Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
BlankGrabber ist ein Python-basierter Infostealer, der mit einem Batch-Skript-Loader startet, welcher einen als Zertifikat getarnten Rust-kompilierten Stager „decodiert“. Der Stager führt Sandbox- und VM-Überprüfungen durch, entschlüsselt eine eingebettete Nutzlast und legt mehrere bösartige Komponenten ab, einschließlich eines XWorm-Clients und eines mit PyInstaller gepackten Stealers. Die Exfiltration verwendet öffentliche Webdienste wie Telegram-Bot-APIs und IP-Abfrage-Endpunkte, um sich mit normalem Datenverkehr zu vermischen. Die Malware manipuliert auch Systemeinstellungen, blockiert den Zugriff auf Sicherheitsseiten und versucht, UAC zu umgehen, um die Persistenz zu verstärken.
Untersuchung
Das Splunk Threat Research Team analysierte den anfänglichen Loader, der über gofile.io geliefert wurde, seine Nutzung von certutil.exe zur Nutzlastdecodierung und die Anti-Analyse-Logik des Rust-Stagers. Sie entschlüsselten den AES-GCM/CTR-Dekodierungsfluss, extrahierten ein eingebettetes ZIP-Archiv und kartierten die resultierende Nutzlast. Verhaltenstests zeigten umfassende Host-Erkennung, Webcam-Aufnahmen, Clipboard-Diebstahl und Diebstahl von Host-Schlüsseln sowie anderen sensiblen Artefakten.
Abschwächung
Überwachen Sie verdächtige certutil.exe-Nutzung, PowerShell-Befehle, die Windows Defender-Voreinstellungen ändern, und unbefugte Bearbeitungen der Hosts-Datei. Alarmieren Sie bei WinRAR/rar.exe-Ausführung von nicht standardmäßigen Pfaden und DNS-Abfragen zu Telegram-API oder bekannten IP-Lookup-Diensten. Blockieren Sie bekannte bösartige Dateinamen und begrenzen Sie die Ausführung von unsignierten PyInstaller-gepackten Python-Binärdateien durch Anwendungsrichtlinien.
Reaktion
Wenn Indikatoren erkannt werden, isolieren Sie den Endpunkt, bewahren Sie flüchtige Beweise und das %TEMP%-Verzeichnis für forensische Analysen auf. Entfernen Sie bösartige geplante Aufgaben oder Registrierungseinträge unter „Run“, setzen Sie etwaige Änderungen an der Hosts-Datei zurück und entfernen Sie Windows Defender-Ausschlüsse. Führen Sie einen vollständigen Anmeldeinformationen-Reset für potenziell gefährdete Browser-Anmeldedaten und Krypto-Wallet-Daten durch.
"graph TB %% Class definitions classDef technique fill:#e6f7ff classDef operator fill:#ffcc66 classDef data fill:#d9ead3 %% Nodes u2013 Techniques init_exec["<b>Technik</b> – T1059.003: Windows-Kommandozeileninterpreter<br/><b>Beschreibung</b>: Batch-Skript führt certutil aus, um eingebetteten Rust-Stager zu decodieren"] class init_exec technique evasion_vm["<b>Technik</b> – T1497: Virtualisierungs-/Sandbox-Ausweichen<br/><b>Beschreibung</b>: Überprüft Treiber, Benutzernamen und UUIDs, um Analyseumgebungen zu erkennen"] class evasion_vm technique obfuscation["<b>Technik</b> – T1027: Verschleierte Dateien oder Informationen<br/><b>Beschreibung</b>: Rust-Ausführbare ist als Zertifikatdatei getarnt"] class obfuscation technique decode["<b>Technik</b> – T1140: Dateien oder Informationen entschleiern/decodieren<br/><b>Beschreibung</b>: AESu2011CTR/GCM-Entschlüsselung der verschlüsselten Nutzlast (blank.aes)"] class decode technique load_stager["<b>Technik</b> – T1105: Werkzeugübertragung<br/><b>Beschreibung</b>: Wirft eine zufällig benannte ausführbare Datei in %TEMP% ab und startet sie"] class load_stager technique