Kimsuky Erweiterte Angriffstechniken: JSONPing, Webex-Spoofing und eine Neue HttpSpy-Variante

Zusammenfassung

Kimsuky nutzte Social-Engineering-Seiten, die Sicherheitssoftware und Webex-Meetings vortäuschten, um einen mehrstufigen HttpSpy RAT zu liefern. Die Kampagne führte eine JSONP-basierte Infektionsprüfung namens JSONPing ein und teilte die Payload in Installer, Loader und Hauptmodul auf. Indikatoren umfassen geteilte RC4-Schlüssel, XAMPP-Zertifikate und Infrastrukturüberschneidungen mit früheren Kampagnen.

Untersuchung

Das Team analysierte gefälschte Installationsseiten, erfasste Dropper-Binärdateien, extrahierte RC4-Schlüssel und rekonstruierte die dreistufige Ausführungskette von nos-setup.exe/astx-setup.exe über MemLoader.dll, engine.dat und cacheMon.dat bis zum finalen HttpSpy-Modul. Der Netzwerkverkehr zeigte GET-Anfragen an lokale Ports und C2-URLs.

Abschwächung

Organisationen sollten verdächtige Domains und IPs sperren, die Ausführung von Skriptdateien aus unbekannten Quellen deaktivieren, die Erstellung von regsvr32 und geplanten Aufgaben überwachen und die Code-Signaturüberprüfung erzwingen. Webex-Meeting-Links vor dem Klicken überprüfen und TLS-Inspektion nutzen, um JSONPing-Verkehr zu erkennen.

Reaktion

Erkennen Sie die Präsenz der identifizierten Binärdateien, Registry-Run-Schlüssel, geplante Aufgaben und Netzindikatoren. Quarantänisieren Sie betroffene Hosts, widerrufen Sie kompromittierte Code-Signaturzertifikate und führen Sie forensische Analysen zu Payloads und Persistenzmechanismen durch.

Executive Summary

• Testfall-ID: TC-20260529-A7Z3Q
• TTPs:
  • T1005 (Daten vom lokalen System)
  • T1010 (Anwendungsfenstererkennung)
  • T1012 (Abfrage-Registry)
  • T1027.009 (Verschleierte Dateien oder Informationen: Eingebettete Payloads)
  • T1027.010 (Verschleierte Dateien oder Informationen: Binär-Padding)
  • T1027.013 (Verschleierte Dateien oder Informationen: Indikatorentfernung aus Tools)
  • T1036.004 (Verschleierung: Vortäuschen von Aufgaben oder Diensten)
  • T1041 (Exfiltration über Befehls- und Kontrollkanal)
  • T1053.005 (Geplante Aufgabe/Job: Geplante Aufgabe)
  • T1055.001 (Prozesseinspritzung: Dynamische Linkbibliothekseinspritzung)
  • T1057 (Prozesserkennung)
  • T1059.003 (Befehls- und Scripting-Interpreter: Windows-Befehlsshell)
  • T1059.007 (Befehls- und Scripting-Interpreter: JavaScript)
  • T1070.004 (Indicator Removal on Host: Dateilöschung)
  • T1070.006 (Indicator Removal on Host: Löschen von Registry-Schlüsseln)
  • T1070.009 (Indikatorentfernung auf Host: Windows-Ereignisprotokolle löschen)
  • T1071.001 (Protokoll der Anwendungsebene: Webprotokolle)
  • T1082 (Systeminformationsentdeckung)
  • T1083 (Datei- und Verzeichnisentdeckung)
  • T1090 (Proxy)
  • T1113 (Bildschirmaufnahme)
  • T1132.001 (Datenkodierung: Standardkodierung)
  • T1134.002 (Zugriffs-Token-Manipulation: Token erstellen und imitieren)
  • T1140 (Entschleierung/Decodierung von Dateien oder Informationen)
  • T1204.002 (Benutzerausführung: Bösartige Datei)
  • T1497.001 (Virtualisierung/Sandbox-Ausweichung: Systemprüfungen)
  • T1547.001 (Start- oder Anmeldestartausführung: Registry-Run-Schlüssel / Startordner)
  • T1566 (Phishing)
  • T1573.001 (Verschlüsselter Kanal: Symmetrische Verschlüsselung)
  • T1620 (Reflektierendes Laden von Code)
• Erkennungsregel Logikzusammenfassung: Erkennt einen PowerShell-Befehl, der startet regsvr32.exe mit einem versteckten Fenster, um eine DLL aus dem C:ProgramData Verzeichnis zu laden.
• Erkennungsregel Sprache/Format: Sigma (YAML)
• Ziel-Sicherheitsumgebung:
  • OS: Windows 10 / Windows Server 2019 (Prozesserstellungsereignisse)
  • Protokollierung: Windows Sysmon (Ereignis-ID 1) und Windows-Sicherheitseventprotokoll (Ereignis-ID 4688)
  • Sicherheitsstapel: SIEM, das Sigma-Regeln integriert (z.B. Azure Sentinel, Splunk, Elastic) mit EDR-Abdeckung (Microsoft Defender for Endpoint)
• Resilienzbewertung (1-5): 3
• Begründung: Die Regel koppelt eng die regsvr32.exe Ausführung mit einem spezifischen PowerShell-Startmuster, das gegen die genau beschriebene Technik wirksam ist. Allerdings können sich Gegner durch (1) die Nutzung alternativer Ladeverfahren (z.B. rundll32, PowerShell -EncodedCommand), (2) Umbenennung regsvr32.exe, oder (3) Ausführung der DLL über reflektierendes Laden ohne Aufruf von regsvr32vermeiden. Daher moderate Resilienz.
• Hauptbefunde: Die Regel feuert zuverlässig, wenn der genaue PowerShell-regsvr32 Befehl ausgeführt wird; legitime Nutzung von regsvr32.exe ohne den PowerShell-Wrapper löst keinen Alarm aus.
• Empfehlung: Ergänzen Sie die Regel mit zusätzlichen Mustern (z.B. Erkennung von regsvr32.exe direkt aufgerufen, Überwachung von DLL-Ladevorgängen aus untypischen Pfaden und Erkennung von kodierten PowerShell-Befehlen), um die Resilienz auf 4-5 zu erhöhen.

