Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
ErrTraffic ist ein bösartiges JavaScript-Framework, das im Rahmen eines Malware-as-a-Service-Modells angeboten wird. Es wird hauptsächlich in kompromittierte WordPress-Websites injiziert, um ClickFix-Style Social Engineering-Seiten und nachfolgende Malware-Payloads bereitzustellen. Das Framework verwendet auch die EtherHiding-Technik, um die Command-and-Control-Infrastruktur durch Blockchain-Smart-Verträge zu entdecken.
Untersuchung
Forscher von Sekoia TDR identifizierten zwei separate Aktivitätscluster, die als „Analytics“-Cluster und „Beer“-Cluster bezeichnet werden. Ihre Untersuchung offenbarte mehrere Bereitstellungspfade, darunter WordPress PHP-Hintertüren, Credential-Stuffing-Angriffe für den anfänglichen Zugriff und Malvertising-Kampagnen, die AI-Plattformen vortäuschten. Die forensische Analyse zeigte auch klare Unterschiede in der Codierweise, der Befehlsnutzung und den Infrastrukturmustern zwischen den beiden Clustern.
Minderung
Organisationen sollten eine starke Anmeldeinformationen-Hygiene und Multi-Faktor-Authentifizierung durchsetzen, um das Risiko eines WordPress-Admin-Kompromisses zu verringern. Regelmäßige Patches von WordPress-Plugins sind ebenfalls unerlässlich, insbesondere für bekannte Schwachstellen wie CVE-2020-25213. Verteidiger sollten verdächtiges PowerShell-Verhalten und ungewöhnlichen ausgehenden Datenverkehr zu Blockchain-RPC-Diensten oder ungewöhnlichen Top-Level-Domains überwachen.
Reaktion
Wenn ErrTraffic-Indikatoren erkannt werden, sollten betroffene Webserver sofort isoliert und alle WordPress-Konten auf unbefugten Administratorzugriff überprüft werden. Eine vollständige forensische Prüfung sollte durchgeführt werden, um versteckte MU-Plugins und unbefugte PHP-Dateien zu identifizieren. Potenziell exponierte Anmeldeinformationen sollten widerrufen und alle API-Schlüssel und administrativen Geheimnisse sollten ausgetauscht werden.
graph TB %% Klassendefinitionen classDef reconnaissance fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#ff9,stroke:#333,stroke-width:2px classDef persistence fill:#9f9,stroke:#333,stroke-width:2px classDef command_control fill:#9cf,stroke:#333,stroke-width:2px classDef delivery fill:#f96,stroke:#333,stroke-width:2px %% Aufklärung und Initialzugriff recon_cred[„<b>Technik</b> – <b>T1589.001 Identitätsinformationen des Opfers sammeln: Zugangsdaten</b><br/>Beschreibung: Verwendung gestohlener Administrator-Zugangsdaten,<br/>um auf WordPress-Webseiten zuzugreifen.“] class recon_cred reconnaissance recon_drive_by[„<b>Technik</b> – <b>T1189 Drive-by Compromise</b><br/>Beschreibung: Einsatz von Malvertising, um Benutzer auf Webseiten<br/>zu leiten, die KI-Plattformen wie ChatGPT nachahmen.“] class recon_drive_by reconnaissance %% Ausführungsphase exec_clickfix[„<b>Technik</b> – <b>T1204.004 Benutzerausführung: Schädliches Kopieren und Einfügen</b><br/>Beschreibung: Verwendung der ClickFix-Technik mit gefälschten Fehlermeldungen<br/>wie BSOD oder reCAPTCHA, um Benutzer zur Ausführung von PowerShell-Befehlen zu verleiten.“] class exec_clickfix execution %% Persistenz und C2 pers_webshell[„<b>Technik</b> – <b>T1505.003 Server-Softwarekomponente: Web Shell</b><br/>Beschreibung: Bereitstellung von PHP-Backdoors wie<br/>session-manager.php MU-Plugin oder Responsive Webshell.