Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
AhnLab hat eine Phishing-Kampagne aufgedeckt, die bösartige LNK-Dateien versendet, die als sichere Mailbenachrichtigungen eines großen koreanischen Kreditkartenanbieters getarnt sind. Beim Öffnen startet die Verknüpfung eine HTA über mshta.exe und PowerShell und lädt anschließend nachfolgende Nutzlasten herunter, die sich ändern, je nachdem, ob der Windows Defender aktiviert ist. Falls Defender aktiv ist, nutzen die Angreifer curl , um verschlüsselte Dateien abzurufen, die später dekomprimiert und ausgeführt werden. Wenn Defender deaktiviert ist, switcht die Kette zu direktem DLL-Laden und zusätzlicher Downloader-Aktivität. Die resultierende Malware unterstützt Informationsdiebstahl, Keylogging, Zwischenablagesammlung und Backdoor-Fähigkeiten.
Untersuchung
Die Untersuchung zeigte, dass die anfängliche LNK-Datei mshta.exestartet, welche eine HTA mit verschleiertem VBScript ausführt. Diese HTA lädt pipe.zipherunter, die Base64-kodierte Skripte mit den Namen 1.log, 1.ps1und 2.logenthält, die alle dekodiert und im Speicher ausgeführt werden. Wenn Defender inaktiv ist, lädt die Malware stattdessen user.txt and sys.logherunter, entschlüsselt sys.log in sys.dllund führt es über rundll32aus. Die Analyse der entschlüsselten user.txt offenbarte drei Google Drive URLs, die zum Abrufen weiterer bösartiger Dateien verwendet werden, darunter notepad.log, netund app, die unter %LOCALAPPDATA%.
gespeichert werden.
Empfohlene Abwehrmaßnahmen umfassen die Überprüfung der Legitimität von E-Mail-Anhängen, die Verhinderung der automatischen Ausführung von LNK-Dateien und die Überwachung der verdächtigen Nutzung von mshta.exe and curl. Sicherheitsteams sollten auch nach Dateien wie 1.log, 1.ps1, 2.log, notepad.log, netund app suchen und diese aus %TEMP% and %LOCALAPPDATA%entfernen. Darüber hinaus sollten Verteidiger das System auf unerwartete Registry-Änderungen untersuchen und sicherstellen, dass Windows Defender oder eine andere Endpunkt-Schutzplattform aktiviert und ordnungsgemäß konfiguriert bleibt.
Antwort
Wenn diese Aktivität festgestellt wird, isolieren Sie das betroffene System sofort, beenden Sie jegliche mshta.exe, curl, oder rundll32 Prozesse, die unbekannte Dateien ausführen, und bewahren Sie die bösartigen Artefakte für eine forensische Untersuchung auf. Führen Sie einen vollständigen Systemscan durch, setzen Sie möglicherweise offengelegte Anmeldeinformationen zurück und überwachen Sie die nachfolgende Backdoor-Aktivität im Zusammenhang mit notepad.log. Die Erkennungsinhalte sollten auch mit den beobachteten Indikatoren für einen Kompromiss aktualisiert werden, und die E-Mail-Sicherheitskontrollen sollten verstärkt werden, um ähnliche Phishing-Köder in der Zukunft zu blockieren.
"graph TB %% Klassen Definitionen classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Knoten initial_user_exec["<b>Technik</b> – <b>T1204.002 Benutzer Ausführung: Bösartige Datei</b><br/>Opfer öffnet .lnk getarnt als sichere E-Mail von Kreditkartenunternehmen."] class initial_user_exec action exec_mshta["<b>Technik</b> – <b>T1218.005 System Proxy-Ausführung: Mshta</b><br/>LNK startet PowerShell, die mshta.exe ausführt, um entfernte HTA abzurufen, die verschleierte VBScript enthält."] class exec_mshta action exec_powershell["<b>Technik</b> – <b>T1059.001 Befehl- und Skript-Interpreter: PowerShell</b><br/>PowerShell lädt zusätzliche Nutzlasten über curl herunter."] class exec_powershell action masquerade["<b>Technik</b> – <b>T1036.008 Maskerade: Datei Typ Maskerade</b><br/>LNK Datei maskiert sich als sichere Mail."] class masquerade action obfuscate["<b>Technik</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/>Nutzlasten verschlüsselt mit AES, Base64-encoded; LNK Icon-Schmuggel."] class obfuscate action sandbox_evasion["<b>Technik</b> – <b>T1497.002 Virtualisierung/Sandbox Ausweichung: Nutzer Aktivitäts-basierte Überprüfungen</b><br/>Malware überprüft den Status von Windows Defender."] class sandbox_evasion action cond_defender["<b>Operator</b> – UND Bedingung basierend auf Defender-Status"] class cond_defender operator defender_on["<b>Bedingung</b> – Defender aktiviert"] class defender_on action defender_off["<b>Bedingung</b> – Defender deaktiviert"] class defender_off action download_pipe["<b>Aktion</b> – Lädt pipe.zip herunter, entschlüsselt und extrahiert 1.log, 1.ps1, 2.log."] class download_pipe action cred_access["<b>Technik</b> – <b>T1539 Browser-Sitzung Hijacking</b>, <b>T1185 Web-Sitzungs-Cookie</b>, <b>T1555.003 Anmeldeinformationen von Web-Browsern</b><br/>Skripte führen Zugriffe auf Anmeldeinformation durch."] class cred_access action collection["<b>Technik</b> – <b>T1056.001 