SOC Prime Bias: Mittel

24 März 2026 15:48
newspaper icon Huntress

Hinweise auf Phishing im Ordner /tmp verborgen

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
Hinweise auf Phishing im Ordner /tmp verborgen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Ein macOS-Benutzer wurde durch eine gefälschte “macOS Protection Service”-Aufforderung getäuscht und gab sein Passwort ein, was die Bereitstellung des MacSync-Infostealers auslöste. Die Schadsoftware sammelte Chrome- und Safari-Cookies, Apple-Schlüsselbund-Einträge, Kryptowährungs-Wallet-Daten und andere lokale Dateien und lagerte sie unter /tmp/salmonela/. Die gestohlenen Informationen wurden dann in einem Archiv komprimiert und mithilfe von curl an eine versteckte Command-and-Control-Domain exfiltriert, bevor das Archiv entfernt wurde. Huntress entdeckte den Einbruch, isolierte den Endpunkt und stoppte den versuchten Datendiebstahl.

Untersuchung

Huntress SOC identifizierte verdächtige Aktivitäten auf dem betroffenen Mac, bei denen das native Curl-Binärprogramm ein ZIP-Archiv hochlud. Analysten bestätigten, dass der Angriff auf LOOBins basierte, und ordneten das Payload dem MacSync-Infostealer zu. Die Eindämmung wurde durch Trennen des Hosts vom Netzwerk und Löschen des temporären Staging-Ordners erreicht. Ermittler fanden keine Anzeichen für zusätzliche laterale Bewegungen, nachdem der Endpunkt isoliert worden war.

Abschwächung

Empfohlene Abwehrmaßnahmen umfassen das Schulung von Benutzern zur Erkennung gefälschter Systemdialoge, Verringerung unnötiger lokaler Administratorrechte, Einsatz von verwaltetem EDR auf macOS und Rotieren von Anmeldeinformationen nach einem Kompromiss. Die Einschränkung nicht autorisierter ausgehender Verbindungen und das Beobachten großer Uploads über Curl können die Gefährdung weiter reduzieren. Regelmäßige Audits und Härtung von Zugriffsrichtlinien im Schlüsselbund fügen eine weitere Schutzschicht hinzu.

Reaktion

Wenn diese Aktivität erkannt wird, isolieren Sie sofort den Endpunkt, stoppen Sie den bösartigen Prozess und entfernen Sie das /tmp/salmonela/ Verzeichnis. Führen Sie eine forensische Untersuchung durch, um verbleibende Artefakte zu identifizieren, setzen Sie exponierte Anmeldeinformationen zurück und invalidieren Sie aktive Sitzungen. Aktualisieren Sie die Erkennungsinhalte, um ähnliche LOOBin-Missbräuche zu erkennen, und überwachen Sie ausgehende POST-Verkehr zu unbekannten Domänen.

"graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#aaffaa classDef operator fill:#ff9900 %% Aktionsknoten action_user_execution["<b>Aktion</b> – <b>T1204 Benutzer-Ausführung</b><br/>Das Opfer wird durch einen gefälschten macOS-Schutzdienst-Dialog getäuscht und gibt das Gerätepasswort ein."] class action_user_execution action action_input_capture["<b>Aktion</b> – <b>T1056.002 Eingabeerfassung: GUI-Eingabeerfassung</b><br/>Bösartiges Fenster erfasst das eingegebene Passwort."] class action_input_capture action action_cred_dump["<b>Aktion</b> – <b>T1555.001 Anmeldeinformationen aus Passwortspeichern: Schlüsselbund</b><br/>Malware verwendet das erfasste Passwort, um gespeicherte Anmeldeinformationen aus dem macOS-Schlüsselbund abzurufen."] class action_cred_dump action action_browser_discovery["<b>Aktion</b> – <b>T1217 Entdeckung von Browserinformationen</b><br/>Stealer sammelt Chrome- und Safari-Cookies, gespeicherte Anmeldungen und andere Browserdaten."] class action_browser_discovery action action_archive["<b>Aktion</b> – <b>T1560.001 Daten archivieren: Archivierung über Dienstprogramm</b><br/>Gesammelte Dateien werden in ein zip-Archiv in /tmp/salmonela/ komprimiert."] class action_archive action action_obfuscate["<b>Aktion</b> – <b>T1027.015 Verschleierte Dateien oder Informationen: Kompression</b><br/>Das Archiv wird verwendet, um die gesammelten Daten zu verbergen."] class action_obfuscate action action_exfil["<b>Aktion</b> – <b>T1071.001 Anwendungsprotokoll: Webprotokolle</b><br/>Das zip-Archiv wird über curl über HTTP/HTTPS an einen entfernten C2-Server gesendet."] class action_exfil action action_cleanup["<b>Aktion</b> – <b>T1070.004 Indikatorentfernung: Löschen von Dateien</b><br/>Nach der Exfiltration löscht die Malware das Archiv, um ihre Spuren zu verwischen."] class action_cleanup action %% Tool-Knoten tool_curl["<b>Werkzeug</b> – <b>Name</b>: curl<br/><b>Beschreibung</b>: Befehlszeilen-Dienstprogramm zur Übertragung von Daten über HTTP/HTTPS."] class tool_curl tool %% Datei-Knoten file_archive["<b>Datei</b> – <b>Pfad</b>: /tmp/salmonela/archive.zip<br/><b>Typ</b>: ZIP-Archiv mit gesammelten Daten."] class file_archive file %% Flussverbindungen action_user_execution –>|führt zu| action_input_capture action_input_capture –>|erfasst Passwort für| action_cred_dump action_cred_dump –>|ermöglicht Zugriff auf| action_browser_discovery action_browser_discovery –>|liefert Daten an| action_archive action_archive –>|erstellt| file_archive action_obfuscate –>|wendet an auf| file_archive action_exfil –>|exfiltriert| file_archive action_exfil –>|verwendet| tool_curl action_cleanup –>|löscht| file_archive "

Angriffsfluss

Simulationsumgebung & Kontext

  • TTPs im Test:

    • T1056.002: Eingabeerfassung – Webformulare
    • T1204.004: Benutzerausführung – Bösartige Datei
    • T1548.004: Erhöhungssteuermechanismus – Umgehung der Zugriffskontrolle des Benutzers
    • T1555.002: Anmeldeinformationen aus Webbrowsern – Passwortextraktion
    • T1556.004: Authentifizierungsprozess ändern – Vertrauensmodifikation der Domäne

  • TTP-Kontext & Relevanz:

    • T1056.002 – Der Infostealer erntet Anmeldeinformationen, die in Webformulare eingegeben werden, und speichert sie im Staging-Ordner.
    • T1204.004 – Die bösartige Binärdatei wird von einem Benutzer ausgeführt (oft über einen getarnten Installer).
    • T1548.004 – Die Bedrohung könnte versuchen, den Kompressionsschritt mit erhöhten Rechten auszuführen, um das Sandboxing von macOS zu umgehen.
    • T1555.002 – Aus dem Browser extrahierte Passwörter werden in Dateien unter /tmp/salmonela/.
    • T1556.004 – In fortgeschrittenen Kampagnen kann der Angreifer vor der Exfiltration lokale Vertrauenseinstellungen ändern, aber die Regel konzentriert sich auf die Datenspeicheraktivität.

  • Zielumgebung:

    • OS: macOS (Catalina 10.15 oder später)
    • Protokollierung: Auditd + FSEvents (Datei-Ereignis-Erfassung) weitergeleitet an ein SIEM, das Sigma-Regeln akzeptiert.
    • Sicherheits-Stack: Generisches Sigma-kompatibles SIEM (z.B. Elastic Stack, Splunk, Microsoft Sentinel).

Telemetrie- & Baseline-Pre-Flight-Check

Begründung: Vor der Simulation des Angriffs müssen wir bestätigen, dass der Zielhost so konfiguriert ist, dass die notwendigen Logs generiert werden, dass diese Logs im SIEM aufgenommen werden und dass die Erkennungsregel nicht auf legitime Aktivitäten anspricht. Ohne diese Validierung ist jedes Testergebnis unzuverlässig.

  • 1. Konfigurationsanleitung zur Telemetrie:

    1. Aktivieren Sie macOS auditd für Befehlszeilenprotokollierung

      sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.auditd.plist
sudo audit -s 1                # Auditing aktivieren
sudo audit -f /etc/security/audit_control
# Stellen Sie sicher, dass "flags:fc,ex" (Datei-Erstellung und Ausführung) vorhanden sind, dann starten Sie auditd neu
sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.auditd.plist
sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.auditd.plist

    2. Aktivieren Sie FSEvents (bereits auf macOS) und leiten Sie an SIEM weiter – installieren Sie das Elastic Filebeat-Modul für macOS oder Splunk Universal Forwarder mit dem fschange input, sicherstellen, dass path: /tmp/ einbezogen ist.

