Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein Splunk-Beitrag untersucht, wie viele Remote-Access-Trojaner und Stealer-Familien dieselbe Grundlage von MITRE ATT&CK-Techniken nutzen. Er hebt wiederholbare Verhaltensweisen wie Tool-Transfer, Host- und Netzwerkermittlung, Registry- und geplante Task-Persistenz, Abwehrumgehung und Anmeldeinformationsdiebstahl hervor. Gleichzeitig weist er auf kleine Implementierungsunterschiede hin, die während der Triage helfen können, Familien zu unterscheiden. Dieser Ansatz unterstützt eine konsistentere, familienübergreifende Jagd.
Untersuchung
Das Team hat etwa achtzehn Malware-Familien auf ATT&CK abgebildet, die überlappenden TTPs zusammengefasst und praktische Codefragmente zu Persistenz, Token-Manipulation und Web-Service-Nutzung aufgenommen. Beispiele umfassen WMI-Abfragen, Run-Key-Schreibvorgänge, die Erstellung geplanter Tasks und PowerShell-Befehle, die Ausschlüsse in Windows Defender hinzufügen.
Minderung
Die Anleitung priorisiert technikzentrierte Erkennungen über Familiennamen: Beobachten Sie den Missbrauch gängiger Utilities (schtasks, reg, WMI), beschränken Sie den ausgehenden Web-Service Traffic und verstärken Sie die Kontrollmaßnahmen für den Zugang zu Anmeldeinformationen. Zudem wird empfohlen, die Ausschlussrichtlinien von Windows Defender zu verschärfen und Alarm bei Änderungen der Token-Privilegien auszulösen.
Antwort
Wenn diese Techniken entdeckt werden, isolieren Sie den Endpunkt, sammeln Sie wichtige Artefakte (Registry-Hives, geplante Task-Definitionen, Befehlszeilenprotokolle) und suchen Sie nach verwandten IOCs im gesamten Unternehmen. Entfernen Sie die Persistenz, setzen Sie indikatorbasierte Sperren für bekannte Domains und Hashes ein und erweitern Sie die Erkennung, um die gemeinsamen Verhaltensweisen abzudecken.
Angriffsverlauf
Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden
Benachrichtigen Sie michErkennungen
Möglicher IP-Lookup-Domain-Kommunikationsversuch (via dns)
Anzeigen
Schtasks zeigt auf verdächtiges Verzeichnis / Binärdatei / Skript (via cmdline)
Anzeigen
Deaktivieren von Windows Defender-Schutzeinstellungen (via registry_event)
Anzeigen
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieter-Dienste / -Tools (via proxy)
Anzeigen
Mögliche Dateninfiltration / -exfiltration / C2 über Drittanbieter-Dienste / -Tools (via dns)
Anzeigen
Verdächtige Änderungen an Windows Defender-Einstellungen (via powershell)
Anzeigen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Anzeigen
Erstellung geplanter Tasks über Schtasks.exe [Windows-Prozess-Erstellung]
Anzeigen
Erkennen von Registry-Run-Keys für Persistenz [Windows-Registry-Ereignis]
Anzeigen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Baseline-Vorabprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und sollen die genau erwartete Telemetrie erzeugen, die die Erkennungslogik erwartet.
-
Angriffserzählung & Befehle:
- Aufklärung: Der Angreifer ermittelt die OS-Version, um zu überprüfen, ob das Ziel eine Windows-Maschine ist, die Run-Keys verwenden kann.
- Payload-Vorbereitung: Ein harmloses Testprogramm (
notepad.exe) wird ausgewählt, um tatsächliche böswillige Auswirkungen zu vermeiden, während es dennoch eine typische Persistenz-Payload darstellt. - Persistenzimplantat: Verwendung von
reg.exe, der Angreifer schreibt einen neuen Zeichenfolgenwert mit dem NamenProvingMalwareunterHKCUSoftwareMicrosoftWindowsCurrentVersionRun, der aufC:WindowsSystem32notepad.exezeigt. Dies erzeugt EventID 4657 mit dem Run-Key-Pfad und erfüllt die Erkennungsregel. - Verifizierung: Der Angreifer fragt die Registry ab, um zu bestätigen, dass der Wert existiert.
-
Regressionstest-Skript:
# ------------------------------------------------- # Beweis – Registry-Run-Key-Persistenz-Simulation # ------------------------------------------------- try { # 1. Verifizieren, dass das OS Windows ist if (-not $IsWindows) { throw "Script kann nur auf Windows ausgeführt werden." } # 2. Run-Key-Pfad und bösartiger Payload definieren $runKey = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $valueName = "ProvingMalware" $payloadPath = "$env:SystemRootSystem32notepad.exe" # 3. Den bösartigen Run-Key schreiben (löst EventID 4657 aus) New-ItemProperty -Path $runKey -Name $valueName -Value $payloadPath -PropertyType String -Force | Out-Null Write-Host "[+] Run-Key $valueName unter $runKey hinzugefügt, zeigt auf $payloadPath" } catch { Write-Error "[!] $($_.Exception.Message)" } -
Bereinigungskommandos:
# Entfernen Sie den simulierten Persistenzwert $runKey = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $valueName = "ProvingMalware" if (Test-Path "$runKey") { Remove-ItemProperty -Path $runKey -Name $valueName -ErrorAction SilentlyContinue Write-Host "[+] Run-Key $valueName bereinigt" }