Operation Poisson: Eine komplette Cyberkriminelle Operation analysieren
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein wenig fähiger Bedrohungsakteur, bekannt als „Poisson“, führte eine mehrstufige Kampagne zum Diebstahl von Anmeldedaten durch, die auf französische Individuen und ein kleines Unternehmen abzielte. Der Angreifer nutzte Havoc C2, einen maßgeschneiderten Python-Keylogger, und baute widerstandsfähigen Zugang durch OpenSSH und ein Tailscale VPN-Mesh auf. Diese Einrichtung ermöglichte es dem Betreiber, den Zugang zu behalten, selbst nachdem die Hauptkommandokontroll-Infrastruktur gestört wurde.
Untersuchung
Cato CTRL führte eine umfassende Nachbesprechung des Vorfalls durch, die 33 Tage der Angreiferaktivität und 339 aufgezeichnete Befehle umfasste. Die Untersuchung enthüllte die Nutzung von Gratisdiensten wie Backblaze B2, DuckDNS und IONOS, sowie ein Persistenzdesign, das darauf ausgelegt ist, C2-Abschaltungen zu überstehen. Forscher erholten zudem das SSH-Playbook des Betreibers und Opfer-SSH-Schlüssel, die fälschlicherweise in einem öffentlichen Speicherbucket offengelegt wurden.
Minderung
Verteidiger sollten Alarme für die Bereitstellung von OpenSSH-Servern auf Arbeitsstationen generieren und die Tailscale-VPN-Aktivität auf Systemen, auf denen dies nicht erwartet wird, überwachen. Organisationen müssen auch SSH-Reversetunnel erkennen und verdächtige geplante Aufgaben verfolgen, die mit erhöhten Privilegien ausgeführt werden. Effektive Schadensbegrenzung muss über die Entfernung des C2-Zugangs hinausgehen und die Beseitigung von auf Mesh-VPN basierenden Persistenzmechanismen einschließen.
Reaktion
Sobald diese Aktivität identifiziert wird, sollten Sicherheitsteams sofort alle aktiven Tailscale- oder SSH-Mesh-Verbindungen aufspüren und demontieren. Ermittler sollten alle geplanten Aufgaben und Startverknüpfungen auf unbefugte Persistenz überprüfen. Ein vollständiger Anmeldeinformations-Reset wird dringend für alle Benutzer empfohlen, da die Verwendung eines Keyloggers eine hohe Wahrscheinlichkeit eines Anmeldeinformationskompromisses erzeugt.
Angriffsablauf
Erkennungen
Dynamischer DNS-Dienst wurde möglicherweise kontaktiert (via DNS)
Ansehen
Erkennung von Anmeldedatendiebstahl und Nutzlastübertragung über Backblaze B2 Buckets [Windows Sysmon]
Ansehen
Persistenter Netzwerkzugriff über Tailscale VPN und SSH-Reversetunnel [Windows-Netzwerkverbindung]
Ansehen
Ausführung des Havoc C2-Frameworks mit PowerShell zur Einrichtung eines SSH-Tunnels [Windows-Powershell]
Ansehen
Privilegieneskalation und Fernwerkzeugausführung durch Poisson [Windows-Prozesserstellung]
Ansehen
Simulation-Ausführung
Voraussetzung: Der Telemetrie- und Basislinien-Vorab-Check muss bestanden haben.
Grundlage: Dieser Abschnitt beschreibt die genaue Ausführung der Taktik-Technik-Prozedur (TTP) des Gegners, die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffs-Narrativ & Befehle: Der Gegner, der die Gruppe „Poisson“ simuliert, zielt darauf ab, einen Fernzugriffshalt zu etablieren. Zuerst stellen sie eine Nutzlast bereit, indem sie eine Datei mit dem Namen
thales.zipin einem temporären Verzeichnis erstellen. Um Privilegien zu erhöhen, führen sie einen PowerShell-Befehl unter Verwendung desRunAsVerbs aus, das eine gängige Methode zur Auslösung von UAC-Eingabeaufforderungen ist. Schließlich führen sierustdesk.exeaus, um einen sekundären Fernkommunikationskanal über den Desktop zu bieten. Diese Sequenz spiegelt das spezifische Verhaltensmuster wider (UAC-Eskalation + RustDesk + spezifische Zip-Datei), das in der Erkennungsregel definiert ist. -
Regressionstest-Skript:
# Simulationsskript: Poisson TTP-Emulation # 1. Bereitstellen der 'thales.zip'-Datei (erforderlich durch Erkennungslogik) $targetZip = "$env:TEMPthales.zip" New-Item -Path $targetZip -ItemType File -Force Write-Host "[+] Bereitgestellt $targetZip" # 2. Simuliere UAC-Erhöhung über PowerShell (erforderlich durch Erkennungslogik) # Hinweis: Dies wird in einer realen Umgebung einen UAC-Aufforderung auslösen. Write-Host "[+] Versuche UAC-Erhöhung über Start-Process -Verb RunAs..." Start-Process powershell.exe -ArgumentList "-Command Write-Host 'Erhöhung versucht'" -Verb RunAs # 3. Simuliere Ausführung von RustDesk (erforderlich durch Erkennungslogik) # Wir werden ein Dummy-RustDesk.exe im Temp-Ordner erstellen, um die Erkennung ohne reale Installation auszulösen $rustdeskPath = "$env:TEMPrustdesk.exe" New-Item -Path $rustdeskPath -ItemType File -Force Write-Host "[+] Simulierte Ausführung von RustDesk bei $rustdeskPath" Start-Process $rustdeskPath -
Bereinigungsbefehle:
# Simulation von Artefakten bereinigen Remove-Item -Path "$env:TEMPthales.zip" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Bereinigung abgeschlossen."