Eingabe-Erfassung: Keylogging</b> und <b>T1115 Zwischenablage Daten</b><br/>Erfassung von Tastenanschlägen und Zwischenablage-Inhalten."] class collection action download_sys["<b>Aktion</b> – Lädt user.txt und sys.log herunter, entschlüsselt sys.dll."] class download_sys action load_rundll["<b>Technik</b> – <b>T1218.011 Signierte Binär Proxy-Ausführung: Rundll32</b><br/>Lädt sys.dll über rundll32."] class load_rundll action persistence_appinit["<b>Technik</b> – <b>T1546.010 Ereignisausgelöste Ausführung: AppInit DLLs</b><br/>sys.dll genutzt für Persistenz/Ausweichung."] class persistence_appinit action command_control["<b>Technik</b> – <b>T1219 Ferner Zugriff Werkzeug</b><br/>notepad.log bietet Remote-Befehlsausführung, Datei Exfiltration und weitere Datensammlung."] class command_control action clipboard_phish["<b>Technik</b> – <b>T1204.004 Bösartiges Kopieren und Einfügen</b><br/>Techniken zu Clipboard Phishing."] class clipboard_phish action %% Verbindungen initial_user_exec –>|führt zu| exec_mshta exec_mshta –>|führt aus| exec_powershell exec_powershell –>|ermöglicht| masquerade masquerade –>|ermöglicht| obfuscate obfuscate –>|ermöglicht| sandbox_evasion sandbox_evasion –>|löst aus| cond_defender cond_defender –>|falls Defender aktiviert| defender_on cond_defender –>|falls Defender deaktiviert| defender_off defender_on –>|lädt herunter| download_pipe download_pipe –>|enthält| cred_access cred_access –>|ermöglicht| collection defender_off –>|lädt herunter| download_sys download_sys –>|lädt| load_rundll load_rundll –>|etabliert| persistence_appinit persistence_appinit –>|ermöglicht| command_control command_control –>|nutzt| clipboard_phish "
Angriffsablauf
Erkennungen
Mögliche Ausführung mit kurzem Skriptnamen (via cmdline)
Ansehen
Verdächtiges LOLBAS MSHTA Abweichungsverhalten durch Erkennung zugehöriger Befehle (via prozess_erstellung)
Ansehen
Mögliche Dateninfiltration/Exfiltration/C2 über Dritte Dienste/Tools (via proxy)
Ansehen
Mögliche Dateninfiltration/Exfiltration/C2 über Dritte Dienste/Tools (via dns)
Ansehen
Rundll32 Ausführung mit sys.dll in deaktiviertem Windows Defender Umgebung [Windows Prozess Erstellung]
Ansehen
Bösartige LNK Datei mit mshta Befehlsausführung [Windows Powershell]
Ansehen
Simulation Ausführung
Voraussetzung: Der Telemetrie- & Baseline Vorkontrolle muss bestanden sein.
-
Angriffs-Narrativ & Befehle:
Ein Angreifer hat einen Fuß auf dem Zielsystem gefasst und möchte beliebigen Code ausführen, während er die traditionelle Anwendungskontrolle umgeht. Sie erstellen eine bösartige HTA-Datei, die verschleiertes VBScript enthält, das bei der Darstellung ein PowerShell-Backdoor auf die Festplatte schreibt. Um die HTA zu starten, verwenden sie eine Windows-Verknüpfung (.lnk), diepowershell.exemit einem Befehl aufruft, dermshta.exeeinleitet. Die Ausführung der Verknüpfung löst die PowerShell →mshtaKette aus und produziert genau die Telemetrie, die die Regel überwacht. -
Regressionstest-Skript:
# ------------------------------------------------- # 1. Erstellen bösartige HTA mit verschleiertem VBScript # ------------------------------------------------- $htaPath = "$env:TEMPevil.hta" $vbscript = @" <script language='VBScript'> ' Verschleierte VBScript Nutzlast (Beispiel: Datei schreiben) Dim fso, f Set fso = CreateObject("Scripting.FileSystemObject") Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True) f.WriteLine "Kompromittiert durch ATT&CK" f.Close </script> "@ Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII # ------------------------------------------------- # 2. Erstellen einer Verknüpfung (.lnk), die PowerShell → mshta ausführt # ------------------------------------------------- $lnkPath = "$env:TEMPlaunch_malicious.lnk" $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) # PowerShell Befehl, der mshta mit der HTA Datei startet $psCommand = "mshta.exe `"$htaPath`"" $shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" $shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`"" $shortcut.Save() # ------------------------------------------------- # 3. Ausführen der Verknüpfung, um die Erkennung auszulösen # ------------------------------------------------- Write-Host "Ausführen der bösartigen Verknüpfung..." & $lnkPath # ------------------------------------------------- # 4. Pause, um das Sammeln von Protokollen zu ermöglichen # ------------------------------------------------- Start-Sleep -Seconds 10 -
Bereinigungsbefehle:
# Entfernen von erstellten Artefakten Remove-Item -Path "$env:TEMPevil.hta" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlaunch_malicious.lnk" -Force -ErrorAction SilentlyContinue Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen."