SOC Prime Bias: Kritisch

15 Apr 2026 14:47 UTC

Dragon Boss setzt über 25.000 Endpunkte der Gefahr aus

Author Photo
SOC Prime Team linkedin icon Folgen
Dragon Boss setzt über 25.000 Endpunkte der Gefahr aus
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Eine potenziell unerwünschte Anwendung, signiert von Dragon Boss Solutions, missbrauchte einen legitimen Aktualisierungsworkflow, um leise MSI- und PowerShell-Nutzlasten herunterzuladen und auszuführen, die Antiviren-Schutzmaßnahmen deaktivierten und Persistenz durch WMI-Ereignisabonnements und geplante Aufgaben etablierten. Da der Updater mit nicht registrierten Domains kommunizierte, die von jedem beansprucht werden konnten, schuf die Software effektiv eine Lieferkettenmöglichkeit für die Lieferung von beliebigem Code. Forscher beobachteten mehr als 25.000 Endpunkte, die sich mit dieser Infrastruktur verbanden, einschließlich Systeme in mehreren Hochwertsektoren.

Untersuchung

Huntress entdeckte WMI-basierte Persistenz-Artefakte und einen Anstieg bei der Erstellung geplanter Aufgaben, dann wurde die Aktivität zu einer signierten ausführbaren Datei namens RaceCarTwo.exe zurückverfolgt, die einen MSI-Installer startete. Der Installer extrahierte ein PowerShell-Skript namens ClockRemoval.ps1, das Antivirus-Prozesse beendete, den Zugriff auf AV-Aktualisierungsdomains blockierte, Microsoft Defender-Ausschlüsse hinzufügte und sich wiederholt neu installierte, um die Präsenz aufrechtzuerhalten. Ermittler fanden auch heraus, dass nicht registrierte Domains, darunter chromsterabrowser.com, als primäre Aktualisierungsquelle genutzt wurden, was bedeutete, dass jede externe Partei diese Domains registrieren und ihre eigenen Nutzlasten bereitstellen konnte.

Minderung

Um weiteren Missbrauch zu stoppen, registrierte das Forschungsteam die freigelegten Domains und leitete sie um, wodurch der bösartige Aktualisierungspfad effektiv unterbrochen wurde. Sie dokumentierten auch die zugehörigen WMI-Ereignisabonnements, geplante Aufgaben und Registrierungsänderungen, damit Verteidiger die betroffenen Komponenten identifizieren und entfernen können. Organisationen sollten die bekannten Domains blockieren und die spezifischen Aufgabennamen sowie die WMI-Verbraucheraktivität überwachen, die mit dieser Kampagne verbunden sind, um das Risiko einer anhaltenden Kompromittierung zu verringern.

Reaktion

Sicherheitsteams sollten die Erstellung geplanter Aufgaben wie ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogonund RemoveClockPeriodic. Warnungen sollten auch bei WMI-Ereignisabonnements mit MbRemoval or MbSetupanspringen. Verteidiger sollten ausführbare Dateien, die von Dragon Boss Solutions signiert sind, überwachen, nach der Präsenz von ClockRemoval.ps1 in WMILoad-Verzeichnissen suchen, Host-Dateien auf Einträge prüfen, die AV-Anbieter-Domains blockieren, und unerwartete Windows Defender-Ausschlüsse auf betroffenen Systemen untersuchen.

Angriffsfluss

Simulation Ausführung

Voraussetzung: Der Telemetrie- & Basislinien-Vorabflug-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifer-Technik (TTP), die dazu dient, die Erkennungsregel auszulösen. Die Befehle und Erläuterungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die durch die Erkennungslogik erwartet wird.

  • Angriffs Narrative & Befehle:
    Ein Angreifer hat die legitime RaceCarTwo.exe von Dragon Boss Solutions LLC signiert erhalten. Sie nutzen den vertrauenswürdigen Status der Binärdatei aus, um Anwendungswhitelisting zu umgehen. Zuerst setzen sie ein bösartiges MSI ein (Setup.msi), das einen privilegierten Dienst ablegt und eine geplante Aufgabe installiert, um T1546.016zu erreichen. Anschließend führen sie ein PowerShell-Skript aus (ClockRemoval.ps1), das das AV-Produkt auf dem Endpunkt deaktiviert oder deinstalliert, was T1059.001widerspiegelt. Beide Aktionen werden aus demselben Prozess heraus durchgeführt, um sicherzustellen, dass die Erkennungsregel genau die Befehlszeilenmuster sieht.

    1. Bereitstellung bösartige MSI:

      Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" `
                    -ArgumentList "Setup.msi" `
                    -Wait
    2. Ausführung AV-Disable PowerShell-Skript:

      Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" `
                    -ArgumentList "ClockRemoval.ps1" `
                    -Wait
  • Regression Test Script:
    Das folgende Skript automatisiert die beiden Schritte in einem einzigen Durchlauf und reproduziert genau die Telemetrie, die die Sigma-Regel erwartet.

    # -------------------------------------------------
    # Simulation der böswilligen Ausführungskette von DragonBoss
    # -------------------------------------------------
    $binaryPath = "C:Program FilesDragonBossRaceCarTwo.exe"
    
    # 1. Bösartige MSI installieren
    Write-Host "[*] Bösartige MSI bereitstellen (Setup.msi)…"
    Start-Process -FilePath $binaryPath -ArgumentList "Setup.msi" -Wait
    
    # 2. AV-Disable PowerShell-Skript ausführen
    Write-Host "[*] ClockRemoval.ps1 über dasselbe Binary ausführen…"
    Start-Process -FilePath $binaryPath -ArgumentList "ClockRemoval.ps1" -Wait
    
    Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie Warnungen im SIEM."
  • Bereinigung Befehle:
    Entfernen Sie alle während der Simulation erstellten Artefakte, um den Host in seinen Zustand vor dem Test zurückzusetzen.

    # -------------------------------------------------
    # Bereinigung für DragonBoss-Simulation
    # -------------------------------------------------
    # Entfernen des installierten MSI-Produkts (Produktcode mit tatsächlicher GUID ersetzen)
    $productCode = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
    try {
        Write-Host "[*] Bösartige MSI deinstallieren..."
        msiexec /x $productCode /quiet /norestart
    } catch { Write-Warning "MSI-Deinstallation fehlgeschlagen oder Produkt nicht vorhanden." }
    
    # Löschen Sie das PowerShell-Skript, wenn es von der MSI auf die Festplatte geschrieben wurde
    $scriptPath = "$env:ProgramDataClockRemoval.ps1"
    if (Test-Path $scriptPath) {
        Write-Host "[*] ClockRemoval.ps1 entfernen..."
        Remove-Item $scriptPath -Force
    }
    
    Write-Host "[+] Bereinigung abgeschlossen."