Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Huntress dokumentierte einen aktiven Eindringungsversuch, bei dem Angreifer öffentlich verfügbare Privilegienerweiterungs-Tools namens BlueHammer, RedSun und UnDefend nutzten. Die Operation begann mit kompromittierten FortiGate SSL VPN-Anmeldedaten, die den Eindringlingen Zugriff auf die Umgebung ermöglichten und es ihnen erlaubten, bösartige Binärdateien in benutzerbeschreibbare Verzeichnisse zu bringen. Einmal drinnen, führten sie Aufklärungskommandos aus und setzten ein maßgeschneidertes Go-basiertes Tunneling-Tool namens BeigeBurrow ein. Der Fall zeigt, wie Proof-of-Concept-Exploitation-Tools schnell von der öffentlichen Veröffentlichung in aktive Eindringungsaktivitäten übergehen können.
Untersuchung
Die Untersuchung verfolgte die bösartige Aktivität bis zu kompromittierten FortiGate SSL VPN-Sitzungen zurück, die von IP-Adressen in Russland, Singapur und der Schweiz ausgingen. Analysten fanden Binärdateien inklusive FunnyApp.exe, RedSun.exe, undef.exe, und ein auf Go-basierender Tunneling-Agent namens agent.exe gespeichert in Benutzer Bilder and Downloads Verzeichnissen. Die Angreifer führten auch Hands-on-Keyboard-Befehle wie whoami /priv, cmdkey /list, und net group aus, um Privilegien und Anmeldedaten aufzulisten. Der Tunneling-Agent etabliert einen yamux-basierten Reverse-Tunnel zu staybud.dpdns.org über Port 443, um den Fernzugriff aufrechtzuerhalten.
Minderung
Verteidiger sollten Ausführungen aus ungewöhnlichen benutzerbeschreibbaren Pfaden überwachen, die bekannten Binärnamen erkennen und Microsoft Defender-Meldungen wie Exploit:Win32/DfndrPEBluHmr.BZ und EICAR-bezogene Erkennungen untersuchen. VPN-Protokolle sollten auf verdächtige Anmeldungen aus weiträumig getrennten Geographien überprüft werden, und jede unzuverlässige Quell-IP sollte blockiert werden. Sicherheitsteams sollten auch Endpunkterkennungen für BlueHammer-, RedSun- und UnDefend-Aktivitäten bereitstellen und Priorität bei der Behebung von CVE-2026-33825.
Reaktion
Wenn diese Aktivität erkannt wird, isolieren Sie sofort den betroffenen Endpunkt, beenden Sie den Tunneling-Agenten und entfernen Sie alle vorbereiteten Binärdateien vom Host. Setzen Sie kompromittierte VPN-Anmeldedaten zurück und erzwingen Sie Multi-Faktor-Authentifizierung für den Fernzugriff. Vorfallresponder sollten außerdem eine vollständige Überprüfung auf Anmeldedaten-Dumping durchführen, das Microsoft-Update für CVE-2026-33825anwenden und in der gesamten Umgebung nach verbleibenden Spuren der Privilegienerweiterungs-Tools suchen.
"graph TB %% Klassen Definitionen classDef action fill:#99ccff classDef builtin fill:#ffcc99 classDef malware fill:#ccffcc %% Knoten u2013 Aktionen action_initial_access["<b>Aktion</b> – <b>T1078 Gültige Konten</b><br/>Kompromittierte FortiGate SSL VPN-Anmeldedaten bieten legitimen Netzwerkzugang."] class action_initial_access action action_execution["<b>Aktion</b> – Ausführung von benutzerbeschreibbaren Pfaden<br/>In Bilder und Downloads platzierte Binärdateien werden ausgeführt."] class action_execution action action_priv_esc_exploit["<b>Aktion</b> – <b>T1068 Ausnutzung zur Privilegienerweiterung</b><br/>BlueHammer nutzt eine TOCTOU-Schwachstelle in Windows Defender aus, um einen Handler für die SAM-Datenbank zu erhalten und auf SYSTEM zu erhöhen."] class action_priv_esc_exploit action action_priv_esc_abuse["<b>Aktion</b> – <b>T1548 Missbrauch von Erhöhungskontrollmechanismen</b><br/>RedSun nutzt eine Race-Bedingung im Cloud-Datei-Revisionsfluss von Defender, um eine bösartige ausführbare Datei in C:WindowsSystem32 zu schreiben und SYSTEM-Rechte zu erlangen."] class action_priv_esc_abuse action action_credential_dump["<b>Aktion</b> – <b>T1003 Betriebssystem-Anmeldedaten-Dumping</b><br/>BlueHammer liest den SAM-Zweig aus einer Volume-Schattenkopie, um NTLM-Passworthashes zu extrahieren."] class action_credential_dump action action_pass_the_hash["<b>Aktion</b> – <b>T1550.002 Pass the Hash</b><br/>Extrahierte Hashes sind für laterale Bewegungen mittels Pass-the-Hash bestimmt (wird nicht als erfolgreich beobachtet)."] class action_pass_the_hash action action_defense_evasion["<b>Aktion</b> – <b>T1211 Ausnutzung zur Umgehung der Verteidigung</b><br/>UnDefend sperrt Defender-Definitionsdateien und blockiert Neustarts des Dienstes, was das Antivirus vorübergehend deaktiviert."] class action_defense_evasion action action_c2["<b>Aktion</b> – <b>T1071.001 Webprotokolle</b><br/>BeigeBurrow-Agent