Blog
Avalon MalwareCrownX RansomwareEDR EvasionAI Ransomware

Avalon e CrownX: il ransomware costruito per accecare ogni EDR

Blackpoint Cyber ha scoperto Avalon, framework modulare assistito da AI che si nasconde da nove EDR, distrugge il recovery ed esegue il ransomware CrownX. Perché la rete vede ciò che l'endpoint non vede.

Zero Hunt Research··9 min di lettura

Il 3 luglio Blackpoint Cyber ha pubblicato la ricerca su un framework malware modulare mai documentato prima, battezzato Avalon: un unico toolkit che ruba credenziali, si muove lateralmente, apre accesso remoto, distrugge sistematicamente il recovery e chiude con un payload ransomware chiamato internamente CrownX. Ciò che merita attenzione non è nessuna di queste funzioni singole. È la premessa di progetto: Avalon dà per scontato che sul bersaglio giri un prodotto EDR, ne nomina esplicitamente nove, e costruisce l'intero flusso di esecuzione attorno all'idea di spegnere il sensore prima di fare qualsiasi cosa rumorosa. Quando l'endpoint è la cosa che viene ingannata, la domanda "sono compromesso?" si sposta dove il malware non può arrivare — sulla rete.

Anatomia della catena d'infezione di Avalon

L'intrusione parte come quasi tutte oggi: una email che simula un documento legale. L'esca non trasporta il payload. Punta a un archivio protetto da password su Proton Drive, e dentro l'archivio c'è un'immagine ISO. La scelta del contenitore è deliberata — montare una ISO aggira il tagging Mark-of-the-Web che Windows applica ai file scaricati, così gli avvisi di SmartScreen e delle macro che l'utente vedrebbe normalmente non compaiono mai.

Dentro la ISO c'è un collegamento Windows (.lnk) camuffato da documento. Aprirlo non lancia un eseguibile che un EDR segnalerebbe. Avvia MSBuild, il legittimo strumento di build .NET di Microsoft, puntato a un file di progetto che compila e carica in memoria un assembly .NET incorporato. Da lì il loader esce in HTTPS per lo stadio successivo. Ogni passo iniziale poggia su un binario Microsoft firmato e fidato — MSBuild.exe, csc.exe, InstallUtil.exe — ed è esattamente questo il punto. Non c'è un dropper inedito da intercettare per un motore a firme, solo il tooling di sviluppo di Windows che fa esattamente ciò per cui è progettato, per la ragione sbagliata.

La catena, stadio per stadio:

  • Consegna — email legale falsa → Proton Drive → archivio protetto da password → immagine ISO (bypass del Mark-of-the-Web).
  • Esecuzione.lnk camuffato da documento → MSBuild compila/carica un assembly .NET in memoria.
  • Staging — pull HTTPS dello stadio successivo; moduli del framework caricati in modo riflessivo.
  • Command and control — richieste WinHTTP POST verso /api/v2/tasking su helloxcherry[.]com, con campi form che separano i dump LSASS, il materiale SAM e l'esfiltrazione generica.

Il ransomware CrownX e l'arte di accecare l'EDR

Prima che CrownX cifri qualsiasi cosa, Avalon spende le sue energie a spegnere la luce nella stanza. Il report di Blackpoint, ripreso dalle analisi di Rescana e CyberPress, elenca un sottosistema di evasione costruito per nascondere l'esecuzione da una lista precisa: Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee e Bitdefender. Oltre all'occultamento specifico per prodotto, il framework manomette ETW (Event Tracing for Windows) e manipola AMSI — i due canali di telemetria su cui poggiano la maggior parte degli EDR e delle difese script/PowerShell. Acceca quelli e una fetta enorme della visibilità endpoint smette semplicemente di produrre eventi. Non alert che vengono valutati e archiviati — eventi che non esistono proprio.

È qui il nocciolo scomodo. Il modello di sicurezza endpoint-centrico si regge su un assunto: che il sensore sull'host osservi il comportamento malevolo ed emetta un segnale. Avalon è progettato direttamente contro quell'assunto. Non prova a sembrare innocuo a un EDR funzionante; lavora per impedire all'EDR di guardare del tutto. Quando ci riesce, la fonte dati più ricca del SOC ammutolisce, e il silenzio viene letto come sicurezza.

"L'endpoint ci ha detto che andava tutto bene. Ce l'ha detto perché ciò che avrebbe dovuto sorvegliare lo aveva già spento."