“] class pers_webshell persistence pers_valid_acc[„<b>Technik</b> – <b>T1078 Gültige Konten</b><br/>Beschreibung: Aufrechterhaltung des Zugriffs über das kompromittierte<br/>WordPress-Dashboard mit legitimen Zugangsdaten.“] class pers_valid_acc persistence c2_etherhiding[„<b>Technik</b> – <b>EtherHiding</b><br/>Beschreibung: Ermöglicht die Kommunikation mit der C2-Infrastruktur<br/>durch Blockchain-Smart-Contracts als Dead Drop Resolver.“] class c2_etherhiding command_control %% Payload-Bereitstellung und Zugriff auf Zugangsdaten del_ingress[„<b>Technik</b> – <b>T1105 Ingress Tool Transfer</b><br/>Beschreibung: Verwendung von PowerShell zum Herunterladen und Entpacken<br/>schädlicher Binärdateien mit 7z.“] class del_ingress delivery acc_cred_access[„<b>Technik</b> – <b>T1539 Zugriff auf Zugangsdaten</b><br/>Beschreibung: Malware-Familien exfiltrieren gestohlene Zugangsdaten,<br/>Web-Sitzungscookies und vertrauliche WooCommerce-Daten.“] class acc_cred_access delivery malware_stealer[„<b>Malware</b> – <b>Vidar oder Stealc</b><br/>Beschreibung: Infostealer zum Exfiltrieren von Daten<br/>an vom Angreifer kontrollierte Domains.“] class malware_stealer delivery %% Verbindungsfluss recon_cred –>|führt_zu| exec_clickfix recon_drive_by –>|führt_zu| exec_clickfix exec_clickfix –>|aktiviert| pers_webshell exec_clickfix –>|aktiviert| pers_valid_acc pers_webshell –>|ermöglicht| c2_etherhiding pers_valid_acc –>|ermöglicht| c2_etherhiding c2_etherhiding –>|steuert| del_ingress del_ingress –>|setzt_ein| malware_stealer malware_stealer –>|führt_aus| acc_cred_access
Angriffsfluss
Simulation der Ausführung
Voraussetzung: Die Telemetrie- und Basislinien-Vorflugkontrolle muss bestanden werden.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführungstechnik des Angreiferansatzes (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und dazu dienen, die exakt erwartete Telemetrie durch die Erkennungslogik zu erzeugen. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffs-Narrativ & Befehle: Ein Angreifer hat erfolgreich einen Benutzer dazu verleitet, auf eine „Fix“-Schaltfläche auf einer bösartigen Website zu klicken. Dies löst einen PowerShell-Befehl aus, der darauf ausgelegt ist, eine Nutzlast herunterzuladen und zu entschlüsseln. Um einfache string-basierte Erkennungen zu umgehen, verwendet das Skript XOR-Entschlüsselung. Der Angreifer verwendet den spezifischen ErrTraffic-Header
<# Codeüberprüfung: 656560395146 #>um bestimmte interne Prüfungen zu umgehen oder als Marker für ihr eigenes Framework. Das Skript verwendet[convert]::ToInt32um die XOR-Schlüssel zu verarbeiten und den-bxorOperator zur Entschlüsselung der Nutzlastbytes. -
Regressionstestskript:
# Simulation der ErrTraffic ClickFix PowerShell-Nutzlastentschlüsselungsroutine $header = "<# Codeüberprüfung: 656560395146 #>" $encodedPayload = @(10, 20, 30, 40) $key = [convert]::ToInt32("5") Write-Host "Nutzlastentschlüsselung initialisieren..." $decrypted = foreach ($byte in $encodedPayload) { $byte -bxor $key } Write-Host "Entschlüsselung abgeschlossen." -
Bereinigungsbefehle:
# Durch das Simulationsskript werden keine dauerhaften Änderungen vorgenommen. # Einfach die Konsole leeren. Clear-Host