Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein trojanisiertes Installationsprogramm, das sich als LINE Messenger-Setup ausgibt, wurde beobachtet, wie es einen ValleyRAT Load lieferte. Erstellt mit NSIS und signiert mit einem verdächtigen Zertifikat, aktiviert der Dropper mehrere DLL- und INI-Komponenten, die Code-Injektion and Persistenzunterstützen. Die Malware kommuniziert dann mit zwei in Hongkong gehosteten C2-Servern, um zusätzliche bösartige Binärdateien abzurufen. Die Aktivität scheint sich gegen chinesischsprachige Benutzer zu richten und verwendet fortschrittliche Taktiken, darunter PoolParty Variante 7 Prozess-Injektion.
Untersuchung
Cybereason-Analysten führten eine statische und dynamische Analyse des gefälschten LINE-Installationsprogramms durch und bestätigten die Verwendung von PowerShell, rundll32und benutzerdefinierten DLL-Loadern. Die Kette erstellte Artefakte in %AppData% and %LocalAppData%, etablierte Synchronisierung über Mutexeund registrierte Persistenz durch geplante Aufgaben , die über RPC erstellt wurden. Das Verhalten nach der Installation umfasste die Injektion in explorer.exe and UserAccountBroker.exe, was mit einem auf Tarnung ausgerichteten Remotezugriffs-Workflow übereinstimmt. Netzwerk-Telemetrie identifizierte zwei in Hongkong befindliche C2-IP-Adressen, die für die Befehlsabfrage und die Bereitstellung von Nutzlasten verwendet werden. Die Zuschreibung wurde als konsistent mit Silver Fox Aktivität bewertet und zeigte Code-Überlappungen mit SADBRIDGE.
Minderung
Suchen Sie nach dem mit NSIS gepackten gefälschten Installationsprogramm und geben Sie Alarm bei verdächtigem Zertifikats-Fingerabdruck in der Signierungskette. Überwachen Sie die Erstellung des gedroppten Dateisets des Installationsprogramms, damit verbundene Registrierungsänderungen und Versuche, Windows Defender-Ausnahmenhinzuzufügen. Blockieren Sie den externen Verbindungsaufbau zu den identifizierten C2-IPs und setzen Sie Code-Signing-Kontrollen durch, die ungültige oder nicht vertrauenswürdige Zertifikate ablehnen. Fügen Sie EDR-Erkennungen für PoolParty Variante 7-Stil Injektionsmuster und für Geplante-Aufgaben-Erstellungssequenzen hinzu, die mit RPC-basierter Persistenz konsistent sind.
Antwort
Wenn verdächtige Aktivitäten festgestellt werden, isolieren Sie den Endpunkt, beenden Sie bösartige Prozesse und entfernen Sie das gefälschte Installationsprogramm sowie alle geladenen Artefakte. Führen Sie einen vollständigen Scan auf zusätzliche ValleyRAT Module durch, stellen Sie die Defender-Einstellungen wieder her (einschließlich der Entfernung nicht autorisierter Ausnahmen) und löschen Sie die von Angreifern erstellten geplanten Aufgaben. Überprüfen Sie die aktuelle Benutzer- und Hostaktivität auf Anzeichen von seitlicher Bewegung, bevor Sie die Vorfälle zur Gedächtnisaufnahme und tieferen forensischen Datensammlung eskalieren.
