Kostenlose Konverter-Software – Jedes System in Sekundenschnelle von sauber zu infiziert konvertieren
Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Malvertising-Kampagnen auf legitimen Webseiten verbreiten gefälschte „Converter“-Hilfsprogramme, die harmlos erscheinen, aber im Hintergrund persistente Remote-Access-Malware installieren. Sobald ausgeführt, legt das Installationsprogramm typischerweise Backdoor-Komponenten in %LocalAppData% ab und erstellt geplante Aufgaben, die die Nutzlast wiederholt starten, um sicherzustellen, dass der Angreifer den Zugriff über Neustarts hinweg behält. Der Betrieb stützt sich auf eine rotierende Gruppe von ähnlich aussehenden Domains, codesignierte (aber bösartige) Binärdateien und einen einfachen, auf HTTP basierenden Kommando-und-Kontroll-Workflow. Verteidiger können die Erkennung auf anomale geplante Aufgaben-Einstellungen, verdächtige Ausführungen von benutzerbeschreibbaren Pfaden und ausgehenden Datenverkehr zur identifizierten C2-Infrastruktur priorisieren.
Untersuchung
Forscher rekonstruierten den Infektionsweg von bösartigen Google-Anzeigen zu Landing Pages, die auf gefälschten Domains wie pokemoninfinitefusion.net, convertyfileapp.com und conmateapp.com gehostet werden und letztendlich die finalen Payloads liefern. Die ausgelieferten Binärdateien sind .NET-Anwendungen, die mit gestohlenen Zertifikaten signiert sind und Persistenz schaffen, indem sie eine geplante Aufgabe erstellen, die UpdateRetriever.exe aus %LocalAppData% ausführt. Telemetriedaten zeigten, dass die Malware regelmäßig confetly.com kontaktierte, um Updates oder Anweisungen abzurufen. Analysten validierten ebenfalls zugehörige Dateisystem- und Konfigurationsartefakte, einschließlich eines id.txt-Markierers und der geplanten Aufgaben-Definitionen, die verwendet werden, um das Backdoor aktiv zu halten.
Minderung
Aktivieren und operationalisieren Sie die Protokollierung für die Erstellung von geplanten Aufgaben (Sicherheitsereignis-ID 4698) und Telemetrie zu Registrierungsänderungen (z.B. Sysmon-Ereignis-ID 13). Verringern Sie das Ausführungsrisiko, indem Sie Prozessstarts aus %LocalAppData% mithilfe von AppLocker oder WDAC blockieren oder streng kontrollieren und warnen Sie vor geplanten Aufgaben, die auf benutzerbeschreibbare Verzeichnisse verweisen. Behandeln Sie verdächtige oder neu beobachtete Code-Signing-Zertifikate als hohes Risiko – widerrufen oder blockieren Sie diese, wo möglich –, und fügen Sie Domain-Kontrollen für die bekannte bösartige Infrastruktur hinzu. Auf der Netzwerkschicht, setzen Sie Erkennungen für ausgehende HTTP-Aktivitäten zu confetly.com und verwandten URL-Mustern ein und erwägen Sie, den direkten Internetzugang von Benutzerarbeitsstationen zu verhindern, wenn möglich.
Reaktion
Wenn eine verdächtige geplante Aufgabe entdeckt wird – oder wenn ausführbare Dateien in %LocalAppData% erkannt werden –, isolieren Sie den Endpunkt und bewahren Sie Beweise (Aufgaben-XML, abgelegte Binärdaten und relevante Proxy-/DNS-Logs) auf. Blockieren Sie confetly.com und alle zugehörigen Infrastrukturen sofort, um Kommando-und-Kontroll zu unterbrechen. Entfernen Sie die bösartige geplante Aufgabe, beseitigen Sie Payload-Artefakte und führen Sie eine vollständige Endpunkt-Sanierung durch, um sicherzustellen, dass keine sekundäre Persistenz bleibt. Führen Sie abschließend eine unternehmensweite Suche nach denselben Indikatoren (Aufgabennamen/-pfade, UpdateRetriever.exe, id.txt und die aufgeführten Domains) durch, um weitere betroffene Systeme zu erfassen.
