Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsakteure missbrauchen Google Forms, um bösartige ZIP-Archive zu verbreiten, die letztendlich den PureHVNC RAT installieren. Das Archiv beinhaltet eine Ablenkungs-PDF neben einem bösartigen ausführbaren Programm und einem DLL-Paar, das durch DLL-Hijacking ausgeführt wird. Einmal gestartet, führt die Malware eine Systemaufklärung durch, stiehlt Daten und etabliert Persistenz durch Registry-Änderungen und geplante Aufgaben.
Untersuchung
Forscher dokumentierten mehrere Kampagnenvarianten und bestätigten den Missbrauch von msimg32.dll für DLL-Hijacking. Sie beobachteten Persistenz durch den Miroupdate-Registry-Run-Schlüssel, stufenweise Ausführung, die letztendlich eine finale ZIP in ProgramData ablegt, und einen verschleierten Python-Loader, der Donut-Shellcode ausführt. Im Endstadium wird der PureHVNC RAT in SearchUI.exe injiziert.
Minderung
Benutzer sollten das Herunterladen von Dateien von nicht vertrauenswürdigen Google Forms Seiten oder verkürzten Links vermeiden. Die Legitimität von geteilten Formularen und URLs, besonders die, die über LinkedIn geliefert werden, sollte sorgfältig verifiziert werden. Organisationen sollten URL-Filterung und Endpunktschutz durchsetzen, um bekannte bösartige Dateien, Domains und Payload-Übertragungswege zu blockieren.
Reaktion
Erkennungsteams sollten auf das Vorhandensein von msimg32.dll, den Miroupdate-Run-Schlüssel, geplante Aufgaben mit base64 PowerShell und PureHVNC-Prozesseinspritzungsverhalten achten. Bösartige ZIP-Dateien sollten unter Quarantäne gestellt, Persistenzmechanismen entfernt und alle zugehörigen Infrastrukturdomaine blockiert werden.
"graph TB %% Klassendefinitionen classDef technique fill:#e6f5ff %% Knotendefinitionen tech_user_exec["<b>Technik</b> – <b>T1204.001 Benutzerausführung: Bösartiger Link</b><br/><b>Beschreibung</b>: Täuscht einen Benutzer dazu, auf einen bösartigen Link zu klicken, der zur Ausführung von bösartigem Code führt."] class tech_user_exec technique tech_dll_hijack["<b>Technik</b> – <b>T1574.001 Ausführungsfluss kapern: DLL</b><br/><b>Beschreibung</b>: Lädt eine bösartige DLL, indem der normale DLL-Suchpfad gekapert oder Techniken des Side-Loading verwendet werden."] class tech_dll_hijack technique tech_user_activity["<b>Technik</b> – <b>T1497.002 Virtualisierungs-/Sandbox-Ausweichen: Benutzeraktivitätsbasierte Prüfungen</b><br/><b>Beschreibung</b>: Überprüft auf echte Benutzeraktivität (Maus, Tastatur, Anzeige), um festzustellen, ob es in einer Sandbox oder virtuellen Umgebung ausgeführt wird."] class tech_user_activity technique tech_rc_scripts["<b>Technik</b> – <b>T1037.004 Start- oder Anmeldeskripte: RC-Skripte</b><br/><b>Beschreibung</b>: Modifiziert oder erstellt RC (Run-Control)-Skripte auf Unix-ähnlichen Systemen, um beim Boot oder Login Persistenz zu erlangen."] class tech_rc_scripts technique tech_scheduled_task["<b>Technik</b> – <b>T1053 Geplanter Task/Job</b><br/><b>Beschreibung</b>: Erstellt geplante Tasks oder Jobs, die bösartigen Code zu einem späteren Zeitpunkt oder regelmäßig ausführen."] class tech_scheduled_task technique tech_powershell["<b>Technik</b> – <b>T1059.001 Befehl und Skriptausführung: PowerShell</b><br/><b>Beschreibung</b>: Verwendet PowerShell, um Befehle, Skripte oder Payloads auf dem Opfersystem auszuführen."] class tech_powershell technique tech_compress["<b>Technik</b> – <b>T1027.015 Verschleierte Dateien oder Informationen: Kompression</b><br/><b>Beschreibung</b>: Komprimiert oder packt bösartige Dateien, um Erkennung zu vermeiden und die Größe zu reduzieren."] class tech_compress technique tech_dynamic_api["<b>Technik</b> – <b>T1027.007 Verschleierte Dateien oder Informationen: Dynamische API-Auflösung</b><br/><b>Beschreibung</b>: Löst API-Aufrufe zur Laufzeit auf, um die wahre Absicht des Codes vor statischer Analyse zu verbergen."] class tech_dynamic_api technique tech_process_injection["<b>Technik</b> – <b>T1055 Prozesseinspritzung</b><br/><b>Beschreibung</b>: Injiziert bösartigen Code in den Adressraum eines anderen laufenden Prozesses."] class tech_process_injection technique tech_process_hollow["<b>Technik</b> – <b>T1055.012 Prozesseinspritzung: Prozess-Hollowing</b><br/><b>Beschreibung</b>: Erstellt einen legitimen Prozess in einem angehaltenen Zustand und ersetzt dessen Speicher durch bösartigen Code."] class tech_process_hollow technique tech_sysinfo["<b>Technik</b> – <b>T1082 Systeminformationsgewinnung</b><br/><b>Beschreibung</b>: Sammelt Betriebssystem-, Hardware- und Konfigurationsdetails vom Opfer."] class tech_sysinfo technique tech_browser_info["<b>Technik</b> – <b>T1217 Browserinformationsgewinnung</b><br/><b>Beschreibung</b>: Zählt installierte Browser, Erweiterungen und Einstellungen auf, um weitere Anmeldeinformationen zu stehlen."] class tech_browser_info technique tech_browser_creds["<b>Technik</b> – <b>T1555.003 Anmeldeinformationen aus Passwortspeichern: Anmeldeinformationen aus Web-Browsern</b><br/><b>Beschreibung</b>: Extrahiert gespeicherte Benutzernamen und Passwörter aus Web-Browsern."] class tech_browser_creds technique tech_file_creds["<b>Technik</b> – <b>T1552.001 Ungeschützte Anmeldeinformationen: Anmeldeinformationen in Dateien</b><br/><b>Beschreibung</b>: Durchsucht das Dateisystem nach Anmeldedaten, die im Klartext oder schlecht geschützt gespeichert sind."] class tech_file_creds technique tech_private_keys["<b>Technik</b> – <b>T1552.004 Ungeschützte Anmeldeinformationen: Private Schlüssel</b><br/><b>Beschreibung</b>: Lokaliert private Schlüsseldateien, die verwendet werden können, um das Opfer zu imitieren."] class tech_private_keys technique tech_web_cookie["<b>Technik</b> – <b>T1550.004 Verwendung alternativer Authentifizierungsmaterialien: Web-Sitzungs-Cookie</b><br/><b>Beschreibung</b>: Verwendet geerntete Websession-Cookies wieder, um sich bei Web-Diensten ohne Passwörter zu authentifizieren."] class tech_web_cookie technique %% Verbindungen tech_user_exec –>|triggert| tech_dll_hijack tech_dll_hijack –>|führt aus| tech_user_activity tech_dll_hijack –>|verwendet| tech_rc_scripts tech_rc_scripts –>|erstellt| tech_scheduled_task tech_scheduled_task –>|führt aus| tech_powershell tech_powershell –>|packt| tech_compress tech_compress –>|enthält| tech_dynamic_api tech_compress –>|ermöglicht| tech_process_injection tech_process_injection –>|verwendet| tech_process_hollow tech_process_hollow –>|sammelt| tech_sysinfo tech_process_hollow –>|entdeckt| tech_browser_info tech_process_hollow –>|stiehlt| tech_browser_creds tech_process_hollow –>|stiehlt| tech_file_creds tech_process_hollow –>|stiehlt| tech_private_keys tech_process_hollow –>|nutzt| tech_web_cookie "
Angriffsfluss
Erkennungen
Mögliche Erstellung geplanter Tasks (via PowerShell)
Ansicht
Komprimierungsprogramm hat einen ungewöhnlichen Ordner durchlaufen (via cmdline)
Ansicht
Python-Ausführung aus verdächtigen Ordnern (via cmdline)
Ansicht
Die Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (via cmdline)
Ansicht
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansicht
IOCs (SourceIP) um zu erkennen: Das „Stellenangebot“ auf Google Forms könnte Ihr Gerät infizieren
Ansicht
IOCs (HashSha256) um zu erkennen: Das „Stellenangebot“ auf Google Forms könnte Ihr Gerät infizieren
Ansicht
IOCs (DestinationIP) um zu erkennen: Das „Stellenangebot“ auf Google Forms könnte Ihr Gerät infizieren
Ansicht
PureHVNC WMI-Abfragen-Erkennung [Windows Sysmon]
Ansicht
Verdächtige Ausführung von PDF und ZIP Extraktion mit Python-Skriptausführung [Windows Prozesserstellung]
Ansicht
Simulationsausführung
Voraussetzung: Die Telemetrie- & Baseline-Vorflugkontrolle muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifer-Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die erwartete Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffs-Narrativ & Befehle:
Ein Betreiber kompromittierte den Endpunkt und setzte PureHVNC ein. Das Tool startet einen versteckten PowerShell-Prozess, der drei verschiedene WMI-Abfragen ausführt, um Systeminformationen zu sammeln:SELECT Caption FROM Win32_OperatingSystem– sammelt OS-Version.SELECT * FROM AntiVirusProduct– listet installierte AV-Produkte auf.SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')– entdeckt angeschlossene Kameras und Bildgeräte.
Die Abfragen werden ausgeführt überwmicum mit legitimen administrativen Aktivitäten zu verschmelzen, aber die genauen Zeichenfolgen stimmen mit der Erkennungsregel übereinSelektionBlock.
-
Regressionstest-Skript:
# PureHVNC WMI-Abfragen-Simulation – löst die Erkennungsregel aus $queries = @( "SELECT Caption FROM Win32_OperatingSystem", "SELECT * FROM AntiVirusProduct", "SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')" ) foreach ($q in $queries) { # Verwende wmic, um die Abfrage auszuführen; wmic gibt die Ausgabe an stdout aus wmic /namespace:rootcimv2 path __Namespace where "Name='root'" call CreateInstance $q 2>$null # Erzwinge eine kurze Pause, um sicherzustellen, dass jedes Ereignis separat protokolliert wird Start-Sleep -Milliseconds 500 } -
Aufräumkommandos:
# Entferne alle temporären Dateien und beende verbleibende wmic-Prozesse Get-Process wmic -ErrorAction SilentlyContinue | Stop-Process -Force # Keine dauerhaften Artefakte werden durch das obige Skript erstellt.