Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
ZUSAMMENFASSUNG
CoinMiner-Malware verbreitet sich weiterhin über USB-Laufwerke in Südkorea, indem ein versteckter Shortcut genutzt wird, der VBS- und BAT-Skripte auslöst, die wiederum mehrere Komponenten inszenieren, die schließlich eine Kryptowährungs-Mining-Nutzlast liefern.
Untersuchung
Der Bericht beschreibt die Verzeichnisstruktur auf dem infizierten USB, die Ausführungskette vom Shortcut durch mehrere Dropper-Stufen, die Registrierung unter dem DcomLaunch-Dienst sowie die Bereitstellung der PrintMiner- und XMRig-Kryptowährungs-Miner.
Abmilderung
Benutzer sollten Betriebssystem und Software aktualisieren, die Ausführung unzuverlässiger Shortcut-Dateien blockieren, aktuelle Antiviren-Tools verwenden und den Zugang zu bekannter bösartiger Infrastruktur verweigern.
Reaktion
Erkennen Sie den bösartigen Shortcut und seine zugehörigen Skripte, überwachen Sie die Erstellung von Dropper-Dateien und DCOM-Registrierungen und blockieren Sie den Netzwerkverkehr zu den identifizierten Mining-Kommando-und-Kontroll-Domains und IP-Adressen.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#66cc66 classDef file fill:#ffcc66 classDef process fill:#c266ff classDef malware fill:#ff6666 classDef network fill:#cccccc %% Nodes action_usb_insert[„<b>Action</b> – <b>T1204.002 User Execution: Malicious File</b>: Benutzer steckt ein kompromittiertes USB-Laufwerk mit einer versteckten Verknüpfung ein.“] class action_usb_insert action tool_shortcut[„<b>Tool</b> – <b>T1547.009 Shortcut Modification</b>: Versteckte LNK-Verknüpfung „USB Drive.lnk“, die für den Benutzer sichtbar ist.“] class tool_shortcut tool tool_vbscript[„<b>Tool</b> – <b>T1059.005 Visual Basic</b>: Die Verknüpfung startet ein Visual-Basic-Skript.“] class tool_vbscript tool tool_batch[„<b>Tool</b> – <b>T1059.003 Windows Command Shell</b>: VBScript führt eine Batch-Datei aus.“] class tool_batch tool file_malicious_dll[„<b>File</b> – <b>T1036.005 Masquerading: Match Legitimate Name</b> & <b>T1036.008 Masquerading: Double Extension</b>: Bösartige DLL „printui.dll“ (von .dat umbenannt) wird über versteckte Verzeichnisse nach C:\\Windows\\System32 abgelegt.“] class file_malicious_dll file process_printui[„<b>Process</b> – <b>T1055.001 Process Injection</b> & <b>T1574.001 DLL Hijacking</b>: Legitime printui.exe lädt die bösartige DLL.“] class process_printui process tool_dcom[„<b>Tool</b> – <b>T1546.015 Server Software Component</b> & <b>T1021.003 DCOM</b>: Registriert die DLL bei einem DCOM-Dienst zur Persistenz.“] class tool_dcom tool file_svcinsty[„<b>File</b>: Ausführbare Datei „svcinsty64.exe“, vom Dropper erstellt, um die finale Nutzlast zu installieren.“] class file_svcinsty file file_svctrl[„<b>File</b>: Ausführbare Datei „svctrl64.exe“, vom Dropper als Hilfsprogramm erstellt.“] class file_svctrl file malware_printminer[„<b>Malware</b> – PrintMiner: Fügt eine Windows-Defender-Ausnahme hinzu, täuscht Sicherheitswarnungen vor und bereitet den Download des Miners vor.“] class malware_printminer malware tool_defender_exclusion[„<b>Tool</b> – <b>T1564.012 Disk Content Spoofing</b> & <b>T1562.011 Modify Registry</b>: Modifiziert die Defender-Ausnahmeliste, um Aktivitäten zu verbergen.“] class tool_defender_exclusion tool network_c2[„<b>Network</b> – <b>T1071.001 Web Protocols</b>, <b>T1102.002 Web Services</b>, <b>T1102.003 Ingress Tool Transfer</b>: HTTPS-Kommunikation mit dem Command-and-Control zur Konfigurationsabfrage und zum Download des Miners.“] class network_c2 network malware_xmrig[„<b>Malware</b> – XMRig: Open-Source-Monero-Miner wird heruntergeladen und ausgeführt.“] class malware_xmrig malware action_compute_hijack[„<b>Action</b> – <b>T1496.001 Resource Hijacking</b>: Führt XMRig aus, um Kryptowährung zu schürfen und Analysewerkzeuge zu umgehen.“] class action_compute_hijack action action_replication[„<b>Action</b> – <b>T1091 Replication Through Removable Media</b>: Erstellt Verknüpfung und versteckte Dateien auf anderen USB-Laufwerken erneut.“] class action_replication action %% Connections action_usb_insert –>|erstellt| tool_shortcut tool_shortcut –>|startet| tool_vbscript tool_vbscript –>|führt aus| tool_batch tool_batch –>|legt ab| file_malicious_dll file_malicious_dll –>|geladen von| process_printui process_printui –>|stellt Persistenz her über| tool_dcom tool_dcom –>|erstellt| file_svcinsty tool_dcom –>|erstellt| file_svctrl file_svcinsty –>|installiert| malware_printminer file_svctrl –>|unterstützt| malware_printminer malware_printminer –>|fügt Ausnahme hinzu mittels| tool_defender_exclusion malware_printminer –>|kommuniziert mit| network_c2 network_c2 –>|liefert| malware_xmrig malware_xmrig –>|führt aus| action_compute_hijack action_compute_hijack –>|löst aus| action_replication action_replication –>|platziert| tool_shortcut
Angriffsablauf
Erkennungen
Erkennung von USB-Shortcut- und BAT-Malware-Aktivitäten [Windows-Datei-Ereignis]
Ansehen
Erkennen Sie XMRig-Kommunikation mit C&C-Server über spezifische Hostnamen [Windows-Netzwerkverbindung]
Ansehen
Ausführung von bösartigen Dateien über Printui.exe und Svcinsty64.exe [Windows-Prozesserstellung]
Ansehen
IOCs (HashMd5) zur Erkennung: CoinMiner-Malware, die kontinuierlich über USB verteilt wird
Ansehen
IOCs (DestinationIP) zur Erkennung: CoinMiner-Malware, die kontinuierlich über USB verteilt wird
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Durchführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder unverwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
- Stufe 1 – Eine bösartige DLL ablegen: Der Angreifer kopiert eine bearbeitete
printui.dllin dasselbe Verzeichnis wieprintui.exe(simuliert eine Treiber-Nutzlast, die über ein USB-Gerät geliefert wird). - Stufe 2 – Ausführen
printui.exe: Durch Aufrufen vonprintui.exemit dem/mlSchalter (bösartige Ladung) wird die bösartige DLL geladen und ein Prozess-Erstellungsereignis generiert, das der Auswahl (der Regel entspricht (Bild endet mit printui.exe) während auch die FilterBedingung (Bild enthält printui.dll). Diese Regel schließt - dies aus, sodass der Angreifer einen zweiten Schritt hinzufügt, um dies zu umgehen.
Stufe 3 – AusführenStufe 3 – Ausführenpayload.exe), die auf dem USB-Laufwerk gespeichert ist. Diese Aktion erzeugt ein Prozess-Erstellungsereignis fürStufe 3 – Ausführen: Der Angreifer registriert einen neuen Dienst, der auf eine Nutzlast-Binärdatei zeigt (
- Stufe 1 – Eine bösartige DLL ablegen: Der Angreifer kopiert eine bearbeitete
-
, erfüllt die Auswahl der Regel, ohne den Filter auszulösen, und erzeugt somit einen Alarm.Regressions-Testskript:
Das unten stehende Skript automatisiert die drei Stufen und sorgt für Reproduzierbarkeit. -
Aufräumbefehle: (Falls das obige Skript fehlschlägt oder Sie die manuelle Bereinigung bevorzugen)
# Entfernen Sie den bösartigen Dienst, falls noch vorhanden $svcName = "MaliciousSvc" $svcInstPath = "$env:SystemRootSystem32svcinsty64.exe" & $svcInstPath /uninstall $svcName # Löschen Sie temporäre DLL und Nutzlast Remove-Item -Path "$env:TEMPprintui.dll" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPpayload.bat" -Force -ErrorAction SilentlyContinue # (Optional) Überprüfen Sie, ob keine Überbleibsel-Dienste vorhanden sind Get-Service -Name $svcName -ErrorAction SilentlyContinue