Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
AhnLab hat eine Phishing-Kampagne aufgedeckt, die bösartige LNK-Dateien versendet, die als sichere Mailbenachrichtigungen eines großen koreanischen Kreditkartenanbieters getarnt sind. Beim Öffnen startet die Verknüpfung eine HTA über mshta.exe und PowerShell und lädt anschließend nachfolgende Nutzlasten herunter, die sich ändern, je nachdem, ob der Windows Defender aktiviert ist. Falls Defender aktiv ist, nutzen die Angreifer curl , um verschlüsselte Dateien abzurufen, die später dekomprimiert und ausgeführt werden. Wenn Defender deaktiviert ist, switcht die Kette zu direktem DLL-Laden und zusätzlicher Downloader-Aktivität. Die resultierende Malware unterstützt Informationsdiebstahl, Keylogging, Zwischenablagesammlung und Backdoor-Fähigkeiten.
Untersuchung
Die Untersuchung zeigte, dass die anfängliche LNK-Datei mshta.exestartet, welche eine HTA mit verschleiertem VBScript ausführt. Diese HTA lädt pipe.zipherunter, die Base64-kodierte Skripte mit den Namen 1.log, 1.ps1und 2.logenthält, die alle dekodiert und im Speicher ausgeführt werden. Wenn Defender inaktiv ist, lädt die Malware stattdessen user.txt and sys.logherunter, entschlüsselt sys.log in sys.dllund führt es über rundll32aus. Die Analyse der entschlüsselten user.txt offenbarte drei Google Drive URLs, die zum Abrufen weiterer bösartiger Dateien verwendet werden, darunter notepad.log, netund app, die unter %LOCALAPPDATA%.
gespeichert werden.
Empfohlene Abwehrmaßnahmen umfassen die Überprüfung der Legitimität von E-Mail-Anhängen, die Verhinderung der automatischen Ausführung von LNK-Dateien und die Überwachung der verdächtigen Nutzung von mshta.exe and curl. Sicherheitsteams sollten auch nach Dateien wie 1.log, 1.ps1, 2.log, notepad.log, netund app suchen und diese aus %TEMP% and %LOCALAPPDATA%entfernen. Darüber hinaus sollten Verteidiger das System auf unerwartete Registry-Änderungen untersuchen und sicherstellen, dass Windows Defender oder eine andere Endpunkt-Schutzplattform aktiviert und ordnungsgemäß konfiguriert bleibt.
Antwort
Wenn diese Aktivität festgestellt wird, isolieren Sie das betroffene System sofort, beenden Sie jegliche mshta.exe, curl, oder rundll32 Prozesse, die unbekannte Dateien ausführen, und bewahren Sie die bösartigen Artefakte für eine forensische Untersuchung auf. Führen Sie einen vollständigen Systemscan durch, setzen Sie möglicherweise offengelegte Anmeldeinformationen zurück und überwachen Sie die nachfolgende Backdoor-Aktivität im Zusammenhang mit notepad.log. Die Erkennungsinhalte sollten auch mit den beobachteten Indikatoren für einen Kompromiss aktualisiert werden, und die E-Mail-Sicherheitskontrollen sollten verstärkt werden, um ähnliche Phishing-Köder in der Zukunft zu blockieren.
graph TB %% Class Definitions classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nodes initial_user_exec[„<b>Technik</b> – <b>T1204.002 Benutzerausführung: Bösartige Datei</b><br/>Das Opfer öffnet eine .lnk-Datei, die als sichere E-Mail eines Kreditkartenunternehmens getarnt ist.“] class initial_user_exec action exec_mshta[„<b>Technik</b> – <b>T1218.005 System-Binär-Proxy-Ausführung: Mshta</b><br/>Die LNK-Datei startet PowerShell, das mshta.exe ausführt, um eine entfernte HTA mit obfuskiertem VBScript abzurufen.“] class exec_mshta action exec_powershell[„<b>Technik</b> – <b>T1059.001 Kommando- und Skriptausführung: PowerShell</b><br/>PowerShell lädt zusätzliche Payloads über curl herunter.“] class exec_powershell action masquerade[„<b>Technik</b> – <b>T1036.008 Tarnung: Dateityp-Vortäuschung</b><br/>Die LNK-Datei tarnt sich als sichere E-Mail.“] class masquerade action obfuscate[„<b>Technik</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/>Payloads sind mit AES verschlüsselt und Base64-kodiert; LNK-Icon wird missbraucht.“] class obfuscate action sandbox_evasion[„<b>Technik</b> – <b>T1497.002 Sandbox-Evasion: Nutzeraktivitätsprüfungen</b><br/>Die Malware überprüft den Status von Windows Defender.“] class sandbox_evasion action cond_defender[„<b>Operator</b> – AND-Bedingung basierend auf Defender-Status“] class cond_defender operator defender_on[„<b>Bedingung</b> – Defender aktiviert“] class defender_on action defender_off[„<b>Bedingung</b> – Defender deaktiviert“] class defender_off action download_pipe[„<b>Aktion</b> – Lädt pipe.zip herunter, entschlüsselt und extrahiert 1.log, 1.ps1, 2.log.“] class download_pipe action cred_access[„<b>Technik</b> – <b>T1539 Browser-Sitzungs-Hijacking</b>, <b>T1185 Web-Sitzungs-Cookies</b>, <b>T1555.003 Browser-Anmeldedaten</b><br/>Skripte führen Credential-Diebstahl durch.