SOC Prime Bias: Hoch

01 Jul 2026 09:16 UTC

Einblick in Kimsukys CHM-Handwerk: Mehrstufige Ausführung und selektive Payload-Auslieferung

Author Photo
SOC Prime Team linkedin icon Folgen
Einblick in Kimsukys CHM-Handwerk: Mehrstufige Ausführung und selektive Payload-Auslieferung
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Kimsuky verwendet bösartige Kompilierte HTML (.chm) Dateien als anfängliche Köder, um eine mehrstufige Infektionskette auszulösen. Der Betrieb missbraucht native Windows-Dienstprogramme wie PowerShell, certutil und wscript , um das System zu profilieren, Persistenz durch geplante Aufgaben zu etablieren und gesammelte Daten zu exfiltrieren. Der Akteur wendet auch selektive Nutzlastlieferung an, indem die finale betriebliche Komponente erst bereitgestellt wird, nachdem bestimmte Umgebungs- oder Verhaltensbedingungen erfüllt sind.

Untersuchung

Der Forscher analysierte ein verdächtiges CHM-Beispiel und rekonstruierte dessen Ausführungskette, die aus mehreren VBScript- und PowerShell-Stufen bestand. Durch Wiederholen von Netzwerk-Anfragen und Tests von verschiedenen Proxy-Standorten entdeckte der Forscher ein selektives Antwortmodell, bei dem die finale Nutzlast nicht in die Sandbox-Umgebung geliefert wurde. Die Untersuchung verband auch die Infrastruktur mit bekannter Kimsuky-Aktivität durch Favicons-Ähnlichkeiten und Webserver-Fingerabdrücke.

Minderung

Organisationen sollten die Vorfahren verdächtiger Prozesse überwachen, insbesondere Fälle, in denen hh.exe or wscript.exe PowerShell oder cmd.exe aufrufen. Die Ausführung von Skriptinhalten aus benutzerbeschreibbaren Orten wie dem Internet-Cache einzuschränken kann helfen, Persistenz zu blockieren. Das Überwachen unautorisierter Änderungen an den Internet Explorer und Microsoft Edge Registrierungs-Einstellungen kann auch die Erkennung von Hostmanipulationen verbessern.

Reaktion

Wenn diese Aktivität entdeckt wird, isolieren Sie das betroffene Endgerät sofort, um zusätzlichen Befehl-und-Kontrollverkehr zu verhindern. Führen Sie Speicherforensik durch, um jegliche dateilose PowerShell-Nutzlasten zu identifizieren, die in den Prozessspeicher geladen wurden. Überprüfen Sie geplante Aufgaben auf verdächtige Einträge wie Edge Updater und überprüfen Sie das %USERPROFILE%Links Verzeichnis auf irreführende .dat or .ini Dateien.

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- & Baseline-Vorabcheck muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die exakte Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Der Angreifer beabsichtigt, die initiale Ausführung über eine Waffe einzuleiten .chm Datei. Sobald der Benutzer die Datei öffnet, verwendet die kompilierte HTML-Hilfedatei ein eingebettetes Skript, um hh.exeaufzurufen. Um standardmäßige Erkennungen zu umgehen, verwendet der Akteur hh.exe , um PowerShellzu starten, wodurch die Shell-Ausführung effektiv unter einem legitimen Windows-Hilfeprozess maskiert wird. Das Ziel ist es, einen Fußabdruck zu schaffen, indem ein versteckter PowerShell-Befehl ausgeführt wird, der eine Sekundärstufen-Nutzlast herunterladen kann.

  • Regressionstestskript:

    # Simulation der Kimsuky CHM-zu-PowerShell-Ausführungskette
    # Dieses Skript simuliert das Verhalten, bei dem hh.exe von der Regel erkannte PowerShell aufruft.
    
    Write-Host "[+] Starten der Kimsuky CHM Simulation..." -ForegroundColor Cyan
    
    # 1. Simuliert hh.exe, das PowerShell aufruft (Stimmt mit selection_hh überein)
    Write-Host "[+] Regel auslösen: hh.exe, das PowerShell aufruft..." -ForegroundColor Yellow
    Start-Process "hh.exe" -ArgumentList "powershell.exe -NoProfile -ExecutionPolicy Bypass -Command Write-Output 'Simulation Erfolg'"
    
    # 2. Simuliert wscript.exe, das VBScript ausführt (Stimmt mit selection_wscript überein)
    Write-Host "[+] Regel auslösen: wscript.exe mit VBScript-Flag..." -ForegroundColor Yellow
    $tempVBS = "$env:TEMPtest_sim.vbs"
    "WScript.Echo ""Simulation Erfolg""" | Out-File -FilePath $tempVBS -Encoding ascii
    Start-Process "wscript.exe" -ArgumentList "/e:vbscript $tempVBS"
    
    # 3. Simuliert cmd.exe mit verborgenem Fenster (Stimmt mit selection_cmd überein)
    Write-Host "[+] Regel auslösen: cmd.exe mit verborgener Fensterstil..." -ForegroundColor Yellow
    Start-Process "cmd.exe" -ArgumentList "/c PowerShell -WindowStyle Hidden -Command Write-Output 'Simulation Erfolg'"
    
    Write-Host "[+] Simulationsbefehle versandt." -ForegroundColor Green
  • Bereinigungsbefehle:

    # Temporäre Dateien löschen, die während der Simulation erstellt wurden
    Remove-Item -Path "$env:TEMPtest_sim.vbs" -ErrorAction SilentlyContinue
    Write-Host "[+] Bereinigung abgeschlossen." -ForegroundColor Cyan