SOC Prime Bias: Medium

21 Apr. 2026 18:16
newspaper icon Splunk

Nicht nur nervige Anzeigen: Adware-Pakete liefern Gh0st RAT aus

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
Nicht nur nervige Anzeigen: Adware-Pakete liefern Gh0st RAT aus
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Eine kürzliche Kampagne liefert den Gh0st Remote Access Trojaner zusammen mit der CloverPlus-Adware-Komponente. Sein Loader verbirgt zwei verschlüsselte Ressourcen, schreibt sie an zufällige Orte und startet das RAT durch rundll32.exe. Die Malware kombiniert mehrere Persistenzmethoden mit Token-Manipulation, DNS-Hijacking und Keylogging, um den Zugang über längere Zeit zu behalten und gleichzeitig Einnahmen durch Klickbetrug zu generieren. Ihre Verwendung legitimer Windows-Binärdateien und mehrschichtiger Verschleierung erschwert die Erkennung.

Untersuchung

Splunk Threat Research hat den Loader rückentwickelt und bestätigt, dass er sowohl eine eingebettete Gh0st RAT DLL als auch das CloverPlus-Adware-Modul trug. Die Verhaltensanalyse zeigte eine Eskalation der Token-Privilegien, Registrierungsprüfungen für VMware-basierte Umgebungen, die Verwendung eines Dead-Drop-Resolvers, ping-basierte Schlafverzögerungen, DNS-Spoofing und mehrere Persistenztechniken, die in der Windows-Registrierung verwurzelt sind. Ermittler dokumentierten auch Indikatoren, darunter ungewöhnliche rundll32.exe Ausführung, Starten von Payloads aus %temp%, und spezifische Registrierungsänderungen, die mit der Infektionskette in Verbindung stehen.

Minderung

Verteidiger sollten überwachen auf rundll32.exe das Laden von Dateien mit ungewöhnlichen Erweiterungen oder das Ausführen von Inhalten aus nicht standardmäßigen Verzeichnissen. Sicherheitsteams sollten auch die Erstellung des RemoteAccess Router-Manager-Registrierungseintrags blockieren oder melden und verdächtige Änderungen an Run-Keys verhindern. Netzwerk-Kontrollen sollten den Zugriff auf die identifizierte Dead-Drop-Resolver-URL einschränken und ping-basiertes Schlafverhalten, das mit Malware-Verschleierung verbunden ist, kennzeichnen. Anwendungskontrollrichtlinien können das Risiko weiter reduzieren, indem sie das Laden nicht autorisierter DLLs verhindern.

Reaktion

Wenn diese Aktivität erkannt wird, isolieren Sie den betroffenen Host, sammeln Sie flüchtige Beweise zusammen mit den verdächtigen DLLs und führen Sie hash-basierte Nachschläge durch, um die Bedrohung zu bestätigen. Entfernen Sie alle bösartigen Registrierungs-Einträge und Dienste, die für die Persistenz genutzt werden. Setzen Sie exponierte Anmeldeinformationen zurück, insbesondere diejenigen, die mit RDP-Gebrauch verbunden sind, und untersuchen Sie die DNS-Einstellungen sowie die Hosts-Datei auf unautorisierte Änderungen. Eine vollständige forensische Prüfung sollte dann durchgeführt werden, um sicherzustellen, dass keine zusätzlichen Hintertüren oder sekundären Nutzlasten verbleiben.

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef technique fill:#eeeeee classDef operator fill:#ff9900 %% Nodes u2013 Step 1 Loader Execution tool_wiseman["<b>Tool</b> – Name: wiseman.exe<br/><b>Description</b>: Loader, der eingebettete Nutzlasten entschlüsselt (Gh0st RAT DLL und CloverPlus-Adware)."] class tool_wiseman tool action_loader["<b>Aktion</b> – Loader-Ausführung"] class action_loader action tech_reflective["<b>Technik</b> – T1620 Reflective Code Loading<br/>Lädt Code in den Speicher, ohne ihn auf die Festplatte zu schreiben."] class tech_reflective technique tech_obfuscate["<b>Technik</b> – T1027.009 Verschleierte Dateien oder Informationen: Eingebettete Nutzlasten<br/>Nutzlasten sind verschlüsselt/verschleiert im Loader."] class tech_obfuscate technique %% Connections u2013 Step 1 tool_wiseman –>|führt aus| action_loader action_loader –>|nutzt| tech_reflective action_loader –>|nutzt| tech_obfuscate %% Nodes u2013 Step 2 DLL schreiben und über rundll32 starten process_write_dll["<b>Prozess</b> – Schreibe DLL in zufälligen Ordner in C:WindowsSystem32"] class process_write_dll process malware_gh0st["<b>Malware</b> – Gh0st RAT DLL"] class malware_gh0st malware tool_rundll32["<b>Tool</b> – rundll32.exe<br/><b>Zweck</b>: Führt DLLs aus, als wären sie ausführbare Dateien"] class tool_rundll32 tool %% Connections u2013 Step 2 action_loader –>|schreibt| process_write_dll process_write_dll –>|enthält| malware_gh0st malware_gh0st –>|gestartet durch| tool_rundll32 %% Nodes u2013 Step 3 Token-Manipulation tech_token["<b>Technik</b> – T1134.002 Zugriffstoken-Manipulation: Erstelle Prozess mit Token<br/>Ermöglicht SeDebugPrivilege für spätere Operationen."] class tech_token technique %% Connection u2013 Step 3 action_loader –>|modifiziert Token| tech_token %% Nodes u2013 Step 4 Prozessentdeckung des DNS-Dienstes tech_proc_discovery["<b>Technik</b> – T1057 Prozessentdeckung<br/>Zählt laufende Prozesse auf, identifiziert DNS-Dienst (Port 53)."] class tech_proc_discovery technique tech_win_window["<b>Technik</b> – T1010 Anwendungsfenster-Entdeckung<br/>Sammelt Fenstertitel, um Prozessidentifikation zu unterstüt… "] class tech_win_window technique %% Connection u2013 Step 4 tech_token –>|führt aus| tech_proc_discovery tech_proc_discovery –>|ergänzt| tech_win_window %% Nodes u2013 Step 5 DNS beenden und Datei löschen tech_process_injection["<b>Technik</b> – T1055.003 Prozessinjektion: Thread-Ausführungskapern<br/>Kapert DNS-Prozessthread, um ihn zu beenden."] class tech_process_injection technique tech_masquerade["<b>Technik</b> – T1036.009 Maskerade: Prozessstrukturen brechen<br/>Erstellt eine gefälschte Prozesshierarchie, um bösartige Aktivität zu verbergen."] class tech_masquerade technique tech_file_deletion["<b>Technik</b> – T1070.004 Datei löschen<br/>Löscht die ursprüngliche DNS-ausführbare Datei nach Beendigung."] class tech_file_deletion technique %% Connections u2013 Step 5 tech_proc_discovery –>|zielt auf| tech_process_injection tech_process_injection –>|begleitet| tech_masquerade tech_masquerade –>|führt zu| tech_file_deletion %% Nodes u2013 Step 6 Entdeckung virtueller Maschinen tech_vm_discovery["<b>Technik</b> – T1673 Virtuelle Maschinen-Erkennung<br/>Abfragt VMware-Registrierungsschlüssel zur Erkennung der Analyseumgebung."] class tech_vm_discovery technique %% Connection u2013 Step 