Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine Phishing-E-Mail im Stil einer Bestellung liefert ein Archiv mit einer doppelten Erweiterung, das einen bösartigen VBS-Loader extrahiert. Dieser Loader startet einen versteckten PowerShell-Prozess, der eine gefälschte PNG-Datei abruft, die eine codierte Nutzlast enthält. Die Nutzlast wird dann entschlüsselt, als .NET Portable Executable neu aufgebaut und direkt in den Speicher geladen, um letztendlich die Remcos-Remote-Access-Trojaner bereitzustellen. Die Kampagne hebt eine fileless-Angriffskette hervor, die auf bekannten, E-Mail-basierten Angriffstechniken basiert.
Ermittlung
Die Analyse verfolgte die gesamte Infektionssequenz von der ursprünglichen Phishing-E-Mail bis zur endgültigen Bereitstellung des Remcos RAT. Ermittler identifizierten Schlüsselartefakte, darunter den VBS-Skriptname, die Verwendung von PowerShell-Umgebungsvariablen und die URL zum Herunterladen der gefälschten PNG-Datei. Die rekonstruierte .NET-Assembly wurde im Speicher geladen, während Remcos-spezifische Registrierungseinträge und Mutex-Artefakte halfen, die endgültige Nutzlast zu bestätigen. Forscher erfassten auch relevante Netzwerkindikatoren, einschließlich der Kommando-und-Kontrolle-Domäne, die mit der Kampagne verbunden ist.
Minderung
Organisationen sollten die Überprüfung von Anhängen verstärken und Archivdateien blockieren, die irreführende doppelte Erweiterungen verwenden. PowerShell-Ausführungsrichtlinien sollten durchgesetzt werden, und die Verwendung von wscript.exe sollte, wenn möglich, stark eingeschränkt werden. Verteidiger sollten auch auf verdächtige Registrierungsschlüssel unter HKCUSOFTWARE überwachen und TLS-JA3-Fingerabdrücke verfolgen, die mit Aktivitäten von Remcos verbunden sind. E-Mail-Sicherheits-Gateways sollten regelmäßig aktualisiert werden, um die Erkennung von Phishing-Ködern zu verbessern, die auf Beschaffungs- und Finanzarbeitsabläufe abzielen.
Reaktion
Wird diese Aktivität erkannt, isolieren Sie sofort den betroffenen Endpunkt und beenden verdächtige PowerShell or wscript.exe -Prozesse. Sammeln Sie Speicherabbilder und relevante Registrierungsartefakte zur forensischen Analyse vor der Bereinigung. Entfernen Sie die Remcos-Nutzlast und verwandte Persistenzeinträge, und setzen Sie alle möglicherweise offengelegten Anmeldeinformationen zurück. Auch eine umfassendere Bedrohungssuche sollte in der Umgebung durchgeführt werden, um Systeme zu identifizieren, die ähnliche Indikatoren aufweisen.
"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef file fill:#e6e6e6 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef config fill:#dddddd %% Node definitions action_phishing["<b>Action</b> – <b>T1566.001 Spearphishing Attachment</b><br/>Opfer erhält E-Mail mit bösartigem Archiv namens <i>Sarens PO_SB-0407026-001_PDF.txz</i>"] class action_phishing action technique_masquerade["<b>Technik</b> – <b>T1036.007 Verschleierung: Doppelte Dateiendung</b><br/>Archiv verwendet .txz-Erweiterung, erscheint aber als .pdf, um den Benutzer zu täuschen"] class technique_masquerade technique action_user_exec["<b>Aktion</b> – <b>T1204.002 Benutzeraktion</b><br/>Das Opfer öffnet das Archiv, was zur Extraktion eines VBS-Skripts führt"] class action_user_exec action file_vbs["<b>Datei</b> – <b>VBS-Skript</b><br/>Name: Sarens PO_SB-0407026-001_PDF.vbs"] class file_vbs file process_wscript["<b>Prozess</b> – <b>wscript.exe</b><br/>Führt das VBS-Skript aus"] class process_wscript process process_powershell["<b>Prozess</b> – <b>PowerShell</b><br/>Startet mit Execution-Policy-Bypass, um eine entfernte Nutzlast herunterzuladen"] class process_powershell process file_payload_image["<b>Datei</b> – <b>Gefälschtes Bild</b><br/>Name: optimized_MSI.png<br/>Enthält Base64-kodierte .NET PE-Nutzlast"] class file_payload_image file technique_proc_inject_tls["<b>Technik</b> – <b>T1055.005 Prozessinjektion: Thread-Lokaler Speicher</b><br/>PowerShell injiziert Code über TLS"] class technique_proc_inject_tls technique technique_proc_inject_apc["<b>Technik</b> – <b>T1055.004 Prozessinjektion: Asynchrone Prozeduraufruf</b><br/>PowerShell injiziert Code über APC"] class technique_proc_inject_apc technique technique_proc_inject_pe["<b>Technik</b> – <b>T1055.002 Prozessinjektion: Portable Executable Injection</b><br/>Rekonstruierte .NET PE wird mit AppDomain.Load in den