Gefälschte Installationskette endet mit ValleyRAT-Infektion
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein trojanisiertes Installationsprogramm, das sich als LINE Messenger-Setup ausgibt, wurde beobachtet, wie es einen ValleyRAT Load lieferte. Erstellt mit NSIS und signiert mit einem verdächtigen Zertifikat, aktiviert der Dropper mehrere DLL- und INI-Komponenten, die Code-Injektion and Persistenzunterstützen. Die Malware kommuniziert dann mit zwei in Hongkong gehosteten C2-Servern, um zusätzliche bösartige Binärdateien abzurufen. Die Aktivität scheint sich gegen chinesischsprachige Benutzer zu richten und verwendet fortschrittliche Taktiken, darunter PoolParty Variante 7 Prozess-Injektion.
Untersuchung
Cybereason-Analysten führten eine statische und dynamische Analyse des gefälschten LINE-Installationsprogramms durch und bestätigten die Verwendung von PowerShell, rundll32und benutzerdefinierten DLL-Loadern. Die Kette erstellte Artefakte in %AppData% and %LocalAppData%, etablierte Synchronisierung über Mutexeund registrierte Persistenz durch geplante Aufgaben , die über RPC erstellt wurden. Das Verhalten nach der Installation umfasste die Injektion in explorer.exe and UserAccountBroker.exe, was mit einem auf Tarnung ausgerichteten Remotezugriffs-Workflow übereinstimmt. Netzwerk-Telemetrie identifizierte zwei in Hongkong befindliche C2-IP-Adressen, die für die Befehlsabfrage und die Bereitstellung von Nutzlasten verwendet werden. Die Zuschreibung wurde als konsistent mit Silver Fox Aktivität bewertet und zeigte Code-Überlappungen mit SADBRIDGE.
Minderung
Suchen Sie nach dem mit NSIS gepackten gefälschten Installationsprogramm und geben Sie Alarm bei verdächtigem Zertifikats-Fingerabdruck in der Signierungskette. Überwachen Sie die Erstellung des gedroppten Dateisets des Installationsprogramms, damit verbundene Registrierungsänderungen und Versuche, Windows Defender-Ausnahmenhinzuzufügen. Blockieren Sie den externen Verbindungsaufbau zu den identifizierten C2-IPs und setzen Sie Code-Signing-Kontrollen durch, die ungültige oder nicht vertrauenswürdige Zertifikate ablehnen. Fügen Sie EDR-Erkennungen für PoolParty Variante 7-Stil Injektionsmuster und für Geplante-Aufgaben-Erstellungssequenzen hinzu, die mit RPC-basierter Persistenz konsistent sind.
Antwort
Wenn verdächtige Aktivitäten festgestellt werden, isolieren Sie den Endpunkt, beenden Sie bösartige Prozesse und entfernen Sie das gefälschte Installationsprogramm sowie alle geladenen Artefakte. Führen Sie einen vollständigen Scan auf zusätzliche ValleyRAT Module durch, stellen Sie die Defender-Einstellungen wieder her (einschließlich der Entfernung nicht autorisierter Ausnahmen) und löschen Sie die von Angreifern erstellten geplanten Aufgaben. Überprüfen Sie die aktuelle Benutzer- und Hostaktivität auf Anzeichen von seitlicher Bewegung, bevor Sie die Vorfälle zur Gedächtnisaufnahme und tieferen forensischen Datensammlung eskalieren.
Angriffsfluss
Erkennungen
Mögliche Erstellung einer geplanten Aufgabe (über PowerShell)
Ansicht
Verdächtige geplante Aufgabe (über Audit)
Ansicht
Rundll32 Dll verdächtiger Pfad-Ausführung (über Prozess-Erstellung)
Ansicht
Windows Defender Präferenzen verdächtige Änderungen (über PowerShell)
Ansicht
LOLBAS Regsvr32 (über Kommandozeile)
Ansicht
IOCs (Ziel-IP) zur Erkennung: Gefälschtes Installationsprogramm: Schließlich, ValleyRAT-Infektion
Ansicht
IOCs (HashSha1) zur Erkennung: Gefälschtes Installationsprogramm: Schließlich, ValleyRAT-Infektion
Ansicht
IOCs (Quell-IP) zur Erkennung: Gefälschtes Installationsprogramm: Schließlich, ValleyRAT-Infektion
Ansicht
Erkennung von gefälschten Installationsprogrammen unter Verwendung von Windows Defender-Ausnahmen und geplanten Aufgaben [Windows PowerShell]
Ansicht
Simulationsausführung
Voraussetzung: Die Telemetrie- und Grundlagen-Prüfung muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifertechnik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue von der Erkennungslogik erwartete Telemetrie zu generieren.
-
Angriffserzählung & Befehle:
Ein Angreifer, der bereits ein niedrig-privilegiertes Konto kompromittiert hat, möchte eine Nutzlast auf dem kompromittierten Host bereitstellen, während er die Überprüfung durch Antiviren-Programme umgeht. Der Angreifer:- Verwendet PowerShell, um eine Windows Defender-Ausnahme hinzuzufügen, die das gesamte C: Laufwerk umfasst, wodurch sichergestellt wird, dass alle dort platzierten bösartigen Binärdateien für Defender unsichtbar sind.
- In derselben PowerShell Ausführung registriert eine geplante Aufgabe, die die versteckte Nutzlast startet (
C:Malwarepayload.ps1) jedes Mal, wenn ein bestimmter legitimer Prozess (z. B.explorer.exe) gestartet wird, wodurch Persistenz gewährleistet wird. - Weil beide Aktionen zu einem einzigen Kommandozeilen-Befehl kombiniert wurden, entspricht die Telemetrie der Sigma-Regel
Auswahl1 und Auswahl2Bedingung, was einen Alarm auslöst.
-
Regressionstest-Skript:
# ------------------------------------------------- # Gefälschte Installationssimulierung – Löst Sigma-Regel aus # ------------------------------------------------- # 1. Definieren Sie den Ausschlusspfad (gesamtes C: Laufwerk) $exclusion = "C:" # 2. Definieren Sie Details der geplanten Aufgabe $taskName = "UpdateScheduler" $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1" $trigger = New-ScheduledTaskTrigger -AtLogOn # 3. Kombinieren Sie beide Befehle zu einer einzigen PowerShell-Kommandozeile $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force" # 4. Rufen Sie den kombinierten Befehl auf Invoke-Expression $combined -
Bereinigungskommandos:
# ------------------------------------------------- # Bereinigung – Entfernen Sie die Ausnahme und die geplante Aufgabe # ------------------------------------------------- # Entfernen Sie die Defender-Ausnahme für C: Remove-MpPreference -ExclusionPath "C:" # Löschen der geplanten Aufgabe Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false