Ma c'è uno strato che Avalon non può spegnere, perché non gira lì. L'esfiltrazione delle credenziali verso helloxcherry[.]com è traffico HTTPS verso un dominio con cui l'ambiente non ha mai parlato prima. Il movimento laterale — spingere componenti .NET su host remoti tramite condivisioni amministrative e lanciarli via scheduled task e servizi remoti — è SMB e RPC sul filo. La fase finale di cifratura è una raffica di operazioni di scrittura su file attraverso le condivisioni. Niente di tutto ciò è visibile a un sensore a cui è stato detto di distogliere lo sguardo, e tutto è visibile a chiunque osservi il segmento di rete su cui quegli host si trovano.

La fase di distruzione del recovery

CrownX tratta i backup come bersaglio primario, non come ripensamento. Secondo i report, il framework "ha fermato VSS, cancellato le shadow copy via COM, modificato le impostazioni di recovery nel registro e preso di mira le immagini WinRE e la configurazione di ripristino". Va oltre il solito vssadmin delete shadows che quasi tutte le famiglie ransomware eseguono: porta con sé una capacità di scrittura diretta sul disco fisico in grado di corrompere strutture di partizione e di boot, spingendo l'impatto oltre la cifratura fino alla distruzione a livello di disco. La cifratura stessa usa BCrypt con AES-GCM e appone l'estensione .8hn2yc.

La sequenza conta, per chi difende. La distruzione del recovery avviene prima del passaggio rumoroso di cifratura — gli operatori vogliono cancellare il percorso di ripristino mentre l'endpoint è ancora accecato e prima che qualcuno stia guardando. Quando i file cominciano a bloccarsi e qualcuno se ne accorge, shadow copy, WinRE e nel caso peggiore il boot record sono già andati. Un piano di risposta che assume "tanto ripristiniamo dagli snapshot locali" sta pianificando attorno a una capacità che CrownX rimuove di proposito.

Malware assistito da AI e il pavimento di competenza che crolla

I ricercatori di Blackpoint, Nevan Beal e Sam Decker, hanno segnalato qualcosa su come Avalon è stato costruito. Il framework mostra segni di sviluppo assistito da AI — componenti assemblati insieme con, a loro giudizio, "scarso riguardo per il tradecraft sofisticato o la sicurezza operativa". Va letto con attenzione. Non è che l'AI abbia prodotto malware d'élite. È che l'AI ha permesso a qualcuno che d'élite non è di assemblare un framework modulare con furto di credenziali, movimento laterale, evasione EDR, distruzione del recovery e ransomware, e di metterlo in campo — un lavoro che prima richiedeva un team e mesi. La sciatteria di opsec (un dominio di staging riutilizzato, un unico indirizzo Bitcoin hardcoded) è la spia di un operatore poco esperto con in mano un toolset ad alta capacità.

Per chi difende questo sposta il tasso di base. Quando il pavimento per produrre un framework multi-stadio, consapevole degli EDR e funzionante si abbassa, il volume di queste campagne cresce e ognuna appare un po' diversa — una riscrittura per bersaglio, un loader leggermente rimescolato, un nuovo dominio di staging. Le difese a firme e reputazione degradano più in fretta proprio qui, perché non esiste un artefatto stabile da firmare. Ciò che resta stabile è il comportamento sulla rete: qualcosa deve fare beacon verso l'esterno, qualcosa deve espandersi lateralmente, qualcosa deve spostare dati verso un endpoint esterno.

Remediation

Avalon non è un CVE da applicare come patch — è un'intrusione da cacciare. Tratta ogni sospetta attività Avalon/CrownX come incidente in corso e lavora questi passi in ordine.

Sono colpito? — triage di primo livello. Cerca l'impronta di esecuzione, non un hash di file (il payload è per-intrusione). Su endpoint e nella telemetria EDR/SIEM, cerca:

  • MSBuild.exe, csc.exe o InstallUtil.exe eseguiti con parent explorer.exe o un volume ISO/rimovibile montato, oppure che compilano un progetto da un percorso scrivibile dall'utente (Download, Temp, %APPDATA%). MSBuild legittimo non parte quasi mai da un collegamento cliccato.
  • Immagini .iso montate di recente contenenti un .lnk, e file .lnk il cui target è msbuild/cmd/powershell.
  • HTTPS in uscita verso helloxcherry[.]com, o POST WinHTTP verso un percorso /api/v2/tasking su qualunque dominio mai visto prima.
  • File rinominati con estensione .8hn2yc; la nota di riscatto di CrownX.

