi?

    La piattaforma Vectra AIsi concentra sui comportamenti di attacco reali, non solo sulle minacce note. Ciò le consente di rilevare attivitàSalt Typhoon anche quando gli aggressori utilizzano strumenti Windows integrati.

    • Accesso remoto e esecuzione insoliti
    • Attività Kerberos sospetta
    • Anomalie dei privilegi e tentativi di forza bruta SMB
    • Tunnel nascosti e attività sospette di PowerShell

    Scopri di più sui nostri sistemi di rilevamento basati sull'intelligenza artificiale o prova la nostra demo autoguidata.

    Apprezzato da esperti e aziende in tutto il mondo

    Domande frequenti