Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Profero IRT identifizierte eine .NET 8-Hintertür namens WindowsAudit.exe die Discord als Hauptkanal für Kommando- und Kontrollzwecke nutzt, während sie auch MQTT und Telegram als alternative Kommunikationswege unterstützt. Die Malware arbeitet als Windows-Dienst, erstellt eine Sicherungskopie von sich selbst, etabliert mehrere Persistenzmechanismen und führt Credential-Diebstahl, Active-Directory-Missbrauch und Verteidigungsvermeidungsaktivitäten durch. Zudem werden WireGuard-Tunnel eingerichtet, um verdeckte seitliche Bewegungen innerhalb der Umgebung zu unterstützen. Das gesamte Vorgehen deutet darauf hin, dass die Angreifer möglicherweise betroffene Netzwerke für eine spätere Ransomware-Phase vorbereiten.
Untersuchung
Ermittler erlangten die WindowsAudit Binärdatei, bestätigten, dass es sich um einen modularen C#-Remote-Access-Trojaner handelt, und reverse-engineerten seine eingebettete DLL-Komponente. Ihre Analyse detaillierte die Persistenztechniken der Malware, die Kommunikationsarchitektur, die Fähigkeit zum Credential-Dumping und die Umgehungsmethoden, einschließlich des Patchens von AMSI und ETW. Das Team untersuchte auch einen verwandten Dropper namens WinSATSvc, der anscheinend dazu entwickelt wurde, die Malware im Falle eines Entfernens wiederherzustellen. Aus dieser Arbeit zogen die Forscher eine Reihe von Indikatoren für Kompromittierungen, um Jagd und Erkennung zu unterstützen.
Minderung
Empfohlene Erkennungen umfassen die Überwachung der Erstellung des WindowsAudit Dienstes, der zugehörigen Run-Schlüssel-Einträge, des GlobalWindowsAuditSingleInstance Mutex und verdächtiger Add-MpPreference Ausführungen. Verteidiger sollten auch TLS-Verkehr zu Discord- und HiveMQ-Infrastruktur blockieren oder warnen, während sie auf bcdedit Safe-Boot-Änderungen und die Erstellung verdächtiger geplanter Aufgaben achten. Jede mit der Malware verbundene WireGuard-Tunnelkonfiguration sollte entfernt und alle von der Hintertür etablierten Persistenzmechanismen deaktiviert werden.
Antwort
Organisationen sollten die veröffentlichten Indikatoren für Kompromittierungen sofort suchen, betroffene Systeme isolieren und den WindowsAudit Dienst stoppen. Speicher- und Festplattenabbilder sollten für die forensische Überprüfung gesammelt, bösartige Binärdateien entfernt und kompromittierte Anmeldedaten zurückgesetzt werden. Sicherheitsteams sollten auch sicherstellen, dass unautorisierte EDR-Ausschlüsse entfernt wurden, bestätigen, dass Safe-Mode-Konfigurationsänderungen rückgängig gemacht wurden, und weiterhin auf Wiederinstallation oder erneute Erstellung der Malware-Komponenten überwachen.
"grafik TB %% Klassendefinitionen classDef technik fill:#ffcc99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#99ff99 classDef operator fill:#ff9900 %% Knoten – Techniken und Werkzeuge exploit_remote_services["<b>Technik</b> – <b>T1210 Ausnutzung von Remote-Diensten</b><br/>Kopiere bösartiges Binärdatei auf entfernte Hosts über SMB und starte sie mit sc.exe"] class exploit_remote_services technik lateral_smb["<b>Technik</b> – <b>T1080 Seitliche Bewegung über freigegebene Inhalte</b><br/>Verbreitung über SMB-Freigaben und Ausführung von Remote-Befehlen"] class lateral_smb technik wmi_event_sub["<b>Technik</b> – <b>T1546.003 Windows Management Instrumentation Event Subscription</b><br/>Registriere ein WMI-Ereignis, das die Nutzlast für Persistenz auslöst"] class wmi_event_sub technik scheduled_task["<b>Technik</b> – <b>T1053 Geplante Aufgabe/Job</b><br/>Erstelle Aufgabe, die im abgesicherten Modus ausgeführt wird, um EDR zu entfernen und Malware nach Neustart erneut zu bewaffnen"] class scheduled_task technik defender_exclusion["<b>Technik</b> – <b>T1564.012 