SOC Prime Bias: Hoch

02 Jul 2026 06:38 UTC

Evolution der UAC-0226-Toolnutzung von WinRAR ADS zu reflektiver GIFTEDCROOK-Ladung

Author Photo
SOC Prime Team linkedin icon Folgen
Evolution der UAC-0226-Toolnutzung von WinRAR ADS zu reflektiver GIFTEDCROOK-Ladung
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Die Bedrohungsakteur UAC-0226 hat seine Lieferkette durch das Ausnutzen einer WinRAR-Pfaddurchquerungsschwachstelle zusammen mit NTFS-Alternativen Datenströmen verfeinert, um eine ruhige Persistenz herzustellen. Die Kampagne stützt sich auf einen mehrstufigen PowerShell-Loader, um eine headerlose reflektierende PE-Nutzlast namens GIFTEDCROOK bereitzustellen. Die Malware ist darauf ausgelegt, Browser-Anmeldeinformationen, VPN-Konfigurationsdaten und sensible Dokumente von kompromittierten Systemen zu sammeln.

Untersuchung

Die Analyse zergliedert einen komplexen Ausführungsfluss, der um ein bewaffnetes WinRAR-Archiv, eine Ablenkungs-PDF und eine versteckte LNK-Datei aufgebaut ist, die im Windows-Startup-Ordner platziert ist. Forscher identifizierten eine benutzerdefinierte additive Dekodierungsroutine und einen fortgeschrittenen reflektiven Loader, der eine DLL direkt in den Speicher abbildet. Telemetrie zeigte auch, dass der Loader den Ausführungsstatus über eine benutzerdefinierte 16-Byte-Struktur an seinen Kommando- und Kontrollserver meldet.

Minderung

Organisationen sollten die Aktualisierung von WinRAR priorisieren, um Pfaddurchquerungs-Schwachstellen zu beheben. Die Durchsetzung strenger PowerShell-Ausführungsrichtlinien und die Überwachung ungewöhnlicher NTFS-Alternative-Datenstrom-Aktivitäten kann helfen, die frühen Stadien der Kompromittierung zu stören. Sicherheitsteams sollten auch auf nicht autorisierte Dateien achten, die in Startup-Ordnern abgelegt werden, und auf verdächtiges Verhalten bei der Speicherbelegung wie NtAllocateVirtualMemory.

Antwort

Wenn diese Aktivität erkannt wird, isolieren Sie die betroffenen Hosts sofort, um eine weitere Datenexfiltration zu verhindern. Untersuchen Sie den C:ProgramData Verzeichnis auf verdächtige dateienlosen Dateien und überprüfen Sie den Startup-Ordner des Benutzers auf nicht autorisierte LNK-Verknüpfungen. Speicherforensik sollte durchgeführt werden, um reflektierende DLLs zu identifizieren, und Netzprotokolle sollten auf Kommunikation mit der identifizierten Kommando- und Kontrollinfrastruktur überprüft werden.

Angriffsfluss

Simulation Ausführung

Voraussetzung: Die Telemetrie- & Baseline-Überprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und sollen genau die Telemetrie erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Der Gegner beabsichtigt, eine Stealer-Nutzlast bereitzustellen. Um den Fußabdruck zu minimieren und Benutzerinteraktionen zu vermeiden, platzieren sie eine Nutzlast in C:ProgramDataWC3. Dann rufen sie PowerShell mit einer Reihe von „Living-off-the-Land“-Flags auf, die so konzipiert sind, dass die Ausführungsrichtlinien umgangen werden und das Fenster vor dem Benutzer verborgen wird. Der Befehl verwendet iex (Invoke-Expression), um einen Befehl auszuführen, der auf die gestellte Datei verweist und das reflektierende Ladeverhalten der UAC-0226-Kampagne simuliert.

  • Regressionstest-Skript:

    # 1. Einrichtung: Erstellen Sie das spezifische Verzeichnis, das in der Erkennungsregel verwendet wird
    $targetDir = "C:ProgramDataWC3"
    if (!(Test-Path $targetDir)) {
        New-Item -Path $targetDir -ItemType Directory -Force
    }
    
    # 2. Erstellen Sie eine Dummy-Nutzlast-Datei, um die Pfadanforderung zu erfüllen
    $dummyFile = "$targetDirpayload.ps1"
    "Write-Output 'Simulierte bösartige Nutzlast'" | Out-File -FilePath $dummyFile -Encoding ascii
    
    # 3. Führen Sie die bösartige Befehlsfolge aus (Dies sollte die Regel auslösen)
    # Wir verwenden Start-Process, um sicherzustellen, dass die Befehlszeile als neuer Prozess erfasst wird
    Start-Process powershell.exe -ArgumentList "-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command ""iex (Get-Content $dummyFile)""" -WindowStyle Hidden
    
    Write-Host "[+] Simulationsbefehl ausgeführt. Überprüfen Sie Ihr SIEM für den Alarm."
  • Aufräumbefehle:

    # Entfernen Sie das Verzeichnis und die Dummy-Dateien, die während der Simulation erstellt wurden
    Remove-Item -Path "C:ProgramDataWC3" -Recurse -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Aufräumarbeiten abgeschlossen."