SOC Prime Bias: Hoch

17 Apr 2026 14:40 UTC

Payouts-König nimmt den Ransomware-Thron ins Visier

Author Photo
SOC Prime Team linkedin icon Folgen
Payouts-König nimmt den Ransomware-Thron ins Visier
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Untersuchung

ThreatLabz analysierte mehrere Ransomware-Proben und entschlüsselte die benutzerdefinierten CRC- und FNV1-Hash-Funktionen, die von der Malware verwendet werden, und identifizierte die Persistenz durch geplante Aufgaben. Die Forscher dokumentierten auch das Verschlüsselungsschema, die angezielten Dateierweiterungen und den gesamten Ablauf der Ausführung. Ihre Analyse ergab eine eingebaute Liste sicherheitsrelevanter Prozesse, die die Ransomware versucht, mit Low-Level-Systemaufrufen vor der Verschlüsselung zu beenden. Zusätzliche Indikatoren, einschließlich Befehlszeilenparametern und Dateierweiterungsmustern, wurden direkt aus den Proben extrahiert, um die Erkennungs- und Jagdbemühungen zu unterstützen.

Minderung

Organisationen sollten die Multi-Faktor-Authentifizierung durchsetzen, Benutzer darin schulen, Social-Engineering-Versuche zu erkennen, und die Nutzung von Tools wie Microsoft Teams und Quick Assist auf verdächtige Aktivitäten überwachen. Verteidiger sollten auch bekannte ransomwarebezogene Dateierweiterungen blockieren und Endpoint-Erkennungen bereitstellen, die die Erstellung geplanter Aufgaben im Mozilla-Pfad sowie Aufrufe an SetFileInformationByHandle mit FileRenameInfo. Offline-Backups sollten regelmäßig gepflegt werden, und Schattenkopien sollten geschützt werden, um die Wiederherstellungsoptionen im Falle einer Verschlüsselung zu verbessern.

Reaktion

Wenn Payouts King-Aktivität erkannt wird, isolieren Sie das betroffene System umgehend und sammeln Sie sowohl flüchtigen Speicher als auch Festplattenabbilder zur forensischen Analyse. Ermittler sollten geplante Aufgaben auf Namen wie MozillaUpdateTask and MozillaElevateTasküberprüfen und dann nach den benutzerdefiniert CRC-geschützten Befehlszeilenargumenten und den einzigartigen verschlüsselten Dateierweiterungen suchen, die mit der Malware verbunden sind. Die Wiederherstellung sollte sich auf die Wiederherstellung von Daten aus verifizierten, sauberen Backups konzentrieren. Sicherheitsteams sollten auch die identifizierten Sample-Hashes an relevante Bedrohungsintelligenz-Plattformen übermitteln, um eine umfassendere Verfolgung und Verteidigung zu unterstützen.

Angriffsablauf

Simulation-Ausführung

Voraussetzung: Die Telemetrie- und Basislinien-Vorflugprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die erwartete Telemetrie zu generieren, die durch die Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:

    Der Angreifer, der sich initial Zugang verschafft hat, möchte sicherstellen, dass die Ransomware bei jedem Systemneustart ausgeführt wird und SYSTEM-Berechtigungen erlangt. Sie verwenden die native schtasks.exe -Binärdatei, um die Einführung von Drittanbieter-Tools zu vermeiden. Zuerst erstellen sie ein „UpdateTask“, das eine Dummy-Ransomware-Nutzlast ausführt, dann sofort eine „ElevateTask“, die einen privilegierten Prozess erzeugt, um die Infektionskette weiterzuführen. Beide Aufgaben werden unter dem Mozilla Namensraum platziert, um das bekannte Payouts King-Muster nachzubilden.

    1. Erstellen Sie UpdateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"
    2. Erstellen Sie ElevateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"
    3. Führen Sie ElevateTask sofort aus:

      schtasks.exe /run /tn MozillaElevateTask
    4. (Optional) Überprüfen Sie, ob Aufgaben vorhanden sind:

      schtasks.exe /query /tn Mozilla* /fo LIST /v

    Diese genauen Befehlszeilen passen zu den selection1 and selection2 Klauseln der Sigma-Regel und erfüllen die Bedingung: selection1 und selection2 und nicht Ausschluss.

  • Regressionstest-Skript:

    # Payouts King Persistenz durch geplante Aufgaben-Simulation
    # -------------------------------------------------
    # Schritt 1: Erstellen Sie die UpdateTask (Persistenz beim Booten)
    schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"
    
    # Schritt 2: Erstellen Sie die ElevateTask (Privilege Escalation Helper)
    schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"
    
    # Schritt 3: Führen Sie die ElevateTask sofort aus, um das zweite Erkennungsereignis zu generieren
    schtasks.exe /run /tn MozillaElevateTask
    
    # Schritt 4: Ausgabe Bestätigung (nicht erforderlich für Erkennung, für Betreiber Sichtbarkeit)
    Write-Host "Geplante Aufgaben erstellt und ElevateTask ausgeführt."
  • Bereinigung Befehle:

    # Entfernen Sie die für den Test erstellten Aufgaben
    schtasks.exe /delete /tn MozillaElevateTask /f
    schtasks.exe /delete /tn MozillaUpdateTask /f
    
    # Löschen Sie optional die Dummy-Nutzlast
    Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue