Ein gefälschter Slack-Download gibt Angreifern einen versteckten Desktop auf Ihrem Rechner
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein bösartiger Installer, getarnt als Slack, wird über Tippfehler-Domains verbreitet, um ahnungslose Benutzer zu täuschen. Nach der Ausführung installiert er eine legitime Slack-Anwendung zusammen mit einem verdeckten Loader, der sich mit einem Command-and-Control-Server verbindet, eine verschlüsselte HVNC-Nutzlast abruft und diese in explorer.exe injiziert. Die Malware erstellt dann eine unsichtbare Desktop-Sitzung, die es Angreifern ermöglicht, auf der kompromittierten Maschine zu surfen, zu interagieren und Aktionen durchzuführen, ohne dass das Opfer es bemerkt. Dieser Ansatz ist besonders gefährlich in Umgebungen, in denen die Marke Slack sowohl von Einzelpersonen als auch von Unternehmen vertraut wird.
Untersuchung
Forscher entpackten den Installer und entdeckten zwei temporäre Dateien: slack.tmp, die ein legitimes Squirrel-Update-Paket enthielt, und svc.tmp, das als bösartiger Loader diente. Die Analyse zeigte, dass der Loader Persistenz durch einen Run-Registrierungsschlüssel herstellte, Windows-APIs zur Laufzeit dynamisch auflöste, eine verschlüsselte DLL herunterlud, sie als wmiprvse_*.tmp speicherte und eine Sektion-basierte Injektion verwendete, um sie in explorer.exe zu laden. Die Ermittler beobachteten auch ausgehende Kommunikation mit einem Command-and-Control-Server über TCP-Port 8081. Zusätzliche Anti-Analyse-Logik war vorhanden, einschließlich Debugger-Erkennung und Sandbox-Timing-Checks.
Minderung
Benutzer sollten Slack nur von der offiziellen slack.com Website oder aus vertrauenswürdigen gespeicherten Links herunterladen und digitale Signaturen vor der Ausführung eines Installers überprüfen. Organisationen sollten Echtzeitschutz aktivieren, der in der Lage ist, bekannte bösartige Domains und verdächtige ausführbare Dateien zu blockieren. Verteidiger sollten auch unerwarteten ausgehenden Datenverkehr über Port 8081, unbekannte Run-Registrierungseinträge und ungewöhnliche untergeordnete Prozesse überwachen, die mit vertrauenswürdigen Anwendungen in Verbindung stehen. Verhaltensbasierte Erkennungen können helfen, versteckte Desktop-Sitzungen und HVNC-bezogene Aktivitäten zu identifizieren, bevor Angreifer vollen interaktiven Zugriff erhalten.
Reaktion
Wenn diese Aktivität entdeckt wird, trennen Sie den betroffenen Endpunkt umgehend vom Netzwerk, beenden Sie den bösartigen Loader und alle HVNC-bezogenen Prozesse und entfernen Sie den Persistenzmechanismus aus dem Run-Registrierungsschlüssel. Ein vollständiger Malware-Scan sollte durchgeführt werden, und alle damit verbundenen bösartigen Domains und IP-Adressen sollten in der gesamten Umgebung blockiert werden. Alle auf der kompromittierten Maschine verwendeten Anmeldeinformationen sollten von einem sauberen Gerät aus zurückgesetzt werden, und das Sicherheitsteam sollte forensische Artefakte sammeln, um weitere Untersuchungen und die Abgrenzung zu unterstützen.