graph TB %% Klassendefinitionen classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ff9999 classDef malware fill:#ccffcc classDef network fill:#dddddd %% Knoten tech_user_exec[„<b>Technik</b> – <b>T1204 Benutzer-Ausführung</b><br/><b>Beschreibung</b>: Das Opfer führt einen bösartigen Fake-Installer (LineInstaller.exe) aus, der sich als legitimer LINE-Installer tarnt.“] class tech_user_exec technique tech_masquerade[„<b>Technik</b> – <b>T1036 Maskierung</b><br/><b>Beschreibung</b>: Installer ahmt den Namen legitimer Software nach und verwendet ein gültig aussehendes Code-Signing-Zertifikat.“] class tech_masquerade technique tech_event_exec[„<b>Technik</b> – <b>T1546.016 Ereignisgesteuerte Ausführung: Installationspakete</b><br/><b>Beschreibung</b>: NSIS-basierter Installer wird mit erhöhten Rechten über UAC ausgeführt.“] class tech_event_exec technique tech_powershell[„<b>Technik</b> – <b>T1059.001 PowerShell</b><br/><b>Beschreibung</b>: PowerShell fügt Windows Defender Ausschlusspfade hinzu und bereitet Persistenz-Skripte vor.“] class tech_powershell technique tech_regsvr32[„<b>Technik</b> – <b>T1218.010 Regsvr32 Proxy-Ausführung</b><br/><b>Beschreibung</b>: Geplanter Task ruft regsvr32.exe auf, um DllRegisterServer in intel.dll auszuführen.“] class tech_regsvr32 technique tech_rundll32[„<b>Technik</b> – <b>T1218.011 Rundll32 Proxy-Ausführung</b><br/><b>Beschreibung</b>: rundll32.exe startet DllRegisterServer von intel.dll.“] class tech_rundll32 technique tech_sched_task[„<b>Technik</b> – <b>T1053 Geplanter Task</b><br/><b>Beschreibung</b>: Bösartige geplante Tasks erstellt via RPC-Aufrufe an den Taskplanungsdienst.“] class tech_sched_task technique tech_sandbox_evasion[„<b>Technik</b> – <b>T1497.002 Virtualisierung/Sandbox-Umgehung</b><br/><b>Beschreibung</b>: intel.dll prüft Datei-Locks und Mutexes, um Sandbox-Umgebungen zu erkennen.“] class tech_sandbox_evasion technique tech_pe_injection[„<b>Technik</b> – <b>T1055.002 Prozessinjektion: Portable Executable Injection</b><br/><b>Beschreibung</b>: intel.dll und sangee.ini injizieren Shellcode in Explorer.exe mittels PoolParty Variant 7.“] class tech_pe_injection technique tech_apc_injection[„<b>Technik</b> – <b>T1055.004 Prozessinjektion: Asynchronous Procedure Call</b><br/><b>Beschreibung</b>: Injektion nutzt ZwSetIoCompletion mit einem I/O Completion Port Handle.“] class tech_apc_injection technique tech_exploit_defense[„<b>Technik</b> – <b>T1211 Ausnutzung zur Verteidigungsumgehung</b><br/><b>Beschreibung</b>: Malware ruft SetTcpEntry auf, um TCP-Verbindungen von Sicherheitskomponenten zu löschen.“] class tech_exploit_defense technique tech_obfuscation[„<b>Technik</b> – <b>T1027.005 Verschleierte Dateien: Indikatoren entfernen</b><br/><b>Beschreibung</b>: Anti-Sandbox- und Anti-Analyse-Prüfungen verbergen Artefakte und verhindern die Ausführung in Analyseumgebungen.“] class tech_obfuscation technique tech_web_service[„<b>Technik</b> – <b>T1102 Webdienst</b><br/><b>Beschreibung</b>: Endgültiges Payload ValleyRat von Remote-C2-Servern über Standard-TCP abgerufen.“] class tech_web_service technique file_lineinstaller[„<b>Datei</b> – <b>Name</b>: LineInstaller.exe<br/><b>Typ</b>: NSIS Installer“] class file_lineinstaller file file_inteldll[„<b>Datei</b> – <b>Name</b>: intel.dll<br/><b>Typ</b>: DLL für Proxy-Ausführung und Injektion“] class file_inteldll file file_sangee[„<b>Datei</b> – <b>Name</b>: sangee.ini<br/><b>Zweck</b>: Konfiguration für Injektionsroutinen“] class file_sangee file file_policyxml[„<b>Datei</b> – <b>Name</b>: policyManagement.xml<br/><b>Zweck</b>: Definiert geplante Task-Details“] class file_policyxml file file_updatedps1[„<b>Datei</b> – <b>Name</b>: updated.ps1<br/><b>Zweck</b>: PowerShell-Persistenz-Skript“] class file_updatedps1 file malware_valleyrat[„<b>Malware</b> – <b>Name</b>: ValleyRat<br/><b>Rolle</b>: Endgültiges Payload für das Opfer“] class malware_valleyrat malware process_regsvr32[„<b>Prozess</b> – <b>Name</b>: regsvr32.exe“] class process_regsvr32 process process_rundll32[„<b>Prozess</b> – <b>Name</b>: rundll32.exe“] class process_rundll32 process process_explorer[„<b>Prozess</b> – <b>Name</b>: Explorer.exe“] class process_explorer process network_c2[„<b>Netzwerk</b> – <b>C2 Server</b>: 143.92.38.217:18852, 206.238.221.165:443“] class network_c2 network %% Verbindungen tech_user_exec –>|startet| file_lineinstaller file_lineinstaller –>|löst aus| tech_masquerade tech_masquerade –>|aktiviert| tech_event_exec tech_event_exec –>|erhöht zu| process_regsvr32 process_regsvr32 –>|ruft auf| file_inteldll file_inteldll –>|registriert über| tech_regsvr32 tech_regsvr32 –>|verwendet auch| process_rundll32 process_rundll32 –>|lädt| file_inteldll tech_rundll32 –>|lädt ebenfalls| file_inteldll file_inteldll –>|erstellt| tech_sched_task tech_sched_task –>|erstellt Task mit| file_policyxml tech_sched_task –>|führt aus| file_updatedps1 file_updatedps1 –>|führt PowerShell-Befehle für| tech_powershell aus tech_powershell –>|fügt Ausnahmen hinzu und bereitet vor| tech_sandbox_evasion tech_sandbox_evasion –>|prüft Umgebung vor| tech_pe_injection tech_pe_injection –>|injiziert in| process_explorer tech_pe_injection –>|verwendet| tech_apc_injection tech_apc_injection –>|nutzt| tech_exploit_defense tech_exploit_defense –>|stört Sicherheitstools| file_sangee tech_obfuscation –>|versteckt Artefakte für| malware_valleyrat malware_valleyrat –>|abgerufen von| network_c2 network_c2 –>|liefert Payload über| tech_web_service tech_web_service –>|endgültige Lieferung an| process_explorer
Angriffsfluss
Erkennungen
Mögliche Erstellung einer geplanten Aufgabe (über PowerShell)
Ansicht
Verdächtige geplante Aufgabe (über Audit)
Ansicht
Rundll32 Dll verdächtiger Pfad-Ausführung (über Prozess-Erstellung)
Ansicht
Windows Defender Präferenzen verdächtige Änderungen (über PowerShell)
Ansicht
LOLBAS Regsvr32 (über Kommandozeile)
Ansicht
IOCs (Ziel-IP) zur Erkennung: Gefälschtes Installationsprogramm: Schließlich, ValleyRAT-Infektion
Ansicht
IOCs (HashSha1) zur Erkennung: Gefälschtes Installationsprogramm: Schließlich, ValleyRAT-Infektion
Ansicht
IOCs (Quell-IP) zur Erkennung: Gefälschtes Installationsprogramm: Schließlich, ValleyRAT-Infektion
Ansicht
Erkennung von gefälschten Installationsprogrammen unter Verwendung von Windows Defender-Ausnahmen und geplanten Aufgaben [Windows PowerShell]
Ansicht
Simulationsausführung
Voraussetzung: Die Telemetrie- und Grundlagen-Prüfung muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifertechnik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue von der Erkennungslogik erwartete Telemetrie zu generieren.
-
Angriffserzählung & Befehle:
Ein Angreifer, der bereits ein niedrig-privilegiertes Konto kompromittiert hat, möchte eine Nutzlast auf dem kompromittierten Host bereitstellen, während er die Überprüfung durch Antiviren-Programme umgeht. Der Angreifer:- Verwendet PowerShell, um eine Windows Defender-Ausnahme hinzuzufügen, die das gesamte C: Laufwerk umfasst, wodurch sichergestellt wird, dass alle dort platzierten bösartigen Binärdateien für Defender unsichtbar sind.
- In derselben PowerShell Ausführung registriert eine geplante Aufgabe, die die versteckte Nutzlast startet (
C:Malwarepayload.ps1) jedes Mal, wenn ein bestimmter legitimer Prozess (z. B.explorer.exe) gestartet wird, wodurch Persistenz gewährleistet wird. - Weil beide Aktionen zu einem einzigen Kommandozeilen-Befehl kombiniert wurden, entspricht die Telemetrie der Sigma-Regel
Auswahl1 und Auswahl2Bedingung, was einen Alarm auslöst.
-
Regressionstest-Skript:
# ------------------------------------------------- # Gefälschte Installationssimulierung – Löst Sigma-Regel aus # ------------------------------------------------- # 1. Definieren Sie den Ausschlusspfad (gesamtes C: Laufwerk) $exclusion = "C:" # 2. Definieren Sie Details der geplanten Aufgabe $taskName = "UpdateScheduler" $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1" $trigger = New-ScheduledTaskTrigger -AtLogOn # 3. Kombinieren Sie beide Befehle zu einer einzigen PowerShell-Kommandozeile $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force" # 4. Rufen Sie den kombinierten Befehl auf Invoke-Expression $combined -
Bereinigungskommandos:
# ------------------------------------------------- # Bereinigung – Entfernen Sie die Ausnahme und die geplante Aufgabe # ------------------------------------------------- # Entfernen Sie die Defender-Ausnahme für C: Remove-MpPreference -ExclusionPath "C:" # Löschen der geplanten Aufgabe Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false