ErrTraffic: Ein wachsendes ClickFix-Malware-Verteilungsframework im Detail
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
ErrTraffic ist ein bösartiges JavaScript-Framework, das im Rahmen eines Malware-as-a-Service-Modells angeboten wird. Es wird hauptsächlich in kompromittierte WordPress-Websites injiziert, um ClickFix-Style Social Engineering-Seiten und nachfolgende Malware-Payloads bereitzustellen. Das Framework verwendet auch die EtherHiding-Technik, um die Command-and-Control-Infrastruktur durch Blockchain-Smart-Verträge zu entdecken.
Untersuchung
Forscher von Sekoia TDR identifizierten zwei separate Aktivitätscluster, die als „Analytics“-Cluster und „Beer“-Cluster bezeichnet werden. Ihre Untersuchung offenbarte mehrere Bereitstellungspfade, darunter WordPress PHP-Hintertüren, Credential-Stuffing-Angriffe für den anfänglichen Zugriff und Malvertising-Kampagnen, die AI-Plattformen vortäuschten. Die forensische Analyse zeigte auch klare Unterschiede in der Codierweise, der Befehlsnutzung und den Infrastrukturmustern zwischen den beiden Clustern.
Minderung
Organisationen sollten eine starke Anmeldeinformationen-Hygiene und Multi-Faktor-Authentifizierung durchsetzen, um das Risiko eines WordPress-Admin-Kompromisses zu verringern. Regelmäßige Patches von WordPress-Plugins sind ebenfalls unerlässlich, insbesondere für bekannte Schwachstellen wie CVE-2020-25213. Verteidiger sollten verdächtiges PowerShell-Verhalten und ungewöhnlichen ausgehenden Datenverkehr zu Blockchain-RPC-Diensten oder ungewöhnlichen Top-Level-Domains überwachen.
Reaktion
Wenn ErrTraffic-Indikatoren erkannt werden, sollten betroffene Webserver sofort isoliert und alle WordPress-Konten auf unbefugten Administratorzugriff überprüft werden. Eine vollständige forensische Prüfung sollte durchgeführt werden, um versteckte MU-Plugins und unbefugte PHP-Dateien zu identifizieren. Potenziell exponierte Anmeldeinformationen sollten widerrufen und alle API-Schlüssel und administrativen Geheimnisse sollten ausgetauscht werden.
Angriffsfluss
Simulation der Ausführung
Voraussetzung: Die Telemetrie- und Basislinien-Vorflugkontrolle muss bestanden werden.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführungstechnik des Angreiferansatzes (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und dazu dienen, die exakt erwartete Telemetrie durch die Erkennungslogik zu erzeugen. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffs-Narrativ & Befehle: Ein Angreifer hat erfolgreich einen Benutzer dazu verleitet, auf eine „Fix“-Schaltfläche auf einer bösartigen Website zu klicken. Dies löst einen PowerShell-Befehl aus, der darauf ausgelegt ist, eine Nutzlast herunterzuladen und zu entschlüsseln. Um einfache string-basierte Erkennungen zu umgehen, verwendet das Skript XOR-Entschlüsselung. Der Angreifer verwendet den spezifischen ErrTraffic-Header
<# Codeüberprüfung: 656560395146 #>um bestimmte interne Prüfungen zu umgehen oder als Marker für ihr eigenes Framework. Das Skript verwendet[convert]::ToInt32um die XOR-Schlüssel zu verarbeiten und den-bxorOperator zur Entschlüsselung der Nutzlastbytes. -
Regressionstestskript:
# Simulation der ErrTraffic ClickFix PowerShell-Nutzlastentschlüsselungsroutine $header = "<# Codeüberprüfung: 656560395146 #>" $encodedPayload = @(10, 20, 30, 40) $key = [convert]::ToInt32("5") Write-Host "Nutzlastentschlüsselung initialisieren..." $decrypted = foreach ($byte in $encodedPayload) { $byte -bxor $key } Write-Host "Entschlüsselung abgeschlossen." -
Bereinigungsbefehle:
# Durch das Simulationsskript werden keine dauerhaften Änderungen vorgenommen. # Einfach die Konsole leeren. Clear-Host