Simulationsumgebung & Kontext

• Getestete TTPs:

  • T1055.001: Prozesseinspritzung – Dynamische Linkbibliothekseinspritzung (bösartige DLL geladen über regsvr32.exe)
  • T1059.003: Befehls- und Scripting-Interpreter – Windows-Befehlsshell (PowerShell wird verwendet, um die Ausführung zu verbergen)
  • T1027.009 / T1027.010 / T1027.013: Verschleierte Dateien oder Informationen (DLL-Namenverschleierung, verstecktes Fenster)

• TTP-Kontext & Relevanz:

  • T1055.001: Der Angreifer nutzt regsvr32.exe um eine bösartige DLL (mTSTCv8.mdxm) in einem vertrauenswürdigen Prozess zu laden und so die Anwendungsliste zu umgehen.
  • T1059.003: PowerShell startet den regsvr32 Befehl mit -windowstyle hidden um Benutzerbewusstsein und UI-Überwachung an Endpunkten zu umgehen.
  • Verschleierungstaktiken: Die Verwendung einer nicht standardmäßigen DLL-Erweiterung (.mdxm) und ein verstecktes Fenster sind klassische Ausweichtechniken, die die Regel aufdecken soll.

• Zielumgebung:

  • OS: Windows 10 Enterprise (Build 1909)
  • Protokollierung: Sysmon konfiguriert mit Standardregelsatz (ProzessCreate, ImageLoaded erfassen) und Windows-Sicherheitseventprotokoll 4688 aktiviert.
  • Sicherheitsstapel: Azure Sentinel (Log Analytics Workspace), das Sysmon/Windows-Logs einliest; Microsoft Defender for Endpoint für hostbasierte Alarme.

Telemetrie und Basislinien-Pre-Flight-Überprüfung

Begründung: Vor der Simulation des Angriffs müssen wir sicherstellen, dass der Zielhost so konfiguriert ist, dass die notwendigen Protokolle generiert werden, dass diese Protokolle vom SIEM aufgenommen werden und dass die Erkennungsregel bei harmlosen Aktivitäten nicht ausgelöst wird.

• 1. Konfigurationsanweisungen für Telemetrie:

  • Installieren Sie Sysmon (V13 oder höher) mit folgendem Konfigurationsausschnitt (gespeichert als sysmon-config.xml):

    <Sysmon schemaversion="4.70">
      <EventFiltering>
        <ProcessCreate onmatch="include">
          <Image condition="is">regsvr32.exe</Image>
        </ProcessCreate>
      </EventFiltering>
    </Sysmon>

    Laufen: sysmon -i -accepteula -c sysmon-config.xml

  • Überprüfen Sie, dass die Sicherheitsüberwachung von Windows für „Überwachung der Prozessanlegung“ aktiviert ist (Richtlinie: Computer-Konfiguration → Windows-Einstellungen → Sicherheits-Einstellungen → Erweiterte Überwachungsrichtlinie → Systemüberwachungsrichtlinien → Detaillierte Überwachung → Prozessanlegung überwachen – auf Erfolg setzen).

