Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht umreißt ein mehrstufiges Loader-Framework, das von der russischen staatsnahen Gamaredon-Gruppe verwendet wird, um langfristigen Zugriff innerhalb der ukrainischen Regierungs- und kritischen Infrastrukturbereiche zu erhalten. Die Loader werden über legitime Cloud-Plattformen und Messaging-Dienste geliefert, speichern die Kommando-und-Kontroll-Details in der Windows-Registrierung und verlassen sich auf alternative Datenströme und geplante Aufgaben, um spätere Payloads auszulösen.
Untersuchung
Sekoia.io rekonstruierte drei auf VBScript basierende Loader-Stufen, die zusätzlichen Code von Dead-Drop-Resolvern abrufen, die auf Diensten wie Telegram, Telegraph und Check-Host gehostet werden. Die zweite Stufe schreibt eine Nutzlast in einen ADS unter %TEMP% und erstellt eine geplante Aufgabe, während die dritte Stufe einen versteckten PowerShell-Prozess startet, der das endgültige GammaSteel-Stealer-Modul herunterlädt und ausführt.
Abschwächung
Verteidiger sollten verdächtige Registrierungszugriffe unter HKCUConsole, unerwartete geplante Aufgaben mit dem Namen DsSvcCleanup, abnormale Nutzung von alternativen Datenströmen in %TEMP%, und Netzwerkverkehr zu bekannten Cloudflare-, Telegram- und Check-Host-Domänen überwachen. Die Ausführung nicht signierter VBScript- und PowerShell-Skripte, die auf kodierte Befehle setzen, sollte ebenfalls blockiert oder stark eingeschränkt werden.
Antwort
Wenn ein Kompromiss entdeckt wird, isolieren Sie sofort die betroffenen Hosts, sammeln Sie die relevanten Registrierungsschlüssel und geplanten Aufgabendefinitionen, sichern Sie ADS-bezogene Dateien und blockieren Sie die identifizierten Kommando-und-Kontroll-Domänen und IP-Adressen. Führen Sie forensische Bildgebung durch und suchen Sie sowohl im Speicher als auch auf der Festplatte nach dem GammaSteel-Stealer.
"graph TB %% Klassendefinitionen classDef technique fill:#99ccff classDef operator fill:#ff9900 classDef tool fill:#cccccc %% Knotendefinitionen initial_driveby["<b>Technik</b> – <b>T1189 Driveu2011by Kompromittierung</b><br/><b>Beschreibung</b>: Kompromittieren Sie eine Website, um bösartiges Material bereitzustellen, wenn ein Benutzer sie besucht."] class initial_driveby technique c2_deadDrop["<b>Technik</b> – <b>T1102.001 Webdienst Dead Drop Resolver</b><br/><b>Beschreibung</b>: Verwenden Sie legitime Webdienste, um Kommando- und Steuerungsdaten auszutauschen."] class c2_deadDrop technique c2_dynamic["<b>Technik</b> – <b>T1568 Dynamische Auflösung</b><br/><b>Beschreibung</b>: Lösen Sie C2-Adressen dynamisch auf, um einer Erkennung zu entkommen."] class c2_dynamic technique execution_vbscript["<b>Technik</b> – <b>T1216.002 System-Skript-Proxy-Ausführung VBScript</b><br/><b>Beschreibung</b>: Führen Sie bösartiges VBScript über den System-Skript-Proxy aus."] class execution_vbscript technique persistence_task["<b>Technik</b> – <b>T1053.005 Geplante Aufgabe</b><br/><b>Beschreibung</b>: Erstellen Sie eine geplante Aufgabe, um Persistenz zu gewährleisten."] class persistence_task technique priv_esc_reflect["<b>Technik</b> – <b>T1620 Reflexive Code-Ladung PowerShell</b><br/><b>Beschreibung</b>: Laden Sie bösartigen Code reflexiv im Speicher mithilfe von PowerShell."] class priv_esc_reflect technique propagation_usb["<b>Technik</b> – <b>T1091 Replikation über Wechselmedien</b><br/><b>Beschreibung</b>: Kopieren Sie bösartige Dateien auf USB-Laufwerke zur Verbreitung."] class propagation_usb technique %% Verbindungen, die den Angriffsfluss zeigen initial_driveby –>|führt zu| c2_deadDrop c2_deadDrop –>|verwendet| c2_dynamic c2_dynamic –>|ermöglicht| execution_vbscript execution_vbscript –>|etabliert| persistence_task persistence_task –>|erleichtert| priv_esc_reflect execution_vbscript –>|ermöglicht| propagation_usb "