„graph TB %% Class Definitions classDef technique fill:#c2e0ff classDef operator fill:#ffcc66 %% Nodes u2013 Techniques initial_access[„<b>Technik</b> – <b>T1659 Bösartige Werbung</b><br/><b>Beschreibung</b>: Der Angreifer nutzt bösartige Online-Anzeigen, um bösartige Inhalte über Injektionen an Opfer zu liefern.“] class initial_access technique user_execution[„<b>Technik</b> – <b>T1204 Benutzer-Ausführung</b><br/><b>Beschreibung</b>: Das Opfer klickt manuell auf die bösartige Werbung und führt die heruntergeladene Nutzlast aus.“] class user_execution technique dropper[„<b>Technik</b> – <b>T1036.001 Verschleierung: Ungültige Code-Signatur</b><br/><b>Beschreibung</b>: Ein signiertes Converter-Programm wird verwendet, um als legitimes Tool zu erscheinen und Vertrauen zu untergraben.“] class dropper technique subvert_trust[„<b>Technik</b> – <b>T1553 Vertrauenskontrollen untergraben</b><br/><b>Beschreibung</b>: Das signierte Binary umgeht Sicherheitsmechanismen, die auf Code-Signing-Vertrauen basieren.“] class subvert_trust technique powershell[„<b>Technik</b> – <b>T1059.001 PowerShell</b><br/><b>Beschreibung</b>: Ein PowerShell-Skript wird ausgeführt, um eine geplante Aufgabe zur Persistenz zu erstellen.“] class powershell technique scheduled_task[„<b>Technik</b> – <b>T1053 Geplante Aufgabe</b><br/><b>Beschreibung</b>: Eine geplante Aufgabe wird erstellt, um das UpdateRetriever-Programm in regelmäßigen Abständen auszuführen.“] class scheduled_task technique persistence[„<b>Technik</b> – <b>T1053 Geplante Aufgabe (Persistenz)</b><br/><b>Beschreibung</b>: Die geplante Aufgabe sorgt für die langfristige Ausführung des bösartigen Updaters.“] class persistence technique c2_https[„<b>Technik</b> – <b>T1071.001 Web-Protokolle: Web</b><br/><b>Beschreibung</b>: Kommando-und-Kontroll-Datenverkehr wird über HTTPS mit Standard-Webprotokollen gesendet.“] class c2_https technique compression[„<b>Technik</b> – <b>T1027.015 Archivierung über Hilfsprogramm</b><br/><b>Beschreibung</b>: Nutzlasten werden in ZIP-Archiven gespeichert, um der Erkennung zu entgehen.“] class compression technique %% Operator Node (AND logic) op_and((„UND“)) class op_and operator %% Connections u2013 Flow initial_access u002du002d>|führt zu| user_execution user_execution u002du002d>|liefert| dropper dropper u002du002d>|verwendet| subvert_trust dropper u002du002d>|speichert_nutzlasten_in| compression dropper u002du002d>|führt_aus| powershell powershell u002du002d>|erstellt| scheduled_task scheduled_task u002du002d>|ermöglicht| persistence persistence u002du002d>|kommuniziert_mit| c2_https „
Angriffsfluss
Erkennungen
Mögliche Abwehrumgehungsaktivität durch verdächtige Nutzung von Wevtutil (via cmdline)
Ansehen
Verdächtige Geplante Aufgabe (via Audit)
Ansehen
Geplante Aufgabe über COM-Objekt (via Powershell)
Ansehen
IOCs (HashSha256) zur Erkennung: Kostenlose Converter-Software – Konvertieren Sie jedes System in Sekunden von sauber zu infiziert Teil 7
Ansehen
IOCs (HashSha256) zur Erkennung: Kostenlose Converter-Software – Konvertieren Sie jedes System in Sekunden von sauber zu infiziert Teil 5
Ansehen
IOCs (HashSha256) zur Erkennung: Kostenlose Converter-Software – Konvertieren Sie jedes System in Sekunden von sauber zu infiziert Teil 6
Ansehen
IOCs (HashSha256) zur Erkennung: Kostenlose Converter-Software – Konvertieren Sie jedes System in Sekunden von sauber zu infiziert Teil 4
Ansehen
IOCs (HashSha256) zur Erkennung: Kostenlose Converter-Software – Konvertieren Sie jedes System in Sekunden von sauber zu infiziert Teil 1
Ansehen
IOCs (HashSha256) zur Erkennung: Kostenlose Converter-Software – Konvertieren Sie jedes System in Sekunden von sauber zu infiziert Teil 3
Ansehen
IOCs (HashSha256) zur Erkennung: Kostenlose Converter-Software – Konvertieren Sie jedes System in Sekunden von sauber zu infiziert Teil 2
Ansehen
IOCs (HashSha1) zur Erkennung: Kostenlose Converter-Software – Konvertieren Sie jedes System in Sekunden von sauber zu infiziert
Ansehen
Registrierungsänderung einer geplanten Aufgabe für Malware-Persistenz [Windows-Registrierungsereignis]
Ansehen
Erkennung der Erstellung von geplanten Aufgaben für Malware-Persistenz [Microsoft Windows Sicherheitsereignis-Log]
Ansehen
Erkennung des ConvertMate bösartigen Payload und UUID Dateierstellung [Windows Datei Ereignis]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetry & Baseline Pre‑flight Check muss bestanden sein.
Rationale: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die Telemetriedaten zu erzeugen, die von der Erkennungslogik erwartet werden.
-
Angriffserzählung & Befehle:
Ein Angreifer, der bereits Zugriff auf das lokale System erlangt hat, möchte die Persistenz über Neustarts hinweg aufrechterhalten. Er entscheidet sich, den Windows Task Scheduler’s Backend der Registrierung zu missbrauchen, da es eine „Living-off-the-Land“-Methode ist, die die Erstellung neuer ausführbarer Dateien vermeidet. Mitreg.exefügen sie eine neue Aufgaben-Definition direkt unterTaskCacheTasksHive hinzu, die auf eine bösartige Nutzlast in%LocalAppData%zeigt. Dieser Schreibvorgang erzeugt ein Sysmon-Ereignis 13 mit einemRegistryPathder dem Selektor der Regel entspricht, wodurch der Alarm ausgelöst wird. -
Regressionstest-Skript:
# ------------------------------------------------------------------------- # PowerShell-Skript zur Simulation von T1547.014 / T1574.014 – Geplante Aufgabe Persistenz # ------------------------------------------------------------------------- # Variablen $taskGuid = [guid]::NewGuid().ToString("B").ToUpper() # z.B. {A1B2C3D4-...} $payload = "$env:LOCALAPPDATAmalwareevil.exe" $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" # Sicherstellen, dass das Nutzlastverzeichnis existiert (simuliert) New-Item -Path (Split-Path $payload) -ItemType Directory -Force | Out-Null # (Bei einem echten Angriff würde das bösartige Binary hier abgelegt werden) # Erstellen Sie den Registrierungsschlüssel für die geplante Aufgabe New-Item -Path $regPath -Force | Out-Null # Minimal erforderliche Werte einfügen (Task XML wäre weitaus größer; wir halten es einfach) New-ItemProperty -Path $regPath -Name "Path" -Value $payload -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "Id" -Value $taskGuid -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "SecurityDescriptor" -Value "O:BAG:SYD:(A;;FA;;;SY)(A;;FA;;;BA)" -PropertyType String -Force | Out-Null Write-Host "[+] Registrierung der Aufgabe geschrieben zu $regPath – Erkennungsregel sollte ausgelöst werden." -
Säuberungsbefehle:
# Die bösartige geplante Aufgaben-Registrierungseintrag entfernen $taskGuid = (Get-ItemProperty -Path "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks*").Id $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" Remove-Item -Path $regPath -Recurse -Force # Optional das Dummy-Payload entfernen Remove-Item -Path "$env:LOCALAPPDATAmalware" -Recurse -Force Write-Host "[+] Säuberung abgeschlossen."