    3. Validierung der Aufnahme – Führen Sie im SIEM eine einfache Abfrage für jedes Ereignis aus, das /tmp/ in den letzten 5 Minuten enthält, um zu bestätigen, dass die Pipeline aktiv ist.

  • 2. Aufnahme- & Baseline-Validierung:

    • Aktion (Gutartige Telemetrie): Erstellen Sie einen temporären Ordner unter /tmp und komprimieren Sie ihn mit tar (welches das exakte Auslöse-phrase nicht enthält). not # harmlose Befehle zum Generieren ähnlicher Telemetriedaten mkdir -p /tmp/salmonela_benign echo „harmlose Daten“ > /tmp/salmonela_benign/sample.txt tar -czf /tmp/salmonela_benign.tar.gz -C /tmp salmonela_benign

      Validierungsabfrage (Aufnahme):

    • Validation Query (Ingestion): (KQL-Beispiel für Elastic)

      filebeat-* 
| where file.path contains "/tmp/salmonela_benign"
| where process.command_line contains "tar"

      Die Abfrage sollte das harmlose Ereignis zurückgeben und bestätigen, dass die Logs das SIEM erreichen, während sie die Erkennungsregel nicht auslösen (kein „Zipped the contents of salmonela/“-String). not matching the detection rule (no “Zipped the contents of salmonela/” string).

Simulationsausführung

Voraussetzung: Der Telemetrie- & Baseline-Pre-Flight-Check muss bestanden worden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN die identifizierten TTPs direkt widerspiegeln und sind darauf ausgerichtet, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:

    1. Erste Kompromittierung (T1204.004): Der Angreifer liefert eine bösartige macOS-Binärdatei, die als legitimer Installer getarnt ist. Der Benutzer führt sie aus und gibt der Binärprozessrechte, um in /tmp.
    2. Anmeldeinformationen zu ernten (T1056.002 & T1555.002): Die Binärdatei injiziert einen Keylogger in den Webbrowser des Benutzers, erfasst Login-Formulare und schreibt die geernteten Anmeldeinformationen nach /tmp/salmonela/creds.txt.
    3. Privilegieneskalation-Umgehung (T1548.004): Die Binärdatei ruft sudo mit einer vor-konfigurierten Richtlinie auf, die ihm erlaubt, den Kompressionsschritt ohne Aufforderung durchzuführen.
    4. Datenbereitstellung & Kompression: Der Angreifer führt einen bash Befehl aus, der sowohl eine benutzerdefinierte Nachricht loggt and die Bereitstellungs-Ordner komprimiert. Die exakte Befehlszeile enthält den Literalstring "Zipped the contents of salmonela/", was der Sigma-Bedingung entspricht.
     sudo bash -c "echo 'Zipped the contents of salmonela/' && zip -r /tmp/salmonela_archive.zip /tmp/salmonela/"

  • Regressionstest-Skript: (eigenständiges Bash-Skript, das die obigen Aktionen reproduziert)

    #!/usr/bin/env bash
set -euo pipefail

# 1. Bereiten Sie das Staging-Verzeichnis vor
STAGE_DIR="/tmp/salmonela"
mkdir -p "$STAGE_DIR"

# 2. Simulieren Sie das Anmeldedaten-Dump
echo "user:example@example.com" > "$STAGE_DIR/creds.txt"
echo "pass:SuperSecret123!" >> "$STAGE_DIR/creds.txt"

# 3. Komprimieren mit dem genauen Auslöse-phrase in der Befehlszeile
sudo bash -c "echo 'Zipped the contents of salmonela/' && zip -r /tmp/salmonela_archive.zip $STAGE_DIR/"

echo "Simulation abgeschlossen – Alarm sollte ausgelöst werden."

  • Bereinigungsbefehle: (entfernt Artefakte und stellt das System wieder her)

    #!/usr/bin/env bash
set -euo pipefail

rm -rf /tmp/salmonela
rm -f /tmp/salmonela_archive.zip
echo "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten