Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsakteure nutzen KI-gesteuerte Webseiten-Builder, um überzeugende Phishing-Seiten zu erstellen, die brasilianische Bankmarken nachahmen. Diese Seiten verlassen sich auf die ClickFix-Technik, indem sie gefälschte CAPTCHA-Prüfungen und Systemwiederherstellungsnachrichten verwenden, um Opfer dazu zu bringen, bösartige PowerShell-Befehle auszuführen. Das Ergebnis ist die Bereitstellung von SmartRAT, einem PowerShell-basierten Banking-Trojaner, der für Fernzugriff und Diebstahl von Finanzinformationen entwickelt wurde.
Untersuchung
Zscaler ThreatLabz identifizierte mehrere Typosquatting-Domains und analysierte die gesamte Infektionskette, wobei KI-generierte Codekommentare und Skripte beobachtet wurden, die darauf ausgelegt sind, einer Inspektion zu widerstehen. Die Untersuchung deckte auch eine Schwäche im KI-erstellten Command-and-Control-Panel auf, die eine Authentifizierungsumgehung durch clientseitige localStorage Manipulation ermöglicht. Forscher dekodierten zudem das SmartRAT-Kommunikationsprotokoll und dokumentierten dessen Einsatz von AES-CBC-Verschlüsselung.
Minderung
Organisationen sollten Webfilterung einsetzen, um bekannte Typosquatting- und bösartige Domains zu blockieren. Endpunktschutzmaßnahmen sollten konfiguriert werden, um verdächtige PowerShell-Aktivitäten und unautorisierte geplante Aufgaben zu erkennen und einzuschränken. Schulungsmaßnahmen zur Benutzeraufklärung sollten Mitarbeiter darin unterweisen, soziale ClickFix-Techniken, einschließlich gefälschter Bluescreen-, Wiederherstellungs- oder CAPTCHA-Eingabeaufforderungen, zu erkennen.
Reaktion
Wird SmartRAT-Aktivität festgestellt, müssen betroffene Endpunkte umgehend isoliert werden, um Command-and-Control-Verkehr zu stoppen und weitere Bewegungen einzuschränken. Führen Sie eine forensische Analyse durch, um die Persistenzmethode zu ermitteln, sei es dienstbasiert oder auf geplanten Aufgaben beruhend, und suchen Sie nach verwandten Artefakten wie msedgeupdate.txt. Überprüfen Sie Webproxys-Logs auf Traffic zur identifizierten Infrastruktur und leiten Sie gegebenenfalls Passwortzurücksetzungen für betroffene Benutzer ein.
"graph TB %% Abschnitt mit Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef technique fill:#ccffcc %% Phase des Anfangszugangs und der Ausführung action_phishing["<b>Aktion</b> – <b>T1566 Phishing</b><br/>Bedrohungsakteure nutzen Typosquatting-Domains<br/>und KI-generierte Websites, um Opfer anzulocken."] class action_phishing action action_clickfix["<b>Aktion</b> – <b>T1204.004 Benutzer-Ausführung: Bösartiges Kopieren und Einfügen</b><br/>Trickt Benutzer dazu, einen bösartigen<br/>PowerShell-Befehl in das Windows Ausführen-Feld einzufügen."] class action_clickfix action action_ingress["<b>Aktion</b> – <b>T1105 Ingress-Tool-Transfer</b><br/>Lädt einen getarnten Dropper namens st.txt herunter<br/>von der entfernten IP 64.95.13.238."] class action_ingress action tool_dropper["<b>Tool</b> – <b>Name</b>: st.txt<br/><b>Beschreibung</b>: Verdeckter Dropper zur<br/>Bereitstellung der primären Malware."] class tool_dropper tool %% Phase der Malware-Ausführung und -Persistenz malware_smartrat["<b>Malware</b> – <b>Name</b>: SmartRAT<br/><b>Beschreibung</b>: Primärer RAT für<br/>Überwachung und Diebstahl von Finanzdaten."] class malware_smartrat malware action_user_exec_file["<b>Aktion</b> – <b>T1204.002 Benutzer-Ausführung: Bösartige Datei</b><br/>Führt die primäre SmartRAT-Malware aus."] class action_user_exec_file action action_gather_info["<b>Aktion</b> – <b>T1592.001/002 Informationen über das Opfergerät sammeln</b><br/>Sammelt Hard- und Software- sowie OS-Details<br/>, um ein eindeutiges Identitätstoken zu erstellen."] class action_gather_info action action_persistence_service["<b>Aktion</b> – <b>T1543.003 Systemprozess erstellen oder ändern: Windows-Dienst</b><br/>Erstellt einen Windows-Dienst namens<br/>MicrosoftEdgeUpdateCore zur Persistenz."] class action_persistence_service action action_persistence_registry["<b>Aktion</b> – <b>Persistenz über Registry-Runschlüssel</b><br/>Verwendet Registry-Runschlüssel, um den Zugang aufrechtzuerhalten."] class action_persistence_registry action action_priv_esc["<b>Aktion</b> – <b>T1548 Privilegieneskalation</b><br/>Fragt nach UAC-Erhöhung, um den<br/>Dienst mit SYSTEM-Rechten auszuführen."] class action_priv_esc action %% Phase von Command and Control und Exfiltration action_c2["<b>Aktion</b> – <b>T1071 Command and Control</b><br/>Verwendet rohe TCP-Sockets auf nicht-standard<br/>Port 51888 für Kommunikation."] class action_c2 action action_exfiltrate["<b>Aktion</b> – <b>T1041 Exfiltration über C2-Kanal</b><br/>Stiehlt Finanzdaten über die<br/>etablierte C2-Verbindung."] class action_exfiltrate action %% Phase der Post-Exploitation und Umgehung action_video_capture["<b>Aktion</b> – <b>T1125 Videoerfassung</b><br/>Führt Bildschirmübertragung zur Überwachung durch."] class action_video_capture action action_input_tracking["<b>Aktion</b> – <b>T1056 Eingabe-Tracking</b><br/>Verwendet Keylogging zur Überwachung von Benutzereingaben."] class action_input_tracking action action_mfa_interception["<b>Aktion</b> – <b>T1111 Abfangen von Mehrfaktor-Authentifizierung </b><br/>Verwendet markenähnliche Overlays zum Stehlen von MFA-Tokens."] class action_mfa_interception action action_masquerading["<b>Aktion</b> – <b>T1036 Tarnung</b><br/>Verwendet Tarnungsdateinamen wie msedge.txt zur Erkennungsevasion."] class action_masquerading action action_file_deletion["<b>Aktion</b> – <b>T1070.004 Indikator-Entfernung: Datei-Löschung</b><br/>Verwendet einen Deinstallationsbefehl, um den<br/>forensischen Fußabdruck zu reduzieren."] class action_file_deletion action %% Verbindungfluss action_phishing –>|führt zu| action_clickfix action_clickfix –>|führt zu| action_ingress action_ingress –>|lädt herunter| tool_dropper tool_dropper –>|führt aus| action_user_exec_file action_user_exec_file –>|startet| malware_smartrat malware_smartrat –>|führt aus| action_gather_info malware_smartrat –>|erstellt| action_persistence_service malware_smartrat –>|erstellt| action_persistence_registry malware_smartrat –>|versucht| action_priv_esc action_priv_esc –>|ermöglicht| action_c2 action_c2 –>|wird verwendet für| action_exfiltrate action_c2 –>|wird verwendet für| action_video_capture action_c2 –>|wird verwendet für| action_input_tracking action_c2 –>|wird verwendet für| action_mfa_interception malware_smartrat –>|nutzt| action_masquerading malware_smartrat –>|führt aus| action_file_deletion "
Angriffsfluss
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Ansehen
Download oder Upload über Powershell (über cmdline)
Ansehen
Aufruf verdächtiger .NET-Methoden aus Powershell (über powershell)
Ansehen
Aufruf verdächtiger Windows-API-Funktionen aus Powershell (über powershell)
Ansehen
Verdächtige Dateien im öffentlichen Benutzerprofil (über file_event)
Ansehen
Erkennung der SmartRAT-PowerShell-Ausführung über PowerShell ScriptBlockText [Windows Sysmon]
Ansehen
SmartRAT-Persistenz über geplante Aufgabe und Registry-Änderung [Windows Prozess-Erstellung]
Ansehen
Erkennung von PowerShell-Befehlen und Techniken, die von SmartRAT verwendet werden [Windows Powershell]
Ansehen
## Simulation der Ausführung
Voraussetzung: Der Telemetrie- und Basislinien-Vorflugtest muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Der Angreifer hat über eine Phishingkampagne (T1566) erfolgreich Zugang erhalten und versucht nun, Persistenz zu etablieren. Um sich in die legitimen Systemaktivitäten einzufügen, verwendet der Angreifer einen „Living-off-the-Land“-Ansatz, indem er einen bösartigen Befehl ausführt, der als Microsoft Edge-Update-Prozess (T1036) getarnt ist. Der Angreifer führt einen Kommandozeilenbefehl aus, der die Zeichenfolge
msedgeupdate.txtenthält, um einen simulierten Persistenzmechanismus zu starten, der in der realen Welt die Erstellung einer geplanten Aufgabe oder eines Dienstes umfassen würde. -
Regressionstest-Skript:
# SmartRAT-Persistenz-Simulationsskript # Dieses Skript generiert die spezifische Kommandozeilen-Telemetrie, die erforderlich ist, um die Erkennungsregel auszulösen. $TargetString = "msedgeupdate.txt" $FakePath = "C:UsersPublicDocuments$TargetString" # Erstellen Sie eine Dummy-Datei, um die Befehlszeile etwas realistischer erscheinen zu lassen New-Item -Path $FakePath -ItemType File -Force | Out-Null Write-Host "[+] Simulieren der SmartRAT-Persistenz über Befehlszeile: $TargetString" -ForegroundColor Cyan # Führen Sie den Befehl aus, der die Erkennungslogik auslöst Start-Process cmd.exe -ArgumentList "/c echo 'Simulation der SmartRAT-Aktivität mit $TargetString' > $FakePath" -WindowStyle Hidden Write-Host "[+] Simulationsbefehl ausgeführt." -ForegroundColor Green -
Bereinigungsbefehle:
# Bereinigen Sie die während der Simulation erstellte Dummy-Datei Remove-Item -Path "C:UsersPublicDocumentsmsedgeupdate.txt" -Force -ErrorAction SilentlyContinue Write-Host "[+] Bereinigung abgeschlossen." -ForegroundColor Yellow