Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine potenziell unerwünschte Anwendung, signiert von Dragon Boss Solutions, missbrauchte einen legitimen Aktualisierungsworkflow, um leise MSI- und PowerShell-Nutzlasten herunterzuladen und auszuführen, die Antiviren-Schutzmaßnahmen deaktivierten und Persistenz durch WMI-Ereignisabonnements und geplante Aufgaben etablierten. Da der Updater mit nicht registrierten Domains kommunizierte, die von jedem beansprucht werden konnten, schuf die Software effektiv eine Lieferkettenmöglichkeit für die Lieferung von beliebigem Code. Forscher beobachteten mehr als 25.000 Endpunkte, die sich mit dieser Infrastruktur verbanden, einschließlich Systeme in mehreren Hochwertsektoren.
Untersuchung
Huntress entdeckte WMI-basierte Persistenz-Artefakte und einen Anstieg bei der Erstellung geplanter Aufgaben, dann wurde die Aktivität zu einer signierten ausführbaren Datei namens RaceCarTwo.exe zurückverfolgt, die einen MSI-Installer startete. Der Installer extrahierte ein PowerShell-Skript namens ClockRemoval.ps1, das Antivirus-Prozesse beendete, den Zugriff auf AV-Aktualisierungsdomains blockierte, Microsoft Defender-Ausschlüsse hinzufügte und sich wiederholt neu installierte, um die Präsenz aufrechtzuerhalten. Ermittler fanden auch heraus, dass nicht registrierte Domains, darunter chromsterabrowser.com, als primäre Aktualisierungsquelle genutzt wurden, was bedeutete, dass jede externe Partei diese Domains registrieren und ihre eigenen Nutzlasten bereitstellen konnte.
Minderung
Um weiteren Missbrauch zu stoppen, registrierte das Forschungsteam die freigelegten Domains und leitete sie um, wodurch der bösartige Aktualisierungspfad effektiv unterbrochen wurde. Sie dokumentierten auch die zugehörigen WMI-Ereignisabonnements, geplante Aufgaben und Registrierungsänderungen, damit Verteidiger die betroffenen Komponenten identifizieren und entfernen können. Organisationen sollten die bekannten Domains blockieren und die spezifischen Aufgabennamen sowie die WMI-Verbraucheraktivität überwachen, die mit dieser Kampagne verbunden sind, um das Risiko einer anhaltenden Kompromittierung zu verringern.
Reaktion
Sicherheitsteams sollten die Erstellung geplanter Aufgaben wie ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogonund RemoveClockPeriodic. Warnungen sollten auch bei WMI-Ereignisabonnements mit MbRemoval or MbSetupanspringen. Verteidiger sollten ausführbare Dateien, die von Dragon Boss Solutions signiert sind, überwachen, nach der Präsenz von ClockRemoval.ps1 in WMILoad-Verzeichnissen suchen, Host-Dateien auf Einträge prüfen, die AV-Anbieter-Domains blockieren, und unerwartete Windows Defender-Ausschlüsse auf betroffenen Systemen untersuchen.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffeb99 classDef file fill:#c0ffc0 classDef technique fill:#dddddd %% Technique nodes tech_t1210[„<b>Technik</b> – T1210 Ausnutzung von Remotediensten<br/><b>Beschreibung</b>: Ein benutzerdefinierter Update-Mechanismus kontaktiert Remote-URLs, um schädliche MSI-Payloads herunterzuladen und zu installieren.“]:::technique tech_t1218_007[„<b>Technik</b> – T1218.007 Proxy-Ausführung von Systembinärdateien: Msiexec<br/><b>Beschreibung</b>: Msiexec.exe wird verwendet, um ein schädliches MSI-Paket unbemerkt zu installieren.“]:::technique tech_t1059_001[„<b>Technik</b> – T1059.001 Befehls- und Skriptinterpreter: PowerShell<br/><b>Beschreibung</b>: PowerShell wird verwendet, um das ClockRemoval-Skript auszuführen.“]:::technique tech_t1546_003[„<b>Technik</b> – T1546.003 Ereignisgesteuerte Ausführung: WMI-Ereignisabonnement<br/><b>Beschreibung</b>: Persistente WMI-Abonnements starten schädliche PowerShell-Skripte.