graph TB classDef technique fill:#ffcc99 classDef artifact fill:#c2f0c2 classDef process fill:#f9d5e5 classDef tool fill:#d9d9d9 classDef malware fill:#ffd699 site_typosquat[„<b>Artefakt</b> – Typosquatting-Webseite<br/>URL: slacks.pro oder debtclean-ua.sbs“] class site_typosquat artifact download_exe[„<b>Artefakt</b> – slacku20114u201149u201181.exe<br/>Von der gefälschten Webseite bereitgestellte schädliche Datei“] class download_exe artifact run_registry[„<b>Artefakt</b> – Registry-Run-Schlüssel<br/>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\com.squirrel.slack.slack“] class run_registry artifact hvnc_dll[„<b>Artefakt</b> – Verschlüsselte HVNC-DLL in benutzerdefiniertem PE-Abschnitt“] class hvnc_dll artifact c2_server[„<b>Artefakt</b> – Command-and-Control-Server<br/>Port 8081 über WinHTTP“] class c2_server artifact explorer_proc[„<b>Prozess</b> – explorer.exe (Windows-Shell)“] class explorer_proc process loader[„<b>Malware</b> – Loader-Komponente für Entschlüsselung, C2-Kommunikation und Injection“] class loader malware mavinject[„<b>Werkzeug</b> – Mavinject (System-Binary-Proxy-Ausführung)“] class mavinject tool initial_access[„<b>Technik</b> – <b>T1204.001 Benutzer-Ausführung: bösartiger Link</b><br/><b>Beschreibung</b>: Opfer klickt auf Link zu bösartiger Seite mit automatischem Download“] class initial_access technique execution_file[„<b>Technik</b> – <b>T1204.002 Benutzer-Ausführung: bösartige Datei</b><br/><b>Beschreibung</b>: Opfer führt heruntergeladene Datei aus“] class execution_file technique persistence_active_setup[„<b>Technik</b> – <b>T1547.014 Autostart bei Boot/Login: Active Setup</b><br/><b>Beschreibung</b>: Registry-Run-Key wird für Persistenz erstellt“] class persistence_active_setup technique obfuscation[„<b>Technik</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/><b>Beschreibung</b>: Payload wird verschlüsselt, gepolstert und zur Laufzeit verarbeitet“] class obfuscation technique embedded_payload[„<b>Subtechnik</b> – <b>T1027.009 Eingebetteter Payload</b>“] class embedded_payload technique binary_padding[„<b>Subtechnik</b> – <b>T1027.001 Binär-Padding</b>“] class binary_padding technique compile_after_delivery[„<b>Subtechnik</b> – <b>T1027.004 Kompilierung nach Lieferung</b>“] class compile_after_delivery technique stripped_payload[„<b>Subtechnik</b> – <b>T1027.008 Bereinigter Payload</b>“] class stripped_payload technique c2_communication[„<b>Technik</b> – <b>T1071.001 Web-Protokolle (WinHTTP)</b><br/><b>Beschreibung</b>: Kommunikation mit C2 über TCP 8081“] class c2_communication technique reflective_loading[„<b>Technik</b> – <b>T1620 Reflektives Laden von Code</b><br/><b>Beschreibung</b>: HVNC-DLL wird im Speicher entschlüsselt und geladen“] class reflective_loading technique process_injection[„<b>Technik</b> – <b>T1055.002 Portable-Executable-Injection</b><br/><b>Beschreibung</b>: DLL-Injektion in explorer.exe“] class process_injection technique system_binary_proxy[„<b>Technik</b> – <b>T1218.013 System-Binary-Proxy-Ausführung: Mavinject</b><br/><b>Beschreibung</b>: Nutzung von Mavinject zur DLL-Injektion“] class system_binary_proxy technique site_typosquat –>|hostet schädliche Seite| initial_access initial_access –>|löst Download aus| download_exe download_exe –>|vom Opfer ausgeführt| execution_file execution_file –>|Persistenz via| persistence_active_setup persistence_active_setup –>|erstellt| run_registry run_registry –>|lädt| loader loader –>|wendet an| obfuscation obfuscation –>|nutzt| embedded_payload obfuscation –>|nutzt| binary_padding obfuscation –>|nutzt| compile_after_delivery obfuscation –>|nutzt| stripped_payload loader –>|verbindet zu| c2_server c2_server –>|aktiviert| c2_communication loader –>|entschlüsselt und lädt| hvnc_dll hvnc_dll –>|geladen durch| reflective_loading reflective_loading –>|injiziert in| explorer_proc explorer_proc –>|Ziel von| process_injection process_injection –>|nutzt| mavinject mavinject –>|führt aus| system_binary_proxy
Angriffsablauf
Erkennungen
Möglicherweise wurde ein alternativer Datenstrom (ADS) erstellt (via file_event)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansehen
IOCs (HashSha256) zum Erkennen: Ein gefälschtes Slack-Download gibt Angreifern einen versteckten Desktop auf Ihrem Gerät
Ansehen
IOCs (SourceIP) zum Erkennen: Ein gefälschtes Slack-Download gibt Angreifern einen versteckten Desktop auf Ihrem Gerät
Ansehen
IOCs (DestinationIP) zum Erkennen: Ein gefälschtes Slack-Download gibt Angreifern einen versteckten Desktop auf Ihrem Gerät
Ansehen
Erkennung der Sektion-basierten Injektion in Explorer.exe [Windows Sysmon]
Ansehen
Gefälschter Slack-Installer erstellt versteckte Desktop-Sitzung [Windows Process Creation]
Ansehen
Simulationsausführung
Voraussetzung: Die Telemetrie- & Baseline-Vorflugskontrolle muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Adversary-Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
- Erstzugriff – Der Angreifer liefert einen trojanisierten Installer namens
slack-4-49-81.exeüber eine Phishing-E-Mail. - Ausführung – Das Opfer führt die Datei aus; es extrahiert einen versteckten Loader
svc.tmpto%TEMP%. - Versteckte Desktop-Erstellung (T1564.003) –
svc.tmpruftCreateProcessmitSW_HIDEauf, was eine versteckte Desktop-Sitzung erzeugt, die ein Fernzugriffstool hostet. - Persistenz (T1547.013 & T1546.016) – Der Loader registriert einen COM-Server, der über eine Verknüpfung im Autostart-Ordner gestartet wird, was die Ausführung beim Neustart sicherstellt.
- Mögliche Rootkit-Installation (T1014) – Wenn er erhöht ist,
svc.tmplegt einen Rootkit-Treiber ab in%SystemRoot%System32driversmaldrv.sys.
- Erstzugriff – Der Angreifer liefert einen trojanisierten Installer namens
-
Regressionstest-Skript: Das Skript reproduziert die Schritte 2–4 mit harmlosen Binärdateien (Kopien von
notepad.exe) und bewahrt dabei genau die Dateinamen, die die Regel überwacht.# ------------------------------------------------- # Regressionstest – Gefälschte Slack-Installer-Simulation # ------------------------------------------------- # 1. Bereiten Sie die gefälschten Binärdateien vor (verwenden Sie gutartige notepad.exe) $temp = $env:TEMP $installer = Join-Path $temp "slack-4-49-81.exe" $loader = Join-Path $temp "svc.tmp" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force # 2. Führen Sie den Installer aus – dies wird die Erkennungsregel auslösen Write-Host "[*] Starten des gefälschten Installers ..." Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null # 3. Simulieren der Erstellung eines versteckten Desktops (Loader) Write-Host "[*] Starten des versteckten Loaders ..." Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null # 4. Erstellen einer Verknüpfung im Autostart-Ordner, um Persistenz zu emulieren $startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup" $shortcutPath = Join-Path $startup "Slack Hidden.lnk" $shell = New-Object -ComObject WScript.Shell $shortcut = $shell.CreateShortcut($shortcutPath) $shortcut.TargetPath = $loader $shortcut.WindowStyle = 7 # Versteckt $shortcut.Save() Write-Host "[+] Simulation abgeschlossen. SIEM auf Ereignisse überprüfen, bei denen das Bild auf 'slack-4-49-81.exe' oder 'svc.tmp' endet." -
Bereinigungsbefehle: Entfernen Sie die Testartefakte und alle erstellten Verknüpfungen.
# Aufräumskript – mit demselben Benutzerkontext ausführen $temp = $env:TEMP Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue $shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk" Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue Write-Host "[+] Aufräumarbeiten abgeschlossen."