SOC Prime Bias: Hoch

02 Jul 2026 06:46 UTC

StrikeShark-Kampagne liefert Cobalt Strike über SharkLoader

Author Photo
SOC Prime Team linkedin icon Folgen
StrikeShark-Kampagne liefert Cobalt Strike über SharkLoader
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

StrikeShark ist eine neu identifizierte Bedrohungskampagne, die einen benutzerdefinierten Malware-Loader namens SharkLoader verwendet, um Cobalt Strike Beacons zu liefern. Der Betrieb stützt sich auf mehrere Methoden des anfänglichen Zugangs, einschließlich der Ausnutzung von internetzugänglichen Anwendungen und der lieferung über Dropper. Die Malware nutzt auch fortschrittliche Umgehungstechniken wie DLL-Sideloading und API-Hooking, um Sicherheitsabwehr zu umgehen.

Untersuchung

Die Untersuchung identifizierte Infektionen durch SharkLoader in mehreren Ländern und Industriebranchen, einschließlich diplomatischer Einrichtungen und Softwareentwicklungsorganisationen. Forscher verfolgten die gesamte Eindringkette, von der Ausnutzung von Schwachstellen wie ProxyLogon bis zur Ausführung der endgültigen Cobalt Strike-Nutzlast. Die Studie beschrieb auch den technischen Einsatz von „Perfect DLL Hijacking“ und ausgeklügeltem API-Hooking, das entwickelt wurde, um die Erkennung zu reduzieren.

Abmilderung

Organisationen sollten der Aktualisierung von internetzugänglichen Systemen Vorrang einräumen, insbesondere Microsoft Exchange, SharePoint und exponierte Netzwerkgeräte. Der Einsatz starker Endpunkt-Erkennungs- und Reaktionsfähigkeiten kann helfen, verdächtiges DLL-Sideloading und die unbefugte Erstellung geplanter Aufgaben aufzudecken. Sicherheitsteams sollten auch ungewöhnliche Eltern-Kind-Prozessbeziehungen überwachen, wie z. svchost.exe unvorhergesehene Prozesse starten.

Reaktion

Wenn diese Aktivität erkannt wird, isolieren Sie sofort betroffene Systeme, um eine weitere seitliche Bewegung und Kommando- und Kontrollverkehr zu stoppen. Führen Sie eine vollständige forensische Untersuchung durch, um den anfänglichen Zugangsweg und den gesamten Umfang der Kompromittierung zu bestimmen. Setzen Sie die Anmeldedaten für alle potenziell betroffenen Konten zurück, insbesondere für privilegierte Benutzer, und überprüfen Sie Active Directory auf unbefugte Änderungen oder neu zugewiesene Gruppenmitgliedschaften.

Angriffsfluss

Simulation Ausführung

Voraussetzung: Das Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden werden.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Gegnertechnik (TTP), die dazu entworfen wurde, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslinie erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Der Gegner beabsichtigt, sich mit den charakteristischen Methoden der StrikeShark-Kampagne einen Fuß in die Tür zu verschaffen. Zuerst simuliert der Angreifer das Nebenprodukt des DLL-Sideloading, indem er eine umbenannte Version einer legitimen Binärdatei als SystemSettings.exeausführt. Sobald der Prozess läuft, versucht der Angreifer, sich einen Überblick über die Situation zu verschaffen, indem er die Domain-Umgebung auflistet. Um die beobachtete TTP zu imitieren, verwendet der Angreifer PowerShell, um Active Directory nach Benutzer- und Rechnerobjekten abzufragen, was ein häufiger Schritt während der Erkundungsphase eines Domänenkompromisses ist.

  • Regressionstest-Skript:

    # Simulationsskript für die Erkennung von SharkLoader & AD-Abfrage
    
    Write-Host "[*] Simulation wird gestartet..." -ForegroundColor Cyan
    
    # 1. SharkLoader-Prozessausführung über SystemSettings.exe simulieren
    # Wir verwenden notepad.exe als Proxy, um das Verhalten der gesideloadeten Binärdatei zu simulieren
    Start-Process "notepad.exe" -ArgumentList "/c "Dies ist eine simulierte SystemSettings.exe"" -WindowStyle Hidden
    # Hinweis: In einer realen Umgebung würde die Datei selbst SystemSettings.exe heißen. 
    # Für diesen Test simulieren wir die Erstellung des Prozesseintrags.
    
    # 2. Bösartige Active Directory-Erfassung simulieren
    Write-Host "[*] AD-Erfassung wird simuliert..." -ForegroundColor Yellow
    # Verwenden der Standard-Cmdlets, nach denen die Regel gezielt sucht
    Get-ADUser -Filter * | Select-Object -First 5
    Get-ADComputer -Filter * | Select-Object -First 5
    Get-ADGroup -Filter * | Select-Object -First 5
    
    Write-Host "[+] Simulationsbefehle ausgeführt." -ForegroundColor Green
  • Bereinigungsbefehle:

    # Bereinigungsskript, um sicherzustellen, dass keine Restprozesse verbleiben
    Stop-Process -Name "notepad" -ErrorAction SilentlyContinue
    Write-Host "[*] Bereinigung abgeschlossen." -ForegroundColor Cyan