Controlli compensativi (attivali ora, prima di finire la caccia).

  • Blocca l'esecuzione di MSBuild/csc/InstallUtil per gli utenti standard tramite WDAC o AppLocker; questi LOLBin non hanno ragione di esistere su una workstation normale.
  • Applica il Mark-of-the-Web e blocca o limita il montaggio di file ISO/IMG consegnati via mail/web (regola ASR "Block executable content from email client and webmail", più Group Policy per impedire l'auto-mount degli .iso).
  • Sinkhole/blocco di helloxcherry[.]com sul resolver e sul proxy di uscita.
  • Attiva la tamper protection di Defender e la regola ASR "Block abuse of exploited vulnerable signed drivers"; porta le detection di manomissione ETW/AMSI in allerta, non solo in log.

Caccia alla compromissione — segnali di detection mappati su MITRE ATT&CK.

Comportamento IOC / telemetria ATT&CK
Consegna ISO/LNK .iso montata + .lnk camuffato da documento T1553.005, T1204.002
Proxy execution MSBuild MSBuild.exe compila da percorso utente T1127.001
Tasking C2 POST WinHTTP /api/v2/taskinghelloxcherry[.]com T1071.001
Furto credenziali dump LSASS/SAM, credenziali browser/VPN/SSH T1003.001, T1003.002, T1555
Movimento laterale .NET spinto su admin share + scheduled task T1021.002, T1053.005
Accecamento telemetria tamper ETW/AMSI, occultamento EDR T1562.001, T1562.006
Distruzione recovery stop VSS, delete shadow via COM, tamper WinRE T1490
Distruzione disco scritture dirette su boot/partizione T1561.002
Impatto cifratura AES-GCM, .8hn2yc T1486

Eradica e verifica. Isola gli host colpiti sullo switch, non solo dall'EDR (il sensore potrebbe essere compromesso). Considera bruciata ogni credenziale toccata da un host colpito — ruota i segreti residenti in LSASS e nel Credential Manager, le chiavi browser/VPN/SSH e ogni account di servizio che si è autenticato su una macchina compromessa. Poiché CrownX prende di mira il recovery locale, ripristina solo da backup offline o immutabili verificati puliti, e ricostruisci invece di ripristinare ogni host dove si sospetta manomissione di boot/partizione. Conferma lo stato pulito dopo l'eradicazione con una scansione fresca e fuori banda — non fidarti dell'agente on-host che potrebbe essere stato accecato.

La rete è il sensore che CrownX non può disattivare

Ogni passo del design di Avalon è un argomento a favore dell'osservare il filo. Acceca l'endpoint di proposito, quindi il silenzio dell'endpoint non è prova di sicurezza. Cavalca binari Microsoft fidati, quindi non c'è un file malevolo da identificare. È assemblato con AI e probabilmente per-bersaglio, quindi firme e liste di reputazione arrancano. Ciò che non può fare è spostare credenziali verso helloxcherry[.]com, espandersi sulle condivisioni amministrative e cifrare i file server senza generare traffico — e il traffico è l'unica superficie che non riesce mai a spegnere.

È esattamente lo scenario per cui è stata costruita l'AI Traffic Analysis di Zero Hunt. Il nostro modello proprietario di deep learning gira sulla GPU dell'appliance con quattro teste di inferenza parallele — rilevamento traffico sospetto, classificazione malware, identificazione del tipo di attacco e fingerprinting applicativo — addestrato su miliardi di sequenze PCAP, a una baseline di 2.7+ Gbit/s, interamente on-prem. Legge il comportamento sul filo, non le firme: così un dominio C2 mai visto che riceve POST di tasking strutturato, una workstation che storicamente solo riceve e improvvisamente stagia traffico in uscita verso un ASN mai visto, o il fan-out di scritture SMB di una spinta laterale emergono mentre accadono — indipendentemente dal fatto che l'EDR dell'host sia stato ingannato a guardare altrove. E poiché l'appliance è interamente on-prem senza callback cloud, non esiste nemmeno un percorso di telemetria esterno che un intruso possa recidere. Quando l'intero piano dell'attaccante è spegnere il sensore sulla macchina, la detection deve vivere dove lui non arriva — sulla rete, a velocità di filo, nel momento in cui le credenziali escono.

Se il vostro playbook di incident response assume ancora che sarà l'EDR a dirvelo, Avalon è il caso di studio del perché quell'assunto ha bisogno di un secondo strato indipendente. Parlatene con noi: rimettiamo la rete nel loop.