“]:::technique tech_t1053[„<b>Technik</b> – T1053 Geplante Aufgabe<br/><b>Beschreibung</b>: Geplante Aufgaben werden für Persistenz erstellt.“]:::technique tech_t1489[„<b>Technik</b> – T1489 Dienststopp<br/><b>Beschreibung</b>: Sicherheitsdienste werden gestoppt und deaktiviert.“]:::technique tech_t1562[„<b>Technik</b> – T1562 Abwehrmaßnahmen beeinträchtigen<br/><b>Beschreibung</b>: Sicherheitsprozesse werden beendet und Updates blockiert.“]:::technique tech_t1564_012[„<b>Technik</b> – T1564.012 Artefakte verbergen<br/><b>Beschreibung</b>: Hosts-Datei wird geändert und Defender-Ausnahmen hinzugefügt.“]:::technique tech_t1070_004[„<b>Technik</b> – T1070.004 Spurenbeseitigung<br/><b>Beschreibung</b>: Dateien und Registry-Einträge werden gelöscht.“]:::technique %% Action and artifact nodes action_contact_domain[„<b>Aktion</b> – Kontakt mit nicht registrierter Domain<br/><b>Domain</b>: worldwidewebframework3.com“]:::action file_malicious_msi[„<b>Datei</b> – Schädliche MSI-Payload“]:::file tool_msiexec[„<b>Tool</b> – Msiexec.exe“]:::tool script_clockremoval[„<b>Prozess</b> – ClockRemoval.ps1 (PowerShell)“]:::process persistence_wmi[„<b>Aktion</b> – WMI-Abonnement erstellen“]:::action persistence_schtask[„<b>Aktion</b> – Geplante Aufgaben registrieren“]:::action action_service_stop[„<b>Aktion</b> – Sicherheitsdienste stoppen“]:::action action_impair_defenses[„<b>Aktion</b> – Abwehrmaßnahmen beeinträchtigen“]:::action action_host_modification[„<b>Aktion</b> – Hosts-Datei ändern“]:::action action_file_deletion[„<b>Aktion</b> – Dateien löschen“]:::action %% Connections showing flow action_contact_domain –>|downloads| file_malicious_msi file_malicious_msi –>|installed via| tool_msiexec tool_msiexec –>|executes| script_clockremoval script_clockremoval –>|creates| persistence_wmi script_clockremoval –>|creates| persistence_schtask script_clockremoval –>|stops| action_service_stop script_clockremoval –>|impairs| action_impair_defenses script_clockremoval –>|modifies| action_host_modification script_clockremoval –>|deletes| action_file_deletion %% Linking actions to techniques action_contact_domain –>|uses| tech_t1210 tool_msiexec –>|uses| tech_t1218_007 script_clockremoval –>|uses| tech_t1059_001 persistence_wmi –>|uses| tech_t1546_003 persistence_schtask –>|uses| tech_t1053 action_service_stop –>|uses| tech_t1489 action_impair_defenses –>|uses| tech_t1562 action_host_modification –>|uses| tech_t1564_012 action_file_deletion –>|uses| tech_t1070_004 %% Class assignments class action_contact_domain action class file_malicious_msi file class tool_msiexec tool class script_clockremoval process class persistence_wmi action class persistence_schtask action class action_service_stop action class action_impair_defenses action class action_host_modification action class action_file_deletion action
Angriffsfluss
Erkennungen
Verdächtige Taskkill-Ausführung (über cmdline)
Ansicht
Powershell führt Datei in verdächtigem Verzeichnis mit Bypass Execution Policy aus (über cmdline)
Ansicht
LOLBAS Schtasks (über cmdline)
Ansicht
LOLBAS MsiExec Shell-Spawn (über cmdline)
Ansicht
IOCs (HashSha256) zum Erkennen: Wenn PUPs Zähne bekommen: Dragon Boss Solutions ließ eine offene Tür auf über 25.000 Endpunkten
Ansicht
Dragon Boss Solutions PowerShell-Ausführungsrichtlinienänderung [Windows PowerShell]
Ansicht
Erkennung von bösartigen Ausführungen von Dragon Boss Solutions LLC [Windows Prozess-Erstellung]
Ansicht
Simulation Ausführung
Voraussetzung: Der Telemetrie- & Basislinien-Vorabflug-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifer-Technik (TTP), die dazu dient, die Erkennungsregel auszulösen. Die Befehle und Erläuterungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die durch die Erkennungslogik erwartet wird.
