Einblick in Kimsukys CHM-Handwerk: Mehrstufige Ausführung und selektive Payload-Auslieferung
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Kimsuky verwendet bösartige Kompilierte HTML (.chm) Dateien als anfängliche Köder, um eine mehrstufige Infektionskette auszulösen. Der Betrieb missbraucht native Windows-Dienstprogramme wie PowerShell, certutil und wscript , um das System zu profilieren, Persistenz durch geplante Aufgaben zu etablieren und gesammelte Daten zu exfiltrieren. Der Akteur wendet auch selektive Nutzlastlieferung an, indem die finale betriebliche Komponente erst bereitgestellt wird, nachdem bestimmte Umgebungs- oder Verhaltensbedingungen erfüllt sind.
Untersuchung
Der Forscher analysierte ein verdächtiges CHM-Beispiel und rekonstruierte dessen Ausführungskette, die aus mehreren VBScript- und PowerShell-Stufen bestand. Durch Wiederholen von Netzwerk-Anfragen und Tests von verschiedenen Proxy-Standorten entdeckte der Forscher ein selektives Antwortmodell, bei dem die finale Nutzlast nicht in die Sandbox-Umgebung geliefert wurde. Die Untersuchung verband auch die Infrastruktur mit bekannter Kimsuky-Aktivität durch Favicons-Ähnlichkeiten und Webserver-Fingerabdrücke.
Minderung
Organisationen sollten die Vorfahren verdächtiger Prozesse überwachen, insbesondere Fälle, in denen hh.exe or wscript.exe PowerShell oder cmd.exe aufrufen. Die Ausführung von Skriptinhalten aus benutzerbeschreibbaren Orten wie dem Internet-Cache einzuschränken kann helfen, Persistenz zu blockieren. Das Überwachen unautorisierter Änderungen an den Internet Explorer und Microsoft Edge Registrierungs-Einstellungen kann auch die Erkennung von Hostmanipulationen verbessern.
Reaktion
Wenn diese Aktivität entdeckt wird, isolieren Sie das betroffene Endgerät sofort, um zusätzlichen Befehl-und-Kontrollverkehr zu verhindern. Führen Sie Speicherforensik durch, um jegliche dateilose PowerShell-Nutzlasten zu identifizieren, die in den Prozessspeicher geladen wurden. Überprüfen Sie geplante Aufgaben auf verdächtige Einträge wie Edge Updater und überprüfen Sie das %USERPROFILE%Links Verzeichnis auf irreführende .dat or .ini Dateien.
Angriffsfluss
Erkennungen
Verdächtige Nutzung von Invoke-RestMethod (via powershell)
Ansicht
Mögliche Aufzählung von Antivirus oder Firewall-Software (via process_creation)
Ansicht
Mögliche Systemaufzählung (via cmdline)
Ansicht
LOLBAS WScript / CScript (via process_creation)
Ansicht
Verwendung von Certutil für Datenkodierung und Zertifikatoperationen (via cmdline)
Ansicht
Verdächtige Dateidekodierung mit certutil.exe [Windows Sysmon]
Ansicht
Kimsuky PowerShell Bösartige Aktivität via CHM Datei [Windows PowerShell]
Ansicht
Kimsuky CHM-Dateiausführungsanalyse [Windows Prozess-Erstellung]
Ansicht
Simulationsausführung
Voraussetzung: Der Telemetrie- & Baseline-Vorabcheck muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die exakte Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Der Angreifer beabsichtigt, die initiale Ausführung über eine Waffe einzuleiten
.chmDatei. Sobald der Benutzer die Datei öffnet, verwendet die kompilierte HTML-Hilfedatei ein eingebettetes Skript, umhh.exeaufzurufen. Um standardmäßige Erkennungen zu umgehen, verwendet der Akteurhh.exe, umPowerShellzu starten, wodurch die Shell-Ausführung effektiv unter einem legitimen Windows-Hilfeprozess maskiert wird. Das Ziel ist es, einen Fußabdruck zu schaffen, indem ein versteckter PowerShell-Befehl ausgeführt wird, der eine Sekundärstufen-Nutzlast herunterladen kann. -
Regressionstestskript:
# Simulation der Kimsuky CHM-zu-PowerShell-Ausführungskette # Dieses Skript simuliert das Verhalten, bei dem hh.exe von der Regel erkannte PowerShell aufruft. Write-Host "[+] Starten der Kimsuky CHM Simulation..." -ForegroundColor Cyan # 1. Simuliert hh.exe, das PowerShell aufruft (Stimmt mit selection_hh überein) Write-Host "[+] Regel auslösen: hh.exe, das PowerShell aufruft..." -ForegroundColor Yellow Start-Process "hh.exe" -ArgumentList "powershell.exe -NoProfile -ExecutionPolicy Bypass -Command Write-Output 'Simulation Erfolg'" # 2. Simuliert wscript.exe, das VBScript ausführt (Stimmt mit selection_wscript überein) Write-Host "[+] Regel auslösen: wscript.exe mit VBScript-Flag..." -ForegroundColor Yellow $tempVBS = "$env:TEMPtest_sim.vbs" "WScript.Echo ""Simulation Erfolg""" | Out-File -FilePath $tempVBS -Encoding ascii Start-Process "wscript.exe" -ArgumentList "/e:vbscript $tempVBS" # 3. Simuliert cmd.exe mit verborgenem Fenster (Stimmt mit selection_cmd überein) Write-Host "[+] Regel auslösen: cmd.exe mit verborgener Fensterstil..." -ForegroundColor Yellow Start-Process "cmd.exe" -ArgumentList "/c PowerShell -WindowStyle Hidden -Command Write-Output 'Simulation Erfolg'" Write-Host "[+] Simulationsbefehle versandt." -ForegroundColor Green -
Bereinigungsbefehle:
# Temporäre Dateien löschen, die während der Simulation erstellt wurden Remove-Item -Path "$env:TEMPtest_sim.vbs" -ErrorAction SilentlyContinue Write-Host "[+] Bereinigung abgeschlossen." -ForegroundColor Cyan