Angriffsfluss
Erkennungen
Die Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (via cmdline)
Ansehen
Rufe verdächtige .NET-Methoden von Powershell auf (via powershell)
Ansehen
LOLBAS WScript / CScript (via process_creation)
Ansehen
Möglicher Missbrauch von Telegram als Kommando- und Kontrollkanal (via dns_query)
Ansehen
Verdächtige Kommunikation mit Trycloudflare-Domäne (via dns)
Ansehen
Möglicher Missbrauch von Cloudflare-Entwicklungsdomänen (via dns)
Ansehen
IOCs (HashMd5) zur Erkennung: FSB’s matryoshka #2/3 – Gamaredons Geschenke, die weiter ausgepackt werden – GammaLoad
Ansehen
IOCs (SourceIP) zur Erkennung: FSB’s matryoshka #2/3 – Gamaredons Geschenke, die weiter ausgepackt werden – GammaLoad
Ansehen
IOCs (DestinationIP) zur Erkennung: FSB’s matryoshka #2/3 – Gamaredons Geschenke, die weiter ausgepackt werden – GammaLoad
Ansehen
Erkennung von Gamaredon PowerShell-In-Memory-Ausführung [Windows PowerShell]
Ansehen
Erkennung von Gamaredon C2-URL-Aktualisierungen in der Registrierung [Windows-Registrierungsereignis]
Ansehen
Simulation der Ausführung
Voraussetzung: Das Telemetrie- und Basislinien-Vorflugcheck muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und sollen die genaue Telemetrie erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffs-Narrativ & Befehle:
Der Bedrohungsakteur, der die Sitzung des Benutzers kompromittiert hat, muss seinen C2-Endpunkt aktualisieren, damit zukünftige Beacons einen neuen Server erreichen. Gamaredon speichert die URL in einem wohlbekannten Registrierungsschlüssel unterHKCUConsole. Der Angreifer verwendet natives PowerShell (Set-ItemProperty), um die neue URL zu schreiben, ohne auf Drittanbieter-Tools zurückzugreifen und bleibt so „living-off-the-land“. Diese Aktion erzeugt ein Registry-Wert gesetzt Ereignis (EventID 13) mit dem vollständigen Pfad, das zur Sigma-Regel passtRegistryPath|containsFilter.# Simulierte Gamaredon C2-URL-Aktualisierung – schreibt zu einem überwachten Schlüssel $c2Url = "https://c2.gamaredon.example.com/payload" $targetKey = "HKCU:ConsoleHistoryURL" New-Item -Path $targetKey -Force | Out-Null Set-ItemProperty -Path $targetKey -Name "URL" -Value $c2Url -
Regressionstestskript: (PowerShell – in sich geschlossen)
<# Simuliert Gamaredon C2-URL-Aktualisierungen in einem Registrierungsschlüssel, der durch die Sigma-Regel überwacht wird. #> # Parameter (nach Bedarf anpassen) $c2Url = "https://c2.gamaredon.example.com/payload" $regPath = "HKCU:ConsoleHistoryURL" $valueName = "URL" # Stellen Sie sicher, dass der Schlüssel existiert if (-not (Test-Path $regPath)) { New-Item -Path $regPath -Force | Out-Null } # Schreiben Sie die bösartige C2-URL Set-ItemProperty -Path $regPath -Name $valueName -Value $c2Url Write-Host "[*] C2 URL wurde in $regPath$valueName geschrieben" -
Bereinigungsbefehle: (PowerShell)
# Entfernen Sie den simulierten Schlüssel/Wert, um das System sauber zu hinterlassen $regPath = "HKCU:ConsoleHistoryURL" if (Test-Path $regPath) { Remove-ItemProperty -Path $regPath -Name "URL" -ErrorAction SilentlyContinue # Optional den Schlüssel komplett entfernen Remove-Item -Path $regPath -Recurse -Force -ErrorAction SilentlyContinue Write-Host "[*] Simulierte Registrierungsartefakte gereinigt." }