Verstecken von Artefakten: Datei-Pfad-Ausschlüsse</b><br/>Füge Windows Defender-Ausschluss für Installationspfad und ausführbare Datei hinzu"] class defender_exclusion technik safe_mode_boot["<b>Technik</b> – <b>T1562.009 Abgesicherter Modus Boot</b><br/>Im abgesicherten Modus starten, um Komponenten neu zu installieren"] class safe_mode_boot technik vpn_proxy["<b>Technik</b> – <b>T1090 Proxy</b> und <b>T1572 Protokoll-Tunneling</b><br/>WireGuard VPN und SOCKS5-Proxy bereitstellen, um Verkehr zu tunneln"] class vpn_proxy technik c2_discord["<b>Technik</b> – <b>T1102.002 Webdienst: Discord</b><br/>Nutze Discord als primären Kommando- und Kontrollkanal"] class c2_discord technik c2_mqtt["<b>Technik</b> – <b>T1102 Webdienst (MQTT)</b><br/>Sekundäre C2 über MQTT-Broker"] class c2_mqtt technik c2_fallback["<b>Technik</b> – <b>T1008 Fallback-Kanäle</b><br/>Wechsel zu MQTT oder Telegram, wenn Discord nicht verfügbar ist"] class c2_fallback technik rat["<b>Malware</b> – Remote Access Tool (RAT)"] class rat malware os_cred_dump["<b>Technik</b> – <b>T1003 OS-Credential-Dumping</b><br/>LSASS-Speicher mit MiniDumpWriteDump abgleichen"] class os_cred_dump technik shadow_copy["<b>Technik</b> – <b>T1003.007 Volume Shadow Copy</b><br/>SAM- und SYSTEM-Hive über Schattenkopien extrahieren"] class shadow_copy technik browser_passwords["<b>Technik</b> – <b>T1555.003 Anmeldeinformationen aus Web-Browsern</b><br/>Gespeicherte Passwörter mit DPAPI entschlüsseln"] class browser_passwords technik cred_manager["<b>Technik</b> – <b>T1555.004 Anmeldeinformationen aus dem Windows-Anmeldeinformationsmanager</b><br/>Gespeicherte Anmeldeinformationen extrahieren"] class cred_manager technik golden_ticket["<b>Technik</b> – <b>T1558.001 Golden Ticket</b><br/>Gefälschtes Kerberos-TGT für Domain-Admin erstellen"] class golden_ticket technik silver_ticket["<b>Technik</b> – <b>T1558.002 Silver Ticket</b><br/>Diensttickets für zielgerichtete Dienste fälschen"] class silver_ticket technik pass_hash["<b>Technik</b> – <b>T1550.002 Pass-the-Hash</b><br/>NTLM-Hash zur Authentifizierung wiederverwenden"] class pass_hash technik pass_ticket["<b>Technik</b> – <b>T1550.003 Pass-the-Ticket</b><br/>Kerberos-Ticket für seitliche Bewegungen wiederverwenden"] class pass_ticket technik dc_sync["<b>Technik</b> – <b>T1003.006 DCSync</b><br/>Domänencontroller dazu bringen, Passwortdaten zu replizieren"] class dc_sync technik dc_auth["<b>Technik</b> – <b>T1556.001 Domain Controller-Authentifizierung</b><br/>Authentifizierungsprozess auf DC ändern"] class dc_auth technik process_hollowing["<b>Technik</b> – <b>T1055.012 Process Hollowing</b><br/>Code in erhöhten Prozess injizieren"] class process_hollowing technik apc_injection["<b>Technik</b> – <b>T1055.004 Asynchrone Prozeduraufruf-Injektion</b><br/>Code über APC injizieren"] class apc_injection technik clear_event_logs["<b>Technik</b> – <b>T1070.001 Windows-Ereignisprotokolle löschen</b><br/>Aktivitätsnachweise entfernen"] class clear_event_logs technik screen_capture["<b>Technik</b> – <b>T1113 Bildschirmaufnahme</b><br/>Bildschirmfotos aufnehmen"] class screen_capture technik video_capture["<b>Technik</b> – <b>T1125 Videoaufnahme</b><br/>Video des Desktops aufnehmen"] class video_capture technik audio_capture["<b>Technik</b> – <b>T1123 Audioaufnahme</b><br/>Mikrofonaudio aufnehmen"] class audio_capture technik keylogging["<b>Technik</b> – <b>T1056.001 Keylogging</b><br/>Tastanschläge erfassen"] class keylogging technik exfil_discord["<b>Technik</b> – <b>T1041 Exfiltration über Kommando- und Kontrollkanal</b><br/>Daten als Discord-Anhänge hochladen"] class exfil_discord technik exfil_mqtt["<b>Technik</b> – <b>T1041 Exfiltration über Kommando- und Kontrollkanal</b><br/>Daten über MQTT-Nachrichten