Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine Kampagne, die im April 2026 beobachtet wurde, nutzte Spear-Phishing-E-Mails mit bösartigen LNK-Dateien oder ausführbaren Downloads, die auf Google Cloud Storage gehostet wurden. Die zugestellte Nutzlast installierte einen Kernel-Treiber namens PoisonX zusammen mit einem modularen RAT namens 10FXRAT, wodurch die Angreifer Kernel-Privilegien erlangten, Sicherheitswerkzeuge deaktivierten und bösartige Aktivitäten verschleierten. Spätere Varianten adoptierten auch BYOVD-Taktiken durch legitime signierte Treiber wie EneIo64.sys and procexp.sys. Die Aktivitäten wurden beobachtet, wie sie auf Organisationen in Japan und China abzielten.
Untersuchung
Der Bericht geht die gesamte Ausführungskette durch, beginnend mit einem LNK-basierten Downloader, der curl.exeaufruft, und sich dann zu PXDropper-Komponenten bewegt, die den PoisonX-Treiber und 10FXRAT-Module bereitstellen. Es werden auch die treiberbasierten IOCTL-Routinen beschrieben, die verwendet werden, um sicherheitsbezogene Prozesse zu beenden und Netzwerkverkehr zu verbergen. Forscher dokumentierten Anti-Analyse-Checks, Registrierungsänderungen, Serviceerstellung und Persistenzmethoden und listeten fest codierte Command-and-Control-IP-Adressen auf, die mit der Operation in Verbindung stehen.
Abwehr
Verteidiger sollten die Installation unerwarteter Treiberaktivitäten überwachen, insbesondere solcher, die unsigniert oder verdächtig signiert sind, sowie die Erstellung von Diensten mit zufälligen HID-ähnlichen Dateinamen. Die Erkennung sollte auch Registrierungsänderungen abdecken, die Microsoft Defender-Ausschlüsse hinzufügen oder Defender-Dienste deaktivieren. Ausgehender Datenverkehr zu den identifizierten Command-and-Control-IP-Bereichen sollte blockiert werden, und Netzüberwachung sollte nach dem 0x58463031 Magischen Wert in TCP-Nutzlasten suchen.
Reaktion
Wenn diese Aktivitäten entdeckt werden, isolieren