erstellt einen persistenten Reverse-HTTPS-Tunnel unter Verwendung der yamux-Multiplexing-Bibliothek."] class action_c2 action %% Knoten u2013 Malware / Tools malware_funnyapp["<b>Malware</b> – <b>Name</b>: FunnyApp.exe<br/><b>Speicherort</b>: BenutzerBilder"] class malware_funnyapp malware malware_redsun["<b>Malware</b> – <b>Name</b>: RedSun.exe<br/><b>Speicherort</b>: BenutzerDownloads"] class malware_redsun malware malware_undef["<b>Malware</b> – <b>Name</b>: undef.exe<br/><b>Speicherort</b>: BenutzerDownloads"] class malware_undef malware malware_z["<b>Malware</b> – <b>Name</b>: z.exe<br/><b>Speicherort</b>: BenutzerDownloads"] class malware_z malware malware_beigeburrow["<b>Malware</b> – <b>Name</b>: BeigeBurrow-Agent (agent.exe)"] class malware_beigeburrow malware tool_bluehammer["<b>Tool</b> – <b>Name</b>: BlueHammer<br/><b>Beschreibung</b>: Nutzt Defender TOCTOU zum Erfassen des SAM-Handles und Credentials Dumping."] class tool_bluehammer builtin tool_redsun["<b>Tool</b> – <b>Name</b>: RedSun<br/><b>Beschreibung</b>: Schreibt bösartige ausführbare Datei nach C:WindowsSystem32 über Defender Race Condition."] class tool_redsun builtin tool_undefend["<b>Tool</b> – <b>Name</b>: UnDefend<br/><b>Beschreibung</b>: Sperrt AV-Definitionsdateien und verhindert Neustarts des Defender-Dienstes."] class tool_undefend builtin %% Verbindungen u2013 Angriffsfluss action_initial_access –>|führt| action_execution action_execution –>|führt aus| malware_funnyapp action_execution –>|führt aus| malware_redsun action_execution –>|führt aus| malware_undef action_execution –>|führt aus| malware_z malware_redsun –>|verwendet| tool_redsun malware_funnyapp –>|legt ab| tool_bluehammer action_priv_esc_exploit –>|verwendet| tool_bluehammer action_priv_esc_exploit –>|führt| action_priv_esc_abuse action_priv_esc_abuse –>|verwendet| tool_redsun action_priv_esc_abuse –>|ermöglicht| action_credential_dump action_credential_dump –>|erzeugt| action_pass_the_hash action_defense_evasion –>|verwendet| tool_undefend action_c2 –>|wird etabliert durch| malware_beigeburrow "
Angriffsfluss
Erkennungen
Mögliche Konto- oder Gruppenauflistung/Manipulation (über cmdline)
Anzeige
Kurzdateiname (über cmdline)
Anzeige
Möglicher Kontakt zu dynamischem DNS-Dienst (über dns)
Anzeige
IOCs (HashSha256) zur Erkennung: Nightmare-Eclipse Tooling geht von öffentlichem PoC zu realen Eindringungsversuchen über
Anzeige
IOCs (SourceIP) zur Erkennung: Nightmare-Eclipse Tooling geht von öffentlichem PoC zu realen Eindringungsversuchen über
Anzeige
IOCs (DestinationIP) zur Erkennung: Nightmare-Eclipse Tooling geht von öffentlichem PoC zu realen Eindringungsversuchen über
Anzeige
Erkennung von unbefugtem Zugriff durch verdächtige SSL VPN-Quell-IP-Adressen [VPN-Protokolle]
Anzeige
Erkennung von BeigeBurrow-Tunneling-Aktivität [Windows-Netzwerkverbindung]
Anzeige
Erkennung von Hands-on-Keyboard-Aufklärungskommandos [Windows-Prozesserstellung]
Anzeige
Simulation Ausführung
Voraussetzung: Der Telemetrie- & Basisprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Umsetzung der gegnerischen Technik (TTP), um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennung erwartet wird.
-
Angriffsbericht & Kommandos:
Ein Angreifer, der sich auf einem Windows-Host etabliert hat, möchte das Berechtigungsniveau des kompromittierten Kontos überprüfen und gespeicherte Anmeldeinformationen sowie Domänengruppen auflisten, um sich seitlich zu bewegen. Um unentdeckt zu bleiben, verwendet der Angreifer native Windows-Binärdateien (whoami,cmdkey,net) direkt von einem PowerShell-Eingabeaufforderung aus – und vermeidet dabei alle Drittanbieter-Tools, die zusätzliche Warnungen erzeugen würden. Jeder Befehl erstellt einen Prozess und erzeugt einen Event ID 4688-Datensatz mit der genauen Befehlszeile, nach der die Sigma-Regel sucht. -
Regressionstest-Skript:
# ----------------------------------------------------------------- # Simuliere Hands‑on‑Keyboard-Aufklärung zur Auslösung der Sigma-Regel # ----------------------------------------------------------------- # 1. Aktuelle Token-Berechtigungen anzeigen whoami /priv # 2. Gespeicherte Windows-Anmeldeinformationen auflisten cmdkey /list # 3. Domänengruppen auflisten (erfordert Domänenkontext) net group # Pause, um SIEM-Erfassung zu ermöglichen Start-Sleep -Seconds 10 -
Bereinigungskommandos:
# Entferne alle temporären Artefakte (keine erstellt) # PowerShell-Befehlshistorie für Stealth löschen (optional) Clear-History