Speicher geladen"] class technique_proc_inject_pe technique malware_remcos["<b>Malware</b> – <b>Remcos RAT</b><br/>Richtet verschlüsselten TLS-Kanal zur C2-Domäne ein"] class malware_remcos malware comm_c2_web["<b>Technik</b> – <b>T1102.003 Webdienst: Einwegkommunikation><br/>Verschlüsselte TLS-Verbindung zu <i>dentalux202.ydns.eu</i>"] class comm_c2_web technique registry_key["<b>Konfiguration</b> – <b>Registrierungsschlüssel</b><br/>HKCUSOFTWARERmcu2011HQO1B7 erstellt durch RAT"] class registry_key config mutex["<b>Konfiguration</b> – <b>Mutex</b><br/>Remcos-Mutex-Identifikator Rmcu2011HQO1B7"] class mutex config %% Verbindungen action_phishing –>|liefert| technique_masquerade technique_masquerade –>|führt zu| action_user_exec action_user_exec –>|extrahiert| file_vbs file_vbs –>|ausgeführt durch| process_wscript process_wscript –>|startet| process_powershell process_powershell –>|lädt herunter| file_payload_image file_payload_image –>|stellt bereit| technique_proc_inject_tls file_payload_image –>|stellt bereit| technique_proc_inject_apc file_payload_image –>|stellt bereit| technique_proc_inject_pe technique_proc_inject_tls –>|ermöglicht| malware_remcos technique_proc_inject_apc –>|ermöglicht| malware_remcos technique_proc_inject_pe –>|ermöglicht| malware_remcos malware_remcos –>|kommuniziert über| comm_c2_web malware_remcos –>|erstellt| registry_key malware_remcos –>|erstellt| mutex "
Angriffsablauf
Erkennungen
LOLBAS WScript / CScript (via Prozess-Erstellung)
Anzeigen
Anrufe verdächtiger .NET-Methoden von Powershell (via Powershell)
Anzeigen
Verdächtige PowerShell-Strings (via PowerShell)
Anzeigen
Möglicher dynamischer DNS-Dienst wurde kontaktiert (via DNS)
Anzeigen
IOCs (HashSha256) zu erkennen: Von einem trügerischen Kaufauftrag zum Remcos RAT
Anzeigen
IOCs (SourceIP) zu erkennen: Von einem trügerischen Kaufauftrag zum Remcos RAT
Anzeigen
IOCs (DestinationIP) zu erkennen: Von einem trügerischen Kaufauftrag zum Remcos RAT
Anzeigen
Remcos RAT-Kommando-und-Kontrolle-Domäne und bösartige Nutzlast-URL-Zugriff [Windows Netzwerkverbindung]
Anzeigen
Erkennung der Ausführung von VBS-Skripten gefolgt von PowerShell mit ExecutionPolicy-Bypass [Windows Prozess-Erstellung]
Anzeigen
Simulationsausführung
Voraussetzung: Die Telemetrie-und-Baseline-Vorkontrolle muss bestanden sein.
Angriffserzählung & Kommandos
Der Angreifer sendet eine Phishing-E-Mail mit angehängtem bösartiges.vbs. Der Benutzer klickt doppelt auf die Datei und ruft wscript.exeauf. Das VBS-Skript startet dann PowerShell mit -ExecutionPolicy Bypass , um eine entfernte PowerShell-Nutzlast herunterzuladen, die den Remcos RAT installiert. Die genaue Befehlszeile lautet:
powershell.exe -ExecutionPolicy Bypass -NoLogo -WindowStyle Hidden -EncodedCommand <BASE64_PAYLOAD>Regressionstest-Skript
#--------------------------------------------------------------------
# Simulationsskript: VBS → PowerShell ExecutionPolicy Bypass
#--------------------------------------------------------------------
# 1. Erstellen Sie eine kleine PowerShell-Nutzlast (z.B. schreiben Sie eine Markerdatei)
$payload = 'Set-Content -Path "$env:Temppwned.txt" -Value "Kompromittiert"'
$encoded = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload))
# 2. Erstellen Sie die bösartige VBS-Datei, die den PowerShell-Befehl ausführt
$vbsContent = @"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "powershell.exe -ExecutionPolicy Bypass -NoLogo -WindowStyle Hidden -EncodedCommand $encoded", 0, False
"@
$vbsPath = "$env:Tempmalicious.vbs"
Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII
# 3. Führen Sie das VBS-Skript aus (simuliert den Doppelklick des Benutzers)
Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden
# Optional: Warten Sie ein paar Sekunden, bis die Nutzlast ausgeführt wird
Start-Sleep -Seconds 5
Write-Host "Simulation abgeschlossen. Überprüfen Sie $env:Temppwned.txt auf Artefakt."
#--------------------------------------------------------------------Bereinigungsbefehle
# Entfernen Sie während der Simulation erstellte Artefakte
Remove-Item -Path "$env:Tempmalicious.vbs" -ErrorAction SilentlyContinue
Remove-Item -Path "$env:Temppwned.txt" -ErrorAction SilentlyContinue
# Stoppen Sie alle verbleibenden PowerShell-Prozesse, die von dem Skript gestartet wurden (falls nötig)
Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Stop-Process -Force