CrySome RAT: Ein fortgeschrittenes, persistentes .NET-Remote-Access-Trojaner

Zusammenfassung

CrySome RAT ist ein .NET Remote Access Trojaner, der volle Fernsteuerung, Credential-Diebstahl und mehrschichtige Persistenz ermöglicht. Er beinhaltet einen AVKiller Komponente, die darauf ausgelegt ist, Sicherheitswerkzeuge zu deaktivieren, und verwendet den Missbrauch von Wiederherstellungspartitionen sowie Offline-Registry-Bearbeitungen, um Resets zu überleben und den Zugang wiederherzustellen. Um langfristige Standbeine beizubehalten, nutzt die Malware versteckte virtuelle Desktops, Watchdog-Prozesse, geplante Aufgaben und Windows-Dienste, um redundante Ausführungspfade zu schaffen, die die Bereinigung erschweren.

Untersuchung

Der Bericht kombiniert statische Dekompilierung des C#-Clients mit dynamischer Verhaltensanalyse. Ermittler haben modulare Komponenten – wie SelfProtect, AVKiller, Survival und Kommando-Handler – auf spezifische Fähigkeiten und Kontrollflüsse abgebildet. Persistenz wurde über geplante Aufgaben, RunOnce-Registryeinträge, Dienstinstallation und die Bereitstellung von Wiederherstellungspartitionen verfolgt, um Artefakte nach Systemwiederherstellungsaktionen neu zu besäen. Netzwerkverhalten wurde als Plain TCP Command-and-Control unter Verwendung eines benutzerdefinierten Paketformats identifiziert.

Abschwächung

Überwachen Sie auf geplante Aufgaben mit dem Namen CrySomeLoader und Dienste mit dem Namen WindowsHealthMonitor. Überprüfen Sie regelmäßig RunOnce und andere Autorun-Registry-Standorte auf unbekannte oder neu hinzugefügte Einträge. Blockieren Sie crysome.net und jegliche zugehörige IP-Infrastruktur auf DNS/Proxy-Ebenen. Erzwingen Sie manipulationsgeschützte Sicherheitskonfigurationen, um AVKiller-ähnliche Verteidigungsabschaltungen zu verhindern und alarmieren Sie bei Versuchen, Defender- oder Endpunktschutz-Einstellungen zu ändern.

Reaktion

Isolieren Sie Hosts, die CrySome-Indikatoren aufweisen, und sammeln Sie flüchtige Beweise vor der Bereinigung. Führen Sie eine forensische Überprüfung der Wiederherstellungspartitionen und Offline-Registry-Hives durch, um versteckte Persistenz zu identifizieren. Entfernen Sie redundante Binärdateien, löschen Sie die bösartigen geplanten Aufgaben, Dienste und Registrierungseinträge und stellen Sie die Microsoft Defender-Einstellungen auf einen bekannten guten Ausgangswert zurück. Setzen Sie EDR-Erkennungen ein, die die spezifischen Prozessnamen und Befehlszeilenmuster abdecken, die mit der Ausführung von CrySome verbunden sind.

Simulation Ausführung

Voraussetzung: Der Telemetrie- und Baseline-Vortest muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der von der Erkennungsregel auszulösenden gegnerischen Technik (TTP). Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die Telemetrie zu generieren, die von der Erkennung erwartet wird. Abstrakte oder unabhängige Beispiele führen zu Fehldiagnosen.

• Angriffserzählung & Befehle:

  Der CrySome RAT-Betreiber verschafft sich zunächst einen Stand auf dem Opferrechner. Um die bösartige Nutzlast zu verbergen, generiert der RAT conhost.exe als Child-Prozess für seinen eigenen Prozess und nutzt den nativen Konsolenhost, um die Befehlszeile zu verschleiern. Danach startet er RuntimeBroker.exe um sich legitimen Windows-Hintergrundaufgaben anzupassen und Maskierung zu erreichen. Schließlich führt der Angreifer eine PowerShell-Einzeiler aus, der die Echtzeitschutz-Funktion von Microsoft Defender deaktiviert. Er nutzt das Set-MpPreference Cmdlet. Jeder Schritt erzeugt ein eindeutiges 4688-Ereignis, das der Erkennungsregel entspricht.

  1. RAT-Prozess (z.B. CrySome.exe) → Start-Process -FilePath "C:WindowsSystem32conhost.exe" -ArgumentList "/c ..."
  2. RAT-Prozess → Start-Process -FilePath "C:WindowsSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost ..."
  3. RAT-Prozess → powershell.exe -NoProfile -WindowStyle Hidden -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

• Regressionstestskript:

  # -------------------------------------------------------------------------
  # CrySome RAT Technik-Simulation – soll die Sigma-Regel auslösen
  # -------------------------------------------------------------------------
  
  # 1. Starten Sie conhost.exe (fungiert als versteckter Konsolenhost)
  Start-Process -FilePath "$env:SystemRootSystem32conhost.exe" -ArgumentList "/c ping -n 5 127.0.0.1" -WindowStyle Hidden
  
  # 2. Starten Sie RuntimeBroker.exe (als vertrauenswürdige Windows-Komponente maskiert)
  Start-Process -FilePath "$env:SystemRootSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost" -WindowStyle Hidden
  
  # 3. Deaktivieren Sie Defender mit PowerShell (Verteidigungsevasion)
  $psCmd = 'Set-MpPreference -DisableRealtimeMonitoring $true'
  Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
                -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCmd" `
                -WindowStyle Hidden
  
  Write-Host "Simulation abgeschlossen – überprüfen Sie Ihre SIEM auf Alarme."

• Bereinigungskommandos:

  # Beenden Sie alle verbleibenden Testprozesse (als Administrator ausführen)
  Get-Process -Name conhost, RuntimeBroker, powershell | Stop-Process -Force
  
  # Aktivieren Sie Defender erneut (normale Verteidigungshaltung wiederherstellen)
  Set-MpPreference -DisableRealtimeMonitoring $false
  
  Write-Host "Bereinigung abgeschlossen."