pers_startup["<b>Technik</b> – T1037.005: Start- oder Anmeldeinitialisierungsskripte (Startup-Ordner)"] class pers_startup technique elev_uac["<b>Technik</b> – T1548.002: Missbrauch der Kontrollmechanismen für Erhöhungen (Registry UAC-Umgehung)"] class elev_uac technique impair_def["<b>Technik</b> – T1562.004: Verteidigungen beeinträchtigen (Windows Defender deaktivieren, Ausschluss hinzufügen)"] class impair_def technique hide_hosts["<b>Technik</b> – T1564.012: Artefakte verstecken (Hosts-Datei ändern, um Sicherheitsseiten zu blockieren)"] class hide_hosts technique data_collection["<b>Technik</b> – T1082: Systeminformationsentdeckung und dazugehörige Erfassung"] class data_collection data sysinfo["<b>Technik</b> – T1082: Systeminformationsentdeckung"] class sysinfo technique browser_info["<b>Technik</b> – T1217: Browserinformationsentdeckung"] class browser_info technique clipboard["<b>Technik</b> – T1115: Zwischenablagedaten"] class clipboard technique video_capture["<b>Technik</b> – T1125: Videoaufzeichnung"] class video_capture technique wifi_passwords["<b>Technik</b> – T1016: Systemnetzwerkkonfigurationsentdeckung (Wiu2011Fi-Passwörter)"] class wifi_passwords technique product_key["<b>Technik</b> – T1012: Registrierung abfragen (Windows-Produktschlüssel)"] class product_key technique removable_media["<b>Technik</b> – T1025: Daten von Wechseldatenträgern"] class removable_media technique wmi_queries["<b>Technik</b> – T1047: Windows-Verwaltungsinstrumentation (Systemabfragen)"] class wmi_queries technique archive_data["<b>Technik</b> – T1560.001: Gesammelte Daten archivieren (RAR-Dienstprogramm)"] class archive_data technique exfil_telegram["<b>Technik</b> – T1041: Exfiltration über C2-Kanal (Telegram-Bot-API)"] class exfil_telegram technique exfil_public["<b>Technik</b> – T1048: Exfiltration über alternativen Protokoll (öffentliche Dateifreigabedienste)"] class exfil_public technique self_delete["<b>Technik</b> – T1070: Indikatorenentfernung (Selbstlöschung nach Exfiltration)"] class self_delete technique %% Flow connections init_exec –>|leads_to| evasion_vm evasion_vm –>|leads_to| obfuscation obfuscation –>|leads_to| decode decode –>|leads_to| load_stager load_stager –>|enables| pers_startup load_stager –>|enables| elev_uac load_stager –>|enables| impair_def load_stager –>|enables| hide_hosts load_stager –>|starts| data_collection data_collection –>|includes| sysinfo data_collection –>|includes| browser_info data_collection –>|includes| clipboard data_collection –>|includes| video_capture data_collection –>|includes| wifi_passwords data_collection –>|includes| product_key data_collection –>|includes| removable_media data_collection –>|includes| wmi_queries data_collection –>|leads_to| archive_data archive_data –>|uses| exfil_telegram archive_data –>|uses| exfil_public exfil_telegram –>|followed_by| self_delete exfil_public –>|followed_by| self_delete "
Angriffsfluss
Erkennungen
Privilegieneskalation (UAC-Umgehung) via FodHelper (via cmdline)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via cmdline)
Ansehen
Mögliche Daten Infiltration / Exfiltration / C2 über Drittdienste / Werkzeuge (via proxy)
Ansehen
Potenzielle Erfassung gestagter Daten im Temp-Ordner (via file_event)
Ansehen
Mögliche Systemaufzählung (via cmdline)
Ansehen
Änderungen des Umgebungspfads (via registry_event)
Ansehen
Mögliche Verwendung von PING zur verzögerten Ausführung (via cmdline)
Ansehen
Verdächtige Operationen am Ms-settings Registry-Schlüssel (via cmdline)
Ansehen
Verwendung von Certutil zur Datenkodierung und Zertifikats-Operationen (via cmdline)
Ansehen
Mögliche Erkennung von WiFi-Passwörtern (via cmdline)
Ansehen
Umgebungsvariablen in Befehlszeilenargumenten (via cmdline)
Ansehen
Mögliche Daten Infiltration / Exfiltration / C2 über Drittdienste / Werkzeuge (via dns)
Ansehen
Mögliche Erkennung der Systemnetzwerkkonfiguration (via cmdline)
Ansehen
Mögliche Erkennung von Antivirus- oder Firewall-Software (via process_creation)
Ansehen
Verdächtige Änderungen der Windows Defender-Einstellungen (via powershell)
Ansehen
Windows Defender-Echtzeitüberwachung deaktivieren (via powershell)
Ansehen
Verdächtige Binärdateien / Skripte im Autostart-Ort (via file_event)
Ansehen
Möglicher Versuch, IP-Lookup-Domain-Kommunikationen (via dns) durchzuführen
Ansehen
Deaktivieren Sie die Windows Defender-Echtzeitüberwachung und andere Einstellungsänderungen (via cmdline)
Ansehen
IOCs (HashSha256) zur Erkennung: Die Zertifikatsdecodierungs-Illusion: Wie der Blank Grabber Stealer seinen Loader versteckt
Ansehen
Erkennung der BlankGrabber C2 Kommunikation über DNS-Abfragen [Windows Sysmon]
Ansehen
Erkennung von BlankGrabber PowerShell-Aktivität [Windows Powershell]
Ansehen
Simulation Ausführung
Voraussetzung: Die Telemetrie- & Basislinien-Vorabkontrolle muss bestanden worden sein.
Begründung: In diesem Abschnitt wird die präzise Ausführung der Angreifertechnik (TTP) beschrieben, die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die von der Erkennung erwartete Telemetrie exakt zu erzeugen.
-
Angriffsgeschichte & Befehle:
Der Angreifer, der den Endpunkt mit dem BlankGrabber-Stealer kompromittiert hat, gibt DNS-Abfragen an drei verschiedene Dienste aus, die von der Malware für C2 und Aufklärung verwendet werden:- Telegram API-Domäne – verwendet, um Befehle über einen Telegram-Bot abzurufen.
Resolve-DnsName -Name api.telegram.org -Type A - Öffentlicher IP-Check-Dienst – erhält die externe IP-Adresse des Opfers für spätere Exfiltration.
Resolve-DnsName -Name api.ipify.org -Type A - Missbrauchter Dateiaustauschdienst – sendet einen kleinen codierten Datenblock über eine Unterdomäne von
pastebin.com.Resolve-DnsName -Name maliciouspayload.pastebin.com -Type A
Jeder Anruf erfolgt mit der nativen PowerShell-Funktion
Resolve-DnsName, um sicherzustellen, dass die DNS-Client-Protokolle auf dem lokalen Host erstellt werden. Die drei Abfragen korrelieren direkt mit den dreiAuswahl_Blöcken der Sigma-Regel, was eine Übereinstimmung garantiert. - Telegram API-Domäne – verwendet, um Befehle über einen Telegram-Bot abzurufen.
-
Regressionstestskript:
# BlankGrabber DNS C2 Simulation – löst Erkennungsregel aus $domains = @( "api.telegram.org", "api.ipify.org", "maliciouspayload.pastebin.com" ) foreach ($d in $domains) { Write-Host "Abfrage $d ..." try { Resolve-DnsName -Name $d -Type A -ErrorAction Stop | Out-Null Write-Host "✅ $d abgefragt" } catch { Write-Warning "❌ Abfrage von $d fehlgeschlagen : $_" } Start-Sleep -Seconds 2 # leichte Verzögerung, um realistischen Datenverkehr zu simulieren } -
Bereinigungsbefehle:
# Durch Resolve-DnsName werden keine persistenten Artefakte erstellt. # Löschen Sie den DNS-Cache, um jegliche Resteinträge zu entfernen. ipconfig /flushdns Write-Host "DNS-Cache gelöscht."