senden"] class exfil_mqtt technik %% Logische Operatoren (optional) op_and1(("UND")) class op_and1 operator %% Verbindungen ã¢â€â€œ Angriffsfluss exploit_remote_services –>|kopiert Binärdatei über SMB| lateral_smb lateral_smb –>|führt Remote-Befehl mit sc.exe aus| wmi_event_sub wmi_event_sub –>|bietet Persistenz| scheduled_task scheduled_task –>|läuft im abgesicherten Modus| safe_mode_boot safe_mode_boot –>|bewaffnet Malware neu| vpn_proxy vpn_proxy –>|tunnelt Verkehr| c2_discord c2_discord –>|primärer C2-Kanal| rat rat –>|sammelt Anmeldeinformationen| os_cred_dump os_cred_dump –>|erhält LSASS-Dump| shadow_copy os_cred_dump –>|speist| browser_passwords os_cred_dump –>|speist| cred_manager os_cred_dump –>|ermöglicht| golden_ticket os_cred_dump –>|ermöglicht| silver_ticket golden_ticket –>|bietet Domain-Admin-Zugang| pass_hash silver_ticket –>|bietet Dienstzugang| pass_ticket rat –>|verwendet| pass_hash rat –>|verwendet| pass_ticket rat –>|verwendet| dc_sync rat –>|verwendet| dc_auth rat –>|erhöht über| process_hollowing rat –>|erhöht über| apc_injection rat –>|löscht Protokolle| clear_event_logs rat –>|erfasst| screen_capture rat –>|erfasst| video_capture rat –>|erfasst| audio_capture rat –>|erfasst| keylogging screen_capture –>|exfiltriert über| exfil_discord video_capture –>|exfiltriert über| exfil_discord audio_capture –>|exfiltriert über| exfil_discord keylogging –>|exfiltriert über| exfil_discord exfil_discord –>|Fallback zu| exfil_mqtt c2_discord –>|Fallback zu| c2_fallback c2_fallback –>|verwendet| c2_mqtt c2_mqtt –>|empfängt exfiltrierte Daten| exfil_mqtt "
Angriffsfluss
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansehen
Mögliche IP-Abfrage Domain-Kommunikationsversuche (via dns)
Ansehen
Verdächtige Bcdedit-Ausführung (via cmdline)
Ansehen
Verdächtige Änderungen an den Einstellungen von Windows Defender (via powershell)
Ansehen
Möglicher Missbrauch von Discord als C2-Kanal (via dns_query)
Ansehen
Erkennung des WindowsAudit RAT Single Instance Mutex [Windows Sysmon]
Ansehen
WindowsAudit Backdoor-Kommando- und Kontrollkommunikation [Windows-Netzwerkverbindung]
Ansehen
Erkennung der WindowsAudit-Hintertür und zugehöriger Aktivitäten [Windows-Prozesserstellung]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der von der Erkennungsregel zu triggernde Angreifertechnik (TTP). Die Befehle und Erzählungen MÜSSEN direkt die ermittelten TTPs widerspiegeln und darauf abzielen, die durch die Erkennungslogik erwartete Telemetrie zu erzeugen. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.
-
Angriffserzählung & Befehle:
Ein Angreifer hat die WindowsAudit-Hintertür auf dem Opferhost installiert. Um Befehle abzurufen, führt die Hintertür DNS-Abfragen an das Discord-CDN (gateway.discord.gg) und an einen bösartigen auf MQTT-Broker gehosteten*.hivemq.cloud. Diese Abfragen werden über native Windows-APIs (ohne externe Tools) ausgeführt, um ein unauffälliges Profil zu wahren. Die DNS-Abfragen sind das einzige beobachtbare Artefakt, das von der Sigma-Regel zur Erkennung verwendet wird. -
Regression Test Script:
# WindowsAudit C2-DNS-Beacon-Simulation # Generiert die genauen DNS-Abfragen, die die Sigma-Regel überwacht. $c2Endpoints = @( "gateway.discord.gg", "malicious1.hivemq.cloud", "malicious2.hivemq.cloud" ) foreach ($fqdn in $c2Endpoints) { try { # Verwenden Sie den nativen Windows-DNS-Resolver Resolve-DnsName -Name $fqdn -Type A -ErrorAction Stop | Out-Null Write-Host "[+] Abgefragt $fqdn" } catch { Write-Warning "Fehler beim Auflösen von $fqdn (simuliertes C2)" } Start-Sleep -Seconds 5 # realistisches Beacon-Intervall nachahmen } -
Aufräumbefehle:
# Den DNS-Cache leeren, um Spuren der simulierten Abfragen zu entfernen ipconfig /flushdns Write-Host "[*] DNS-Cache geleert."