Dragon Boss setzt über 25.000 Endpunkte der Gefahr aus
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine potenziell unerwünschte Anwendung, signiert von Dragon Boss Solutions, missbrauchte einen legitimen Aktualisierungsworkflow, um leise MSI- und PowerShell-Nutzlasten herunterzuladen und auszuführen, die Antiviren-Schutzmaßnahmen deaktivierten und Persistenz durch WMI-Ereignisabonnements und geplante Aufgaben etablierten. Da der Updater mit nicht registrierten Domains kommunizierte, die von jedem beansprucht werden konnten, schuf die Software effektiv eine Lieferkettenmöglichkeit für die Lieferung von beliebigem Code. Forscher beobachteten mehr als 25.000 Endpunkte, die sich mit dieser Infrastruktur verbanden, einschließlich Systeme in mehreren Hochwertsektoren.
Untersuchung
Huntress entdeckte WMI-basierte Persistenz-Artefakte und einen Anstieg bei der Erstellung geplanter Aufgaben, dann wurde die Aktivität zu einer signierten ausführbaren Datei namens RaceCarTwo.exe zurückverfolgt, die einen MSI-Installer startete. Der Installer extrahierte ein PowerShell-Skript namens ClockRemoval.ps1, das Antivirus-Prozesse beendete, den Zugriff auf AV-Aktualisierungsdomains blockierte, Microsoft Defender-Ausschlüsse hinzufügte und sich wiederholt neu installierte, um die Präsenz aufrechtzuerhalten. Ermittler fanden auch heraus, dass nicht registrierte Domains, darunter chromsterabrowser.com, als primäre Aktualisierungsquelle genutzt wurden, was bedeutete, dass jede externe Partei diese Domains registrieren und ihre eigenen Nutzlasten bereitstellen konnte.
Minderung
Um weiteren Missbrauch zu stoppen, registrierte das Forschungsteam die freigelegten Domains und leitete sie um, wodurch der bösartige Aktualisierungspfad effektiv unterbrochen wurde. Sie dokumentierten auch die zugehörigen WMI-Ereignisabonnements, geplante Aufgaben und Registrierungsänderungen, damit Verteidiger die betroffenen Komponenten identifizieren und entfernen können. Organisationen sollten die bekannten Domains blockieren und die spezifischen Aufgabennamen sowie die WMI-Verbraucheraktivität überwachen, die mit dieser Kampagne verbunden sind, um das Risiko einer anhaltenden Kompromittierung zu verringern.
Reaktion
Sicherheitsteams sollten die Erstellung geplanter Aufgaben wie ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogonund RemoveClockPeriodic. Warnungen sollten auch bei WMI-Ereignisabonnements mit MbRemoval or MbSetupanspringen. Verteidiger sollten ausführbare Dateien, die von Dragon Boss Solutions signiert sind, überwachen, nach der Präsenz von ClockRemoval.ps1 in WMILoad-Verzeichnissen suchen, Host-Dateien auf Einträge prüfen, die AV-Anbieter-Domains blockieren, und unerwartete Windows Defender-Ausschlüsse auf betroffenen Systemen untersuchen.
Angriffsfluss
Erkennungen
Verdächtige Taskkill-Ausführung (über cmdline)
Ansicht
Powershell führt Datei in verdächtigem Verzeichnis mit Bypass Execution Policy aus (über cmdline)
Ansicht
LOLBAS Schtasks (über cmdline)
Ansicht
LOLBAS MsiExec Shell-Spawn (über cmdline)
Ansicht
IOCs (HashSha256) zum Erkennen: Wenn PUPs Zähne bekommen: Dragon Boss Solutions ließ eine offene Tür auf über 25.000 Endpunkten
Ansicht
Dragon Boss Solutions PowerShell-Ausführungsrichtlinienänderung [Windows PowerShell]
Ansicht
Erkennung von bösartigen Ausführungen von Dragon Boss Solutions LLC [Windows Prozess-Erstellung]
Ansicht
Simulation Ausführung
Voraussetzung: Der Telemetrie- & Basislinien-Vorabflug-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifer-Technik (TTP), die dazu dient, die Erkennungsregel auszulösen. Die Befehle und Erläuterungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die durch die Erkennungslogik erwartet wird.
-
Angriffs Narrative & Befehle:
Ein Angreifer hat die legitime RaceCarTwo.exe von Dragon Boss Solutions LLC signiert erhalten. Sie nutzen den vertrauenswürdigen Status der Binärdatei aus, um Anwendungswhitelisting zu umgehen. Zuerst setzen sie ein bösartiges MSI ein (Setup.msi), das einen privilegierten Dienst ablegt und eine geplante Aufgabe installiert, um T1546.016zu erreichen. Anschließend führen sie ein PowerShell-Skript aus (ClockRemoval.ps1), das das AV-Produkt auf dem Endpunkt deaktiviert oder deinstalliert, was T1059.001widerspiegelt. Beide Aktionen werden aus demselben Prozess heraus durchgeführt, um sicherzustellen, dass die Erkennungsregel genau die Befehlszeilenmuster sieht.-
Bereitstellung bösartige MSI:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "Setup.msi" ` -Wait -
Ausführung AV-Disable PowerShell-Skript:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "ClockRemoval.ps1" ` -Wait
-
-
Regression Test Script:
Das folgende Skript automatisiert die beiden Schritte in einem einzigen Durchlauf und reproduziert genau die Telemetrie, die die Sigma-Regel erwartet.# ------------------------------------------------- # Simulation der böswilligen Ausführungskette von DragonBoss # ------------------------------------------------- $binaryPath = "C:Program FilesDragonBossRaceCarTwo.exe" # 1. Bösartige MSI installieren Write-Host "[*] Bösartige MSI bereitstellen (Setup.msi)…" Start-Process -FilePath $binaryPath -ArgumentList "Setup.msi" -Wait # 2. AV-Disable PowerShell-Skript ausführen Write-Host "[*] ClockRemoval.ps1 über dasselbe Binary ausführen…" Start-Process -FilePath $binaryPath -ArgumentList "ClockRemoval.ps1" -Wait Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie Warnungen im SIEM." -
Bereinigung Befehle:
Entfernen Sie alle während der Simulation erstellten Artefakte, um den Host in seinen Zustand vor dem Test zurückzusetzen.# ------------------------------------------------- # Bereinigung für DragonBoss-Simulation # ------------------------------------------------- # Entfernen des installierten MSI-Produkts (Produktcode mit tatsächlicher GUID ersetzen) $productCode = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" try { Write-Host "[*] Bösartige MSI deinstallieren..." msiexec /x $productCode /quiet /norestart } catch { Write-Warning "MSI-Deinstallation fehlgeschlagen oder Produkt nicht vorhanden." } # Löschen Sie das PowerShell-Skript, wenn es von der MSI auf die Festplatte geschrieben wurde $scriptPath = "$env:ProgramDataClockRemoval.ps1" if (Test-Path $scriptPath) { Write-Host "[*] ClockRemoval.ps1 entfernen..." Remove-Item $scriptPath -Force } Write-Host "[+] Bereinigung abgeschlossen."