6 tech_token –>|überprüft| tech_vm_discovery %% Nodes u2013 Step 7 Dead-Drop-Resolver tool_ping["<b>Tool</b> – ping.exe<br/><b>Verwendung</b>: Verzögert weitere Aktionen."] class tool_ping tool tech_dead_drop["<b>Technik</b> – T1102.001 Web-Service: Dead-Drop-Resolver<br/>Lädt eine Webseite von einer bösartigen URL herunter, um C2-Adresse zu erhalten."] class tech_dead_drop technique %% Connection u2013 Step 7 tech_vm_discovery –>|wenn VM erkannt| tech_dead_drop tech_dead_drop –>|verwendet| tool_ping %% Nodes u2013 Step 8 Verzögerte Ausführung tech_delay["<b>Technik</b> – T1678 Verzögerte Ausführung<br/>Verwendet ping -n, um zu warten, bevor die Nutzlast ausgeführt wird."] class tech_delay technique %% Connection u2013 Step 8 tool_ping –>|implementiert| tech_delay %% Nodes u2013 Step 9 Hosts-Dateiänderung und DNS-Spoofing tech_hosts_mod["<b>Technik</b> – T1568.002 E-Mail-Spoofing (für DNS-Spoofing umgewidmet)<br/>Ändert Hosts-Datei und erstellt gefälschte DNS-Antworten, um Sicherheitsdomänen zu blockieren."] class tech_hosts_mod technique %% Connection u2013 Step 9 tech_delay –>|ändert| tech_hosts_mod %% Nodes u2013 Step 10 DNS-Cache leeren action_flush_dns["<b>Aktion</b> – DNS-Cache löschen<br/>Führt ipconfig /flushdns aus, um sicherzustellen, dass bösartige Einträge wirksam werden."] class action_flush_dns action %% Connection u2013 Step 10 tech_hosts_mod –>|dann| action_flush_dns %% Nodes u2013 Step 11 Hardware-IDs sammeln tech_snmp_dump["<b>Technik</b> – T1602.001 Daten aus Konfigurationsrepository: SNMP (MIB Dump)<br/>Sammelt Hardware-IDs wie MAC-Adresse."] class tech_snmp_dump technique tech_net_config["<b>Technik</b> – T1602.002 Daten aus Konfigurationsrepository: Netzwerkgeräte-Konfigurations-Dump<br/>Sammelt Festplatten-Seriennummer."] class tech_net_config technique %% Connections u2013 Step 11 action_flush_dns –>|sammelt| tech_snmp_dump action_flush_dns –>|sammelt| tech_net_config %% Nodes u2013 Step 12 Persistenz über Dienst und Run-Keys tech_service_creation["<b>Technik</b> – T1543.003 Systemprozess erstellen oder ändern: Windows-Dienst<br/>Erstellt einen neuen Windows-Dienst, der auf die bösartige DLL verweist."] class tech_service_creation technique tech_run_key["<b>Technik</b> – T1547.001 Registrierungs-Run-Keys/Startordner<br/>Schreibt einen Run-Registrierungseintrag, der auf die bösartige DLL verweist."] class tech_run_key technique %% Connections u2013 Step 12 tech_snmp_dump –>|ermöglicht| tech_service_creation tech_snmp_dump –>|ermöglicht| tech_run_key %% Nodes u2013 Step 13 Ausführungsfluss über Dienst-Registrierung kapern tech_hijack_service["<b>Technik</b> – T1574.011 Ausführungsfluss kapern: Dienstleistungen-Registrierungsberechtigungs-Schwäche<br/>Registriert DLL unter RemoteAccessRouterManagersIp (DllPath) und startet Dienst für Auto-Ausführung."] class tech_hijack_service technique %% Connection u2013 Step 13 tech_service_creation –>|nutzt| tech_hijack_service tech_run_key –>|nutzt auch| tech_hijack_service %% Operators for logical grouping (optional) op_and1(("UND")) class op_and1 operator %% Example logical flow grouping action_loader –>|führt zu| op_and1 op_and1 –>|geht weiter mit| tech_proc_discovery

Angriffsfluss

Simulation

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden

Benachrichtigen Sie mich

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten