SOC Prime Bias: Mittel

05 Mai 2026 17:21
newspaper icon Huntress

ClickFix entfernt Ihren Hintergrund, aber lässt die Malware zurück

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
ClickFix entfernt Ihren Hintergrund, aber lässt die Malware zurück
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Eine bösartige Website, die sich als kostenloser Dienst zur Entfernung von Hintergründen ausgibt, liefert ein mehrstufiges Malware-Framework namens CastleLoader. Nach der Ausführung installiert der Loader NetSupport RAT zusammen mit einem benutzerdefinierten .NET-Stealer, der darauf ausgelegt ist, Browser-Anmeldedaten, Kryptowährungs-Wallet-Daten und Telegram-Sitzungsinformationen zu extrahieren. Die Malware kommuniziert über verschlüsselte Kanäle mit ihrer Kommando- und Kontroll-Infrastruktur, die auf benutzerdefinierten Protokollen und ChaCha20-Verschlüsselung basieren. Die Kampagne verwendet außerdem mehrere Ausweichtechniken, einschließlich Process Hollowing, APC-Injektion und die Ausnutzung von ReplaceTextW, um die Erkennung zu reduzieren und die Ausführung aufrechtzuerhalten.

Untersuchung

Forscher verfolgten den Angriff zu einer initialen Nutzlast zurück, die durch eine gefälschte „Ich bin kein Roboter“-Aufforderung in die Zwischenablage des Opfers kopiert wurde, gefolgt von der Nutzung von finger.exe , um einen Befehl von einem Remote-Server abzurufen. Eine tiefere Analyse deckte eine Python-basierte Bring-Your-Own-Interpreter-Kette auf, die zusätzliche Malware-Komponenten herunterlud, einen benutzerdefinierten Shellcode-Loader, der mit RC4 geschützt war, und einen reflektierende PE-Loader, der NtAllocateVirtualMemory direkt aufrief. Ermittler stellten fest, dass CastleLoader verschlüsselte Aufgaben von seinem Kommando- und Kontroll-Server abrief, sie im Speicher entschlüsselte und Folge-Nutzlasten durch mehrere unterschiedliche Ausführungsmethoden startete.

Abmilderung

Verteidiger sollten die Ausführung unnötiger Windows-Dienstprogramme wie finger.exe and regsvr32.exeblockieren, AppLocker oder vergleichbare Anwendungssteuerungsrichtlinien durchsetzen und den ausgehenden Datenverkehr zu nicht vertrauenswürdigen Domains und ungewöhnlichen Ports einschränken. Organisationen sollten auch in Erwägung ziehen, den Zugriff auf den Ausführen-Dialog dort zu begrenzen, wo dies betrieblich möglich ist, und die verdächtige Nutzung von ReplaceTextW und ungewöhnlichen COM-Objekt-Aktivitäten zu überwachen. Eine Härtung des Browsers kann helfen, die Exposition gegenüber DPAPI-basierter Anmeldeinformationen-Diebstahl zu verringern, während die Aktualisierung von Kryptowährungs-Wallet-Erweiterungen das Risiko eines Wallet-Kompromisses senken kann.

Reaktion

Sicherheitsteams sollten nach CastleLoader suchen, indem sie den charakteristischen Zwischenablage-Befehl erkennen, den Datenverkehr zu den identifizierten Kommando- und Kontroll-Domains beobachten und nach den benutzerdefinierten User-Agent-Strings der Malware suchen. Ermittler sollten auch alle geplanten Aufgaben überprüfen, die unter %ProgramData% erstellt wurden, und nach dem zugehörigen Mutex-Wert suchen. Wenn eine Infektion bestätigt ist, isolieren Sie den betroffenen Host, beenden Sie alle aktiven NetSupport RAT-Prozesse und entfernen Sie bösartige Dateien, die in %ProgramData% and %LocalAppData%.

"graph TB %% Klassendefinitionen classDef technique fill:#ffcc99 classDef operator fill:#ff9900 %% Knotendefinitionen tech_content_injection["<b>Technik</b> – <b>T1659 Inhaltsinjektion</b><br/><b>Beschreibung</b>: Gegner injiziert bösartigen Inhalt in legitime Dateien oder Datenströme, um Nutzlasten auszuliefern."] class tech_content_injection technique tech_user_exec_link["<b>Technik</b> – <b>T1204.001 Benutzer-Ausführung: Bösartiger Link</b><br/><b>Beschreibung</b>: Opfer wird dazu verleitet, auf einen bösartigen Hyperlink zu klicken, der bösartigen Code startet."] class tech_user_exec_link technique tech_user_exec_copypaste["<b>Technik</b> – <b>T1204.004 Benutzer-Ausführung: Bösartiges Kopieren und Einfügen</b><br/><b>Beschreibung</b>: Opfer kopiert und fügt bösartigen Code oder Befehle in eine vertrauenswürdige Anwendung ein."] class tech_user_exec_copypaste technique tech_obfuscation["<b>Technik</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/><b>Beschreibung</b>: Malware wird mit Verschleierungstechniken verborgen, um der Erkennung zu entgehen."] class tech_obfuscation technique tech_deobfuscate["<b>Technik</b> – <b>T1140 Entschleiern/Dekodieren von Dateien oder Informationen</b><br/><b>Beschreibung</b>: Bösartiger Code wird dekodiert oder entschleiert, um seine wahre Funktionalität zu enthüllen."] class tech_deobfuscate technique tech_encrypted_channel["<b>Technik</b> – <b>T1573 Verschlüsselter Kanal</b><br/><b>Beschreibung</b>: Kommunikation wird verschlüsselt, um Daten während der Übertragung vor Analyse zu schützen."] class tech_encrypted_channel technique tech_process_injection_apc["<b>Technik</b> – <b>T1055.009 Prozess-Injektion (APC)</b><br/><b>Beschreibung</b>: Code wird mit Hilfe von Asynchronen Prozeduraufrufen in einen Zielprozess injiziert."] class tech_process_injection_apc technique tech_process_hollowing["<b>Technik</b> – <b>T1055.012 Prozess-Injektion (Process Hollowing)</b><br/><b>Beschreibung</b>: Ein legitimer Prozess wird erstellt und sein Speicher wird durch bösartigen Code ersetzt."] class tech_process_hollowing technique tech_reflective_loading["<b>Technik</b> – <b>T1620 Reflektierendes Laden von Code</b><br/><b>Beschreibung</b>: Bösartiger Code wird direkt in den Speicher geladen, ohne die Festplatte zu berühren."] class tech_reflective_loading technique tech_screen_capture["<b>Technik</b> – <b>T1113 Bildschirmaufnahme</b><br/><b>Beschreibung</b>: Nimmt Screenshots des Desktops des Opfers zur Aufklärung auf."] class tech_screen_capture technique tech_regsvr32["<b>Technik</b> – <b>T1218.010 Regsvr32 Proxy-Ausführung</b><br/><b>Beschreibung</b>: Verwendet regsvr32, um über eine Proxy-DLL bösartigen Code auszuführen."] class tech_regsvr32 technique tech_masquerading["<b>Technik</b> – <b>T1036.011 Maskerade (Conhost-Kopie)</b><br/><b>Beschreibung</b>: Bösartige Binärdatei wird umbenannt oder kopiert, um wie conhost.exe auszusehen, um Verdacht zu vermeiden."] class tech_masquerading technique tech_relocate_malware["<b>Technik</b> – <b>T1070.010 Malware umsetzen (zufällige Dateinamen)</b><br/><b>Beschreibung</b>: Malware-Dateien werden verschoben und mit zufälligen Namen umbenannt, um die Entdeckung zu erschweren."] class tech_relocate_malware technique tech_credential_theft["<b>Technik</b> – <b>T1552.004 Diebstahl von Anmeldeinformationen (DPAPI/AES)</b><br/><b>Beschreibung</b>: Extrahiert Anmeldedaten, die durch DPAPI oder AES-Verschlüsselung geschützt sind."] class tech_credential_theft technique tech_keylogging["<b>Technik</b> – <b>T1056.001 Keylogging</b><br/><b>Beschreibung</b>: Erfasst von Benutzern eingegebene Tastenanschläge, um sensible Informationen zu sammeln."] class tech_keylogging technique %% Verbindungen tech_content_injection –>|führt zu| tech_user_exec_link tech_user_exec_link –>|führt zu| tech_user_exec_copypaste tech_user_exec_copypaste –>|führt zu| tech_obfuscation tech_obfuscation –>|führt zu| tech_deobfuscate tech_deobfuscate –>|führt zu| tech_encrypted_channel tech_encrypted_channel –>|führt zu| tech_process_injection_apc tech_process_injection_apc –>|führt zu| tech_process_hollowing tech_process_hollowing –>|führt zu| tech_reflective_loading tech_reflective_loading –>|führt zu| tech_screen_capture tech_screen_capture –>|führt zu| tech_regsvr32 tech_regsvr32 –>|führt zu| tech_masquerading tech_masquerading –>|führt zu| tech_relocate_malware tech_relocate_malware –>|führt zu| tech_credential_theft tech_credential_theft –>|führt zu| tech_keylogging "

Angriffsablauf

Erkennungen

Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)

SOC Prime Team
04. Mai 2026

Ansehen

Mögliche ClickFix-Angriffsmuster in der Befehlszeile (via cmdline)

SOC Prime Team
04. Mai 2026

Ansehen

Verdächtige Taskkill-Ausführung (via cmdline)

SOC Prime Team
04. Mai 2026

Ansehen

Verdächtige explizite COMSPEC-Nutzung (via process_creation)

SOC Prime Team
04. Mai 2026

Ansehen

Mögliche Remote-System-Erkennung oder Verbindungstest (via cmdline)

SOC Prime Team
04. Mai 2026

Ansehen

Möglicher Versuch der NetSupport Manager-Binärdatei, aus einem verdächtigen Verzeichnis auszuführen (via process_creation)

SOC Prime Team
04. Mai 2026

Ansehen

Verdächtige CURL-Nutzung (via cmdline)

SOC Prime Team
04. Mai 2026

Ansehen

Verdächtige Binärdateien/Skripte im Autostart-Verzeichnis (via file_event)

SOC Prime Team
04. Mai 2026

Ansehen

IOCs (HashSha256) zur Erkennung: ClickFix entfernt Ihren Hintergrund, hinterlässt aber die Malware

SOC Prime AI-Regeln
04. Mai 2026

Ansehen

IOCs (SourceIP) zur Erkennung: ClickFix entfernt Ihren Hintergrund, hinterlässt aber die Malware

SOC Prime AI-Regeln
04. Mai 2026

Ansehen

IOCs (DestinationIP) zur Erkennung: ClickFix entfernt Ihren Hintergrund, hinterlässt aber die Malware

SOC Prime AI-Regeln
04. Mai 2026

Ansehen

Erkennung des bösartigen Gebrauchs von finger.exe mit RC4- oder AES-CBC-Verschlüsselung [Windows-Netzwerkverbindung]

SOC Prime AI-Regeln
04. Mai 2026

Ansehen

CastleLoader-Ausführung via Regsvr32 und Process Hollowing mit PowerShell [Windows-Prozesserstellung]

SOC Prime AI-Regeln
04. Mai 2026

Ansehen

Simulationsausführung

Voraussetzung: Der Telemetrie- und Baseline-Vorabflugcheck muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und Erzählungen müssen direkt die identifizierten TTPs reflektieren und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Ein Gegner, der bereits ein niedrig privilegiertes Konto kompromittiert hat, möchte eine signierte Windows-Binärdatei (finger.exe) verwenden, um die Ausführung einer benutzerdefinierten Verschlüsselungslast zu verbergen. Sie rufen die Binärdatei mit einem ausgeklügelten Argument auf, das den String „RC4“ (oder „AES-CBC“) zur Angabe des gewählten Ciphers enthält. Da die Binärdatei signiert ist, ist es unwahrscheinlicher, dass Windows AppLocker oder andere Whitelist-Lösungen diese blockieren, und das Befehlszeilen-Stichwort erfüllt die Bedingungen der Sigma-Regel Verschlüsselung Bedingung.

  • Regressionstestskript:

    # ------------------------------------------------------------
# Simulierte bösartige Nutzung von finger.exe mit RC4-Verschlüsselung
# ------------------------------------------------------------
# Stellen Sie sicher, dass sich finger.exe im PATH befindet oder geben Sie den vollständigen Pfad an.
$fingerPath = "$env:SystemRootSystem32finger.exe"

if (-not (Test-Path $fingerPath)) {
    Write-Error "finger.exe nicht unter $fingerPath gefunden"
    exit 1
}

# Erstellen Sie eine Befehlszeile, die das Stichwort RC4 enthält
$maliciousCmd = "$fingerPath -p RC4 -target 10.0.0.5"

Write-Host "Ausführung des bösartigen Befehls: $maliciousCmd"
Invoke-Expression $maliciousCmd

# Optional: Schlafen, um die SIEM-Erfassung zu ermöglichen
Start-Sleep -Seconds 5

  • Säuberungskommandos:

    # Beenden Sie alle verbleibenden finger.exe-Prozesse
Get-Process -Name finger -ErrorAction SilentlyContinue | Stop-Process -Force

Write-Host "Säuberung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten