Falsches Dokument, echter Zugriff: Foxit-Imitation ermöglicht verdeckte VNC-Kontrolle

Zusammenfassung

Bedrohungsakteure verteilen schädliche ausführbare Dateien, die wie legitime Foxit PDF-Installationsprogramme aussehen. Der gefälschte Installer ruft ein schädliches MSI-Paket ab, das UltraVNC-Komponenten in einem gefälschten GPU-Verzeichnis platziert und über einen Run-Registrierungsschlüssel persistiert. Nach der Installation richtet die Malware einen versteckten VNC-Server ein, der ausgehende Verbindungen zu einer bösartigen Domain herstellt und den Angreifern verdeckten Fernzugriff auf das kompromittierte System gewährt.

Untersuchung

Die Untersuchung deckte gefälschte Dateien auf wie datei.exe and personalfoxypdf.msi, die UltraVNC herunterluden und installierten in C:intel-GPU. Ein Batch-Skript zählte dann Netzwerkprofil-GUIDs auf, erstellte Firewall-Ausnahmen, schrieb eine eindeutige Kennung in IDD.txt, und fügte einen Run-Registrierungseintrag hinzu, um gpu.exe mit Parametern zu starten, die sich mit hallonews.servemp3.com:5500verbinden. Forscher beobachteten auch, dass die Malware gewaltsam rundll32.exe beendete und ein Täuschungsbild eines Passes anzeigte, um das Opfer abzulenken.

Minderung

Organisationen sollten Anwendungs-Whitelist durchsetzen, Installationsprogramm-Codesignaturen vor der Ausführung validieren, ungeprüfte MSI-Dateien blockieren und auf Run-Registrierungseinträge überwachen, die auf unbekannte ausführbare Dateien verweisen. Auch ausgehender Datenverkehr zu verdächtigen Domains sollte eingeschränkt werden. Benutzeraufklärung bleibt essentiell, insbesondere im Hinblick auf die Risiken beim Starten unerwarteter Installationsprogramme, die als vertrauenswürdige Software getarnt sind.

Reaktion

Wenn diese Aktivität erkannt wird, isolieren Sie sofort den betroffenen Endpunkt, beenden Sie den UltraVNC-Prozess, entfernen Sie das C:intel-GPU Verzeichnis und löschen Sie den böswilligen Run-Registrierungseintrag. Setzen Sie alle möglicherweise kompromittierten Anmeldeinformationen zurück, führen Sie eine vollständige forensische Untersuchung durch und aktualisieren Sie die Erkennungsregeln, um die identifizierten Kompromittierungsindikatoren abzudecken.

Simulationsausführung

Voraussetzung: Der Telemetrie- & Baseline-Vorab-Check muss bestanden sein.

Angriffserzählung & Befehle

1. Erstellen Sie das versteckte Verzeichnis „intel‑GPU“ um einen legitimen GPU-Anbieterpfad zu imitieren.
2. Hinterlassen Sie bösartige Nutzdaten (gpu.exe, UltraVNC.ini, etc.) in diesem Verzeichnis. Die ausführbare Datei ist eine Kopie der UltraVNC-Server-Binärdatei, die zur Tarnung umbenannt wurde.
3. Bereitstellen eines Batch-Skripts (gpu.cmd) das:
   • Eine Firewall-Regel hinzufügt, die eingehendes VNC (Port 5900) erlaubt.
   • Registrierung des VNC-Dienstes für Persistenz über sc create.
   • Schreibt eine minimale Konfiguration in UltraVNC.ini.
4. Führen Sie das Batch-Skript aus mit cmd.exe (Signierte Binär-Proxyausführung).

Diese Schritte erzeugen exakt die Dateierstellungsereignisse, die in der Erkennungsregel aufgeführt sind, sowie ergänzende Prozesserstellungs- und Firewall-Regelereignisse, die zur Anreicherung genutzt werden können.

Regressionstest-Skript

# -------------------------------------------------
#  Verdeckte VNC-Steuerungssimulation – PowerShell
# -------------------------------------------------
# 1. Verstecktes Verzeichnis vorbereiten
$targetDir = "$env:ProgramDataintel-GPU"
if (-Not (Test-Path $targetDir)) {
    New-Item -Path $targetDir -ItemType Directory -Force | Out-Null
    # Verzeichnis verstecken (optional)
    attrib +h $targetDir
}

# 2. Fake-GPU-Dateien ablegen (diese sind harmlose Platzhalter für die Demo)
$files = @("gpu.txt","gpu.exe","gpu.cmd","UltraVNC.ini","IDD.txt")
foreach ($f in $files) {
    $path = Join-Path $targetDir $f
    Set-Content -Path $path -Value "Platzhalter für $f" -Encoding ASCII -Force
}

# 3. Ein minimales UltraVNC.ini schreiben (echte Konfig wäre umfangreicher)
@"
[VNC]
Password=redteam
"@ | Set-Content -Path (Join-Path $targetDir "UltraVNC.ini") -Encoding ASCII -Force

# 4. Ein Batch-Skript erstellen, das eine Firewall-Regel hinzufügt und den Dienst registriert
$batchPath = Join-Path $targetDir "gpu.cmd"
@"
@echo off
rem Firewall-Regel für VNC hinzufügen (Port 5900)
netsh advfirewall firewall add rule name=`"UltraVNC`" dir=in action=allow protocol=TCP localport=5900
rem UltraVNC-Dienst registrieren (unter Verwendung der umbenannten exe)
sc create UltraVNC binPath= `""$targetDirgpu.exe`"" start= auto
"@ | Set-Content -Path $batchPath -Encoding ASCII -Force

# 5. Batch-Skript über cmd.exe (signed binary proxy) ausführen
Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batchPath`"" -WindowStyle Hidden -Wait

Write-Host "Verdeckte VNC-Simulation abgeschlossen."

Bereinigungsbefehle

# -------------------------------------------------
#  Bereinigung verdeckter VNC-Artefakte
# -------------------------------------------------
$targetDir = "$env:ProgramDataintel-GPU"

# Firewall-Regel entfernen
netsh advfirewall firewall delete rule name="UltraVNC" > $null 2>&1

# Dienst löschen
sc stop UltraVNC > $null 2>&1
sc delete UltraVNC > $null 2>&1

# Verzeichnis und alle Dateien entfernen
if (Test-Path $targetDir) {
    Remove-Item -Path $targetDir -Recurse -Force
}

Write-Host "Bereinigung abgeschlossen."