“] class cred_access action collection[„<b>Technik</b> – <b>T1056.001 Eingabecapture: Keylogging</b> und <b>T1115 Zwischenablagedaten</b><br/>Erfassung von Tastatureingaben und Clipboard-Daten.“] class collection action download_sys[„<b>Aktion</b> – Lädt user.txt und sys.log herunter, entschlüsselt sys.dll.“] class download_sys action load_rundll[„<b>Technik</b> – <b>T1218.011 Signierte Binär-Proxy-Ausführung: Rundll32</b><br/>sys.dll wird über rundll32 geladen.“] class load_rundll action persistence_appinit[„<b>Technik</b> – <b>T1546.010 Ereignisgesteuerte Ausführung: AppInit DLLs</b><br/>sys.dll wird für Persistenz und Evasion genutzt.“] class persistence_appinit action command_control[„<b>Technik</b> – <b>T1219 Remote-Access-Tools</b><br/>notepad.log ermöglicht Remote-Befehlsausführung und Datenexfiltration.“] class command_control action clipboard_phish[„<b>Technik</b> – <b>T1204.004 Copy-Paste-Phishing</b><br/>Angriffe über die Zwischenablage.“] class clipboard_phish action %% Connections initial_user_exec –>|führt zu| exec_mshta exec_mshta –>|führt aus| exec_powershell exec_powershell –>|aktiviert| masquerade masquerade –>|aktiviert| obfuscate obfuscate –>|aktiviert| sandbox_evasion sandbox_evasion –>|löst aus| cond_defender cond_defender –>|wenn Defender aktiv| defender_on cond_defender –>|wenn Defender inaktiv| defender_off defender_on –>|lädt herunter| download_pipe download_pipe –>|enthält| cred_access cred_access –>|aktiviert| collection defender_off –>|lädt herunter| download_sys download_sys –>|lädt| load_rundll load_rundll –>|etabliert| persistence_appinit persistence_appinit –>|aktiviert| command_control command_control –>|nutzt| clipboard_phish
Angriffsablauf
Erkennungen
Mögliche Ausführung mit kurzem Skriptnamen (via cmdline)
Ansehen
Verdächtiges LOLBAS MSHTA Abweichungsverhalten durch Erkennung zugehöriger Befehle (via prozess_erstellung)
Ansehen
Mögliche Dateninfiltration/Exfiltration/C2 über Dritte Dienste/Tools (via proxy)
Ansehen
Mögliche Dateninfiltration/Exfiltration/C2 über Dritte Dienste/Tools (via dns)
Ansehen
Rundll32 Ausführung mit sys.dll in deaktiviertem Windows Defender Umgebung [Windows Prozess Erstellung]
Ansehen
Bösartige LNK Datei mit mshta Befehlsausführung [Windows Powershell]
Ansehen
Simulation Ausführung
Voraussetzung: Der Telemetrie- & Baseline Vorkontrolle muss bestanden sein.
-
Angriffs-Narrativ & Befehle:
Ein Angreifer hat einen Fuß auf dem Zielsystem gefasst und möchte beliebigen Code ausführen, während er die traditionelle Anwendungskontrolle umgeht. Sie erstellen eine bösartige HTA-Datei, die verschleiertes VBScript enthält, das bei der Darstellung ein PowerShell-Backdoor auf die Festplatte schreibt. Um die HTA zu starten, verwenden sie eine Windows-Verknüpfung (.lnk), diepowershell.exemit einem Befehl aufruft, dermshta.exeeinleitet. Die Ausführung der Verknüpfung löst die PowerShell →mshtaKette aus und produziert genau die Telemetrie, die die Regel überwacht. -
Regressionstest-Skript:
# ------------------------------------------------- # 1. Erstellen bösartige HTA mit verschleiertem VBScript # ------------------------------------------------- $htaPath = "$env:TEMPevil.hta" $vbscript = @" <script language='VBScript'> ' Verschleierte VBScript Nutzlast (Beispiel: Datei schreiben) Dim fso, f Set fso = CreateObject("Scripting.FileSystemObject") Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True) f.WriteLine "Kompromittiert durch ATT&CK" f.Close </script> "@ Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII # ------------------------------------------------- # 2. Erstellen einer Verknüpfung (.lnk), die PowerShell → mshta ausführt # ------------------------------------------------- $lnkPath = "$env:TEMPlaunch_malicious.lnk" $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) # PowerShell Befehl, der mshta mit der HTA Datei startet $psCommand = "mshta.exe `"$htaPath`"" $shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" $shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`"" $shortcut.Save() # ------------------------------------------------- # 3. Ausführen der Verknüpfung, um die Erkennung auszulösen # ------------------------------------------------- Write-Host "Ausführen der bösartigen Verknüpfung..." & $lnkPath # ------------------------------------------------- # 4. Pause, um das Sammeln von Protokollen zu ermöglichen # ------------------------------------------------- Start-Sleep -Seconds 10 -
Bereinigungsbefehle:
# Entfernen von erstellten Artefakten Remove-Item -Path "$env:TEMPevil.hta" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlaunch_malicious.lnk" -Force -ErrorAction SilentlyContinue Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen."