Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Zscaler ThreatLabz entdeckte zwei Kampagnen – Gopher Strike und Sheet Attack, die von einer APT-Gruppe mit Verbindungen zu Pakistan betrieben werden und indische Regierungsorganisationen ins Visier nehmen. Die Aktivität führt Golang-basierte Tools ein, darunter GOGITTER, GITSHELLPAD und GOSHELL, um Payloads zu inszenieren, private GitHub-Repositories für die C2 zu nutzen und schließlich einen Cobalt-Strike-Beacon zu installieren. Der anfängliche Zugriff wird durch Spearphishing-PDFs erreicht, die die Opfer dazu verleiten, schädliche ISO-Dateien herunterzuladen. Die Operatoren setzen mehrere Ausweichmethoden ein, darunter Umweltüberprüfungen, Datei-Padding und geplante Aufgaben-Persistenz.
Untersuchung
Die Analyse ergab, dass GOGITTER das Vorhandensein eines windows_api.vbs-Skripts validiert, es erstellt, wenn es nicht vorhanden ist, und eine geplante Aufgabe registriert, um es alle 50 Minuten auszuführen. GITSHELLPAD verwendet die GitHub-REST-API für die Befehlsabrufung und Datenexfiltration, während GOSHELL nur auf ausgewählten Hostnamen einen gestaffelten Cobalt Strike Beacon lädt. Die Tools betten fest codierte URLs und User-Agent-Strings ein, um die automatisierte Analyse und Sandboxing zu erschweren. Die Kampagnen nutzten auch private GitHub-Repositories, um unterstützende Payloads wie adobe_update.zip zu hosten.
Minderung
Blockieren Sie die Ausführung von nicht vertrauenswürdigen/nicht signierten Golang-Binärdateien und erzwingen Sie eine strikte Positivliste und Überprüfung für die Erstellung geplanter Aufgaben. Überwachen Sie den ausgehenden Verkehr zu bekannten bösartigen Domains und zu GitHub-Ressourcen, die als C2 verwendet werden, einschließlich anomaler GitHub-API-Nutzung von Nicht-Entwickler-Endpunkten. Stärken Sie die E-Mail-Sicherheit, indem Sie PDF-Anhänge auf Verschleierung scannen und Links blockieren, die zu ISO-Downloads umleiten. Erkennungspunkte sollten auf die Erstellung von windows_api.vbs und periodische Aufgabenausführungsmuster mit 50-Minuten-Intervallen aufmerksam machen.
Reaktion
Wenn IOCs erkannt werden, isolieren Sie den Endpunkt, stoppen und entfernen Sie die geplante Aufgabe und löschen Sie die zugehörigen bösartigen Artefakte. Führen Sie eine forensische Überprüfung der GitHub-basierten C2-Aktivität durch, bewahren Sie die Befehlsprotokolle auf und entfernen Sie nach Möglichkeit alle exfiltrierten oder hochgeladenen Inhalte. Setzen Sie die Anmeldedaten für betroffene Konten zurück, suchen Sie nach lateraler Bewegung und aktualisieren Sie die Erkennungen mit extrahierten Indikatoren, um verwandte Aktivitäten in der gesamten Umgebung zu identifizieren.
graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#b3e5fc classDef tool fill:#ffe0b2 classDef malware fill:#ffcccb classDef process fill:#d5f5e3 classDef operator fill:#ff9900 %% Nodes – Attack Steps step1_initial_access[„<b>Technik</b> – T1204.002 Benutzerausführung: Schaddatei<br/><b>Beschreibung</b>: Der Benutzer führt eine durch Social Engineering gelieferte Schaddatei aus.<br/><b>Detail</b>: Spear-Phishing-PDF, getarnt als Adobe-Acrobat-Update; ein Klick auf eine gefälschte Schaltfläche lädt ein ISO mit der Payload herunter.“] class step1_initial_access technique step2_recon[„<b>Technik</b> – T1593.003 Suche auf Öffentlichen Websites/Domains: Code-Repositories<br/><b>Beschreibung</b>: Der Angreifer sammelt Informationen aus öffentlichen Code-Hosting-Plattformen.<br/><b>Detail</b>: Bedrohungsakteure erstellen private GitHub-Repositories zur späteren Nutzung für C2 und Payloads.“] class step2_recon technique step3_exec_vbscript[„<b>Technik</b> – T1059.005 Befehls- und Skript-Interpreter: Visual Basic<br/><b>Beschreibung</b>: Führt Visual-Basic-Skripte zur Befehlsausführung aus.<br/><b>Detail</b>: GOGITTER legt windows_api.vbs ab und führt es aus, um weitere Befehle von einem Webserver zu beziehen.“] class step3_exec_vbscript technique step4_exec_cmd[„<b>Technik</b> – T1059.003 Befehls- und Skript-Interpreter: Windows-Befehlszeile<br/><b>Beschreibung</b>: Nutzt die native Windows-Befehlszeile zur Ausführung.<br/><b>Detail</b>: GITSHELLPAD führt Befehle wie net user, systeminfo, tasklist und curl aus.“] class step4_exec_cmd technique step5_persistence[„<b>Technik</b> – T1053.005 Geplanter Task/Job: Geplanter Task<br/><b>Beschreibung</b>: Erstellt einen geplanten Task zur wiederholten Ausführung von Schadcode.<br/><b>Detail</b>: GOGITTER erstellt einen Task namens MicrosoftEdge_ConfigurationUpdate_<random>, der das VBScript alle 50 Minuten ausführt.“] class step5_persistence technique step6_masquerade[„<b>Technik</b> – T1036.008 Tarnung: Getarnter Dateityp und T1036.007 Doppelte Dateiendung<br/><b>Beschreibung</b>: Dateien werden so benannt, dass sie legitim wirken und ihren wahren Typ verbergen.<br/><b>Detail</b>: Abgelegte Dateien mit Namen windows_api.vbs, adobe_update.zip, edgehost.exe.“] class step6_masquerade technique step7_obfuscation[„<b>Technik</b> – T1027.015 Verschleierte Dateien oder Informationen: Komprimierung<br/><b>Beschreibung</b>: Verwendet Komprimierung zur Verschleierung bösartiger Payloads.<br/><b>Detail</b>: Payloads sind als ZIP/RAR-Archive im privaten GitHub-Repository abgelegt.“] class step7_obfuscation technique step8_account_disc[„<b>Technik</b> – T1087.001 Kontenentdeckung: Lokales Konto<br/><b>Beschreibung</b>: Listet lokale Benutzerkonten auf dem System auf.<br/><b>Detail</b>: GITSHELLPAD führt \“net user\“ zur Auflistung der Konten aus.“] class step8_account_disc technique step9_network_disc[„<b>Technik</b> – T1016.001 Erkennung der System-Netzwerkkonfiguration: Internetverbindungs-Erkennung<br/><b>Beschreibung</b>: Prüft Internetverbindung und erreichbare C2-Endpunkte.<br/><b>Detail</b>: Verwendet curl zum Testen der Erreichbarkeit von Angreifer-Domains.“] class step9_network_disc technique step10_collection[„<b>Technik</b> – T1560.002 Archivierung Gesammelter Daten: Archivierung über Bibliothek<br/><b>Beschreibung</b>: Komprimiert gesammelte Daten für die spätere Verwendung.<br/><b>Detail</b>: Post-Compromise-Tools werden als ZIP/RAR-Archive bereitgestellt.“] class step10_collection technique step11_c2[„<b>Technik</b> – T1102.001 Webdienst: Dead-Drop-Resolver<br/><b>Beschreibung</b>: Kommuniziert mit C2 über einen Webdienst, der als Dead-Drop fungiert.<br/><b>Detail</b>: Nutzt die GitHub-REST-API zum Hochladen von info.txt und Abfragen von command.txt.“] class step11_c2 technique step12_exfil[„<b>Technik</b> – T1567.001 Exfiltration über Webdienst: Exfiltration zu Code-Repository<br/><b>Beschreibung</b>: Exfiltriert Daten durch Hochladen in ein Code-Repository.<br/><b>Detail</b>: Die gesammelte info.txt wird in ein vom Angreifer kontrolliertes GitHub-Repository hochgeladen.“] class step12_exfil technique %% Connections – Attack Flow step1_initial_access –>|führt_zu| step2_recon step2_recon –>|führt_zu| step3_exec_vbscript step3_exec_vbscript –>|führt_zu| step4_exec_cmd step4_exec_cmd –>|führt_zu| step5_persistence step5_persistence –>|führt_zu| step6_masquerade step6_masquerade –>|führt_zu| step7_obfuscation step7_obfuscation –>|führt_zu| step8_account_disc step8_account_disc –>|führt_zu| step9_network_disc step9_network_disc –>|führt_zu| step10_collection step10_collection –>|führt_zu| step11_c2 step11_c2 –>|führt_zu| step12_exfil
Angriffsablauf
Erkennungen
Mögliche IP-Suche für Domain-Kommunikation versucht (über dns)
Ansehen
Verdächtiger Prozess verwendet eine URL in der Befehlszeile (über cmdline)
Ansehen
Verdächtige CURL-Nutzung (über cmdline)
Ansehen
Mögliche Systemaufzählung (über cmdline)
Ansehen
Mögliche Konto- oder Gruppenaufzählung (über cmdline)
Ansehen
Verdächtige extrahierte Dateien aus einem Archiv (über file_event)
Ansehen
Mögliche Systemnetzwerkkonfigurationsentdeckung (über cmdline)
Ansehen
IOCs (HashSha1) zur Erkennung: APT-Angriffe auf die indische Regierung unter Verwendung von GOGITTER, GITSHELLPAD und GOSHELL | Teil 1
Ansehen
IOCs (HashMd5) zur Erkennung: APT-Angriffe auf die indische Regierung unter Verwendung von GOGITTER, GITSHELLPAD und GOSHELL | Teil 1
Ansehen
IOCs (HashSha256) zur Erkennung: APT-Angriffe auf die indische Regierung unter Verwendung von GOGITTER, GITSHELLPAD und GOSHELL | Teil 1
Ansehen
Erkennung des GITSHELLPAD-Backdoors und Reinigungskommandos [Windows-Prozesserstellung]
Ansehen
Erkennung des GOGITTER-Downloaders und C2-Kommunikation [Windows-Netzwerkverbindung]
Ansehen
Simulation Execution
Voraussetzung: Die Telemetrie- & Basislinien-Vorflugprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erklärungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehlinterpretationen.
-
Angriffserzählung & Befehle:
Eine APT-Gruppe setzt das GITSHELLPAD-Backdoor (edgehost.exe) auf einem kompromittierten Windows-Host ein. Um mit dem erwarteten Systemverhalten zu verschmelzen, startet der Angreifer das Backdoor über die Windows-Befehlszeile (cmd /c). Nach Abschluss seiner Payload (z. B. Herunterladen zusätzlicher Module) führt das Backdoor ein „Cleanup“ durch, indem es seinen eigenen Prozess mithilfe vontaskkill /F /PID <PID>. Beide Aktionen erzeugen Prozess-Erstellungsereignisse, die den Namen der Binärdatei und die erforderlichen Befehlszeilen-Substrings enthalten, wodurch die Sigma-Regel erfüllt wird. -
Regressionstestskript:
# ------------------------------------------------- # Simuliere die Ausführung & Reinigung des GITSHELLPAD-Backdoors # ------------------------------------------------- # 1. Platzieren Sie einen Platzhalter edgehost.exe (irgendeine harmlose ausführbare Datei) $src = "$env:SystemRootSystem32notepad.exe" $dst = "$env:TEMPedgehost.exe" Copy-Item -Path $src -Destination $dst -Force # 2. Starten Sie edgehost.exe über cmd /c (entspricht cmd_cmd-Muster) $proc = Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$dst`"" -PassThru # 3. Warten Sie einige Sekunden, um sicherzustellen, dass der Prozess aktiv ist Start-Sleep -Seconds 5 # 4. Reinigung: Beenden Sie den edgehost.exe-Prozess mithilfe von taskkill (entspricht taskkill_cmd-Muster) $pid = $proc.Id cmd /c "taskkill /F /PID $pid" # 5. Entfernen Sie die abgelegte Datei Remove-Item -Path $dst -Force -
Reinigungskommandos:
# Stellen Sie sicher, dass alle streunenden edgehost.exe-Instanzen beendet werden Get-Process -Name "edgehost" -ErrorAction SilentlyContinue | Stop-Process -Force # Löschen Sie die temporäre Binärdatei, wenn noch vorhanden $tempPath = "$env:TEMPedgehost.exe" if (Test-Path $tempPath) { Remove-Item $tempPath -Force }