-
Angriffs Narrative & Befehle:
Ein Angreifer hat die legitime RaceCarTwo.exe von Dragon Boss Solutions LLC signiert erhalten. Sie nutzen den vertrauenswürdigen Status der Binärdatei aus, um Anwendungswhitelisting zu umgehen. Zuerst setzen sie ein bösartiges MSI ein (Setup.msi), das einen privilegierten Dienst ablegt und eine geplante Aufgabe installiert, um T1546.016zu erreichen. Anschließend führen sie ein PowerShell-Skript aus (ClockRemoval.ps1), das das AV-Produkt auf dem Endpunkt deaktiviert oder deinstalliert, was T1059.001widerspiegelt. Beide Aktionen werden aus demselben Prozess heraus durchgeführt, um sicherzustellen, dass die Erkennungsregel genau die Befehlszeilenmuster sieht.-
Bereitstellung bösartige MSI:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "Setup.msi" ` -Wait -
Ausführung AV-Disable PowerShell-Skript:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "ClockRemoval.ps1" ` -Wait
-
-
Regression Test Script:
Das folgende Skript automatisiert die beiden Schritte in einem einzigen Durchlauf und reproduziert genau die Telemetrie, die die Sigma-Regel erwartet.# ------------------------------------------------- # Simulation der böswilligen Ausführungskette von DragonBoss # ------------------------------------------------- $binaryPath = "C:Program FilesDragonBossRaceCarTwo.exe" # 1. Bösartige MSI installieren Write-Host "[*] Bösartige MSI bereitstellen (Setup.msi)…" Start-Process -FilePath $binaryPath -ArgumentList "Setup.msi" -Wait # 2. AV-Disable PowerShell-Skript ausführen Write-Host "[*] ClockRemoval.ps1 über dasselbe Binary ausführen…" Start-Process -FilePath $binaryPath -ArgumentList "ClockRemoval.ps1" -Wait Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie Warnungen im SIEM." -
Bereinigung Befehle:
Entfernen Sie alle während der Simulation erstellten Artefakte, um den Host in seinen Zustand vor dem Test zurückzusetzen.# ------------------------------------------------- # Bereinigung für DragonBoss-Simulation # ------------------------------------------------- # Entfernen des installierten MSI-Produkts (Produktcode mit tatsächlicher GUID ersetzen) $productCode = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" try { Write-Host "[*] Bösartige MSI deinstallieren..." msiexec /x $productCode /quiet /norestart } catch { Write-Warning "MSI-Deinstallation fehlgeschlagen oder Produkt nicht vorhanden." } # Löschen Sie das PowerShell-Skript, wenn es von der MSI auf die Festplatte geschrieben wurde $scriptPath = "$env:ProgramDataClockRemoval.ps1" if (Test-Path $scriptPath) { Write-Host "[*] ClockRemoval.ps1 entfernen..." Remove-Item $scriptPath -Force } Write-Host "[+] Bereinigung abgeschlossen."