StealC und Amadey: Analyse der Infostealer und der dahinterstehenden Dienste
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht untersucht die Aktivitäten von StealC, einer Infostealer-as-a-Service-Plattform, und Amadey, einem Malware-as-a-Service-Loader. Cyberkriminelle nutzen diese Werkzeuge, um sensible Anmeldeinformationen, Sitzungscookies und kryptowährungsbezogene Daten zu sammeln, was Folgeaktionen wie Ransomware-Angriffe ermöglicht. Das Bedrohungsökosystem setzt auf irreführenden Webverkehr, SEO-Vergiftung und Phishing-Kampagnen, um unverwaltete Geräte zu kompromittieren.
Untersuchung
Microsofts Digital Crimes Unit hat in Zusammenarbeit mit Europol eine koordinierte Störung gegen mehr als 200 bösartige Domains und Kommando-und-Kontroll-IP-Adressen, die mit StealC und Amadey verbunden sind, durchgeführt. Ermittler nutzten Microsoft Copilot, um Malware-Proben zu analysieren, eingebettete Strings zu entschlüsseln und fest kodierte Kommando-und-Kontroll-Infrastruktur aufzudecken. Die Operation führte zur Abschaltung und Aussetzung eines bedeutenden Teils der unterstützenden Infrastruktur der Bedrohungsakteure.
Abschwächung
Verteidiger sollten Cloud-basierten Schutz und Manipulationsschutz in Microsoft Defender aktivieren, um neue und sich entwickelnde Varianten zu blockieren. Das Anwenden von Attack Surface Reduction-Richtlinien kann auch die Exposition gegenüber häufigen Infektionspfaden wie irreführendem Webverkehr verringern. Darüber hinaus sollten Organisationen den Identitätsschutz und die Anmeldeinformationen-Hygiene verstärken, um die Auswirkungen gestohlener Sitzungstoken und kompromittierter Konten zu begrenzen.
Antwort
Wenn diese Aktivität erkannt wird, sollten Organisationen den Identitätsschutz und die schnelle Eindämmung priorisieren, um zu verhindern, dass gestohlene Anmeldeinformationen für laterale Bewegungen genutzt werden. Ermittler sollten mögliche MFA-Umgehungsszenarien, die durch den Diebstahl von Sitzungscookies verursacht werden, genau untersuchen. Kompromittierte Endpunkte sollten schnell isoliert und Authentifizierungstelemetrie auf ungewöhnliche Aktivitäten mit gültigen Benutzeranmeldeinformationen überwacht werden.
"flowchart TD step_initial_access{"Erster Zugang: T1189 – Drive-by Kompromittierung & T1674 – Eingabeinjektion (ClickFix)"} step_persistence_amadey["Persistenz: T1037.004 – Geplanter Task & T1059.003 – Windows-Befehlszeile (Amadey Loader)"] rules_for_step_persistence_amadey("<b>Regelname</b>: MsiExec, das durch Shell-Prozess gestartet wird (via cmdline)<br/><b>Regel-ID</b>: d59d37c0-fc3c-4374-ba67-318edd591d19") step_credential_harvesting["Anmeldeinformationen Zugriff: T1555.003 – Anmeldeinformationen aus Webbrowsern, T1114.002 – Remote-E-Mail-Sammlung & T1552.008 – Chat-Nachrichten (StealC Infostealer)"] step_stealth["Verteidigungsevasion: T1070.010 – Malware verlagern (PowerShell Standbein Ausführung)"] step_exfiltration["Exfiltration: T1041 – Exfiltration über C2-Kanal (RC4/Base64 Übertragung von Daten)"] step_initial_access –>|führt zu| step_persistence_amadey step_persistence_amadey –>|ermöglicht| step_credential_harvesting step_credential_harvesting –>|danach| step_stealth step_stealth –>|führt zu| step_exfiltration step_persistence_amadey -.->|erkannt von| rules_for_step_persistence_amadey "
Angriffsdarstellung
Erkennungen
Mögliche Verwendung von Timeout zur verzögerten Ausführung (via cmdline)
Anzeigen
Herunterladen oder Hochladen per Powershell (via cmdline)
Anzeigen
MsiExec, das durch Shell-Prozess gestartet wird (via cmdline)
Anzeigen
Erstellung eines geplanten Tasks für Amadey Malware Persistenz [Microsoft Windows Sicherheitsereignisprotokoll]
Anzeigen
Erkennung von StealC-Malware-Ausführung und Prozessinjektion [Windows Prozess Erstellung]
Anzeigen
## Simulationsexekution
Voraussetzung: Die Telemetrie- und Basisprüfung muss bestanden sein.
Rationale: Dieser Abschnitt beschreibt die präzise Ausführung der Gegnertechniken (TTP), die die Erkennungsregel auslösen sollen. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennung erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Ein Angreifer hat erfolgreich eine bösartige ausführbare Datei namens
StealC.exeabgelegt. Um einfache signaturbasierte Erkennung zu umgehen und den Injektionsprozess zu verbergen, ist die Malware so konzipiert, dass sie ihre internen Funktionen aufruft, indem sie die Namen der erforderlichen Windows-APIs als Befehlszeilenargumente an einen Unterprozess übergibt. Dies simuliert einen „Living-off-the-Land“-Ansatz, bei dem die Befehlszeile selbst die Indikatoren der Absicht zur Durchführung enthältCreateProcessAmitCREATE_SUSPENDEDund anschließendVirtualAllocExandWriteProcessMemoryzur Injektion verwendet. -
Regressionstest-Skript:
# Simulationsskript zur Auslösung der Sigma-Regel, indem die erwarteten Befehlszeilenzeichenfolgen nachgeahmt werden # Hinweis: Dies simuliert das Vorhandensein von Zeichenfolgen, nicht die eigentliche API-Ausführung. $malwareName = "StealC.exe" $payloadArgs = "CreateProcessA CREATE_SUSPENDED VirtualAllocEx WriteProcessMemory" Write-Host "[+] Simulation starten: Ausführen von $malwareName mit Injektionszeichenfolgen..." -ForegroundColor Cyan # Wir erstellen eine Dummy-Datei namens StealC.exe, um den 'Image'-Teil der Erkennung zu erfüllen New-Item -Path ".$malwareName" -ItemType "File" -Force | Out-Null # Führen Sie die Dummy-Datei mit den spezifischen Zeichenfolgen aus, die von der Erkennungslogik benötigt werden # In einem realen Szenario würde dies die Malware sein, die ausgeführt wird. Start-Process -FilePath ".$malwareName" -ArgumentList $payloadArgs -WindowStyle Hidden Write-Host "[+] Simulationsbefehl gesendet." -ForegroundColor Green -
Bereinigungskommandos:
# Bereinigung: Entfernen Sie die während der Simulation erstellte Dummy-Malware-Datei Remove-Item -Path ".StealC.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Bereinigung abgeschlossen: StealC.exe entfernt." -ForegroundColor Yellow