  • Stellen Sie sicher, dass der Ereignissammler Ereignis-ID 4688 (Prozesserstellung) und Sysmon-Ereignis-ID 1 an Azure Sentinel über den Log Analytics-Agenten weiterleitet.

• 2. Aufnahme & Basisvalidierung:

  • Aktion (gutartige Telemetrie): Führen Sie einen legitimen regsvr32 Aufruf aus, der nicht not PowerShell oder versteckte Fenster einbezieht (z.B. Registrierung einer Microsoft DLL).

    # Gutartige Registrierung einer Windows-DLL (kein verstecktes Fenster)
    regsvr32.exe /s C:WindowsSystem32shdocvw.dll

  • Validierungsanfrage (Aufnahme): Bestätigen Sie im Azure Sentinel (KQL), dass das gutartige Ereignis aufgenommen wurde, aber nicht not die Regel getroffen hat.

    // Überprüfen Sie die Aufnahme der gutartigen regsvr32-Ausführung
    Ereignis
    | wo SourceSystem == "Sicherheit" und EventID == 4688
    | wo Prozess == "regsvr32.exe"
    | wo CommandLine !contains "powershell.exe"
    | Projekt ZeitGeneriert, Computer, Prozess, Kommandozeile, EreignisID

    Der Ergebnissatz sollte das gutartige Ereignis enthalten, und der Alarm der Sigma-Regel sollte stumm bleiben.

Simulationsausführung

Voraussetzung: Die Telemetrie & Basislinien-Pre-Flight-Überprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Durchführung der gegnerischen Technik (TTP), die dazu entworfen wurde, die Erkennungsregel auszulösen. Die Befehle und der Text MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genau durch die Erkennungslogik erwartete Telemetrie zu generieren.

• Angriffserzählung & Befehle:
  Der Gegner hat eine benutzerdefinierte DLL (mTSTCv8.mdxm) erhalten, die einen reflektierenden Loader für eine zweite Stufe der Nutzlast enthält. Um die interaktive Ausführung zu vermeiden, erstellt der Angreifer einen PowerShell-One-Liner, der regsvr32.exe mit dem /s silent-Flag ausführt, während die PowerShell-Konsole versteckt wird (-WindowStyle Hidden). Die DLL befindet sich in C:ProgramData um sich mit legitimen Anwendungsdaten zu vermischen. Ausführungsschritte:

  1. Kopieren Sie die bösartige DLL nach C:ProgramDatamTSTCv8.mdxm.
  2. Starten Sie PowerShell (hidden), das regsvr32.exe /s C:ProgramDatamTSTCv8.mdxm.
  3. Der versteckte PowerShell-Prozess startet regsvr32.exe, der die DLL in seinen eigenen Prozessraum lädt und somit Codeausführung mit einem vertrauenswürdigen Binary erreicht.

• Regressionstest-Skript:

  # ==============================
  #  Regressionstest: Regsvr32 über PowerShell (böse DLL)
  # ==============================
  # 1. Bereitstellen der bösartigen DLL (simuliert mit einer bekannten gutartigen DLL für Sicherheit)
  $dllPath = "C:ProgramDatamTSTCv8.mdxm"
  Copy-Item -Path "$env:SystemRootSystem32windows.storage.dll" -Destination $dllPath -Force
  
  # 2. PowerShell-Hidden-Launch ausführen, auf den die Sigma-Regel wartet
  $psCommand = "powershell.exe -WindowStyle Hidden regsvr32.exe /s `"$dllPath`""
  Start-Process -FilePath "powershell.exe" -ArgumentList "-WindowStyle Hidden", "regsvr32.exe", "/s", "`"$dllPath`"" -NoNewWindow
  
  # Optional: Warten Sie einige Sekunden, damit der Prozess in den Protokollen erscheint
  Start-Sleep -Seconds 5
  
  # 3. Ein Markierungsereignis zur Konsolenvalidierung herausgeben
  Write-Host "[*]Regsvr32-Ausführung über versteckte PowerShell gestartet."

• Bereinigungskommandos:

  # Entfernen der simulierten bösartigen DLL
  Remove-Item -Path "C:ProgramDatamTSTCv8.mdxm" -Force -ErrorAction SilentlyContinue
  
  # Schließen aller verbleibenden regsvr32.exe-Prozesse (falls vorhanden)
  Get-Process -Name regsvr32 -ErrorAction SilentlyContinue | Stop-Process -Force
  
  Write-Host "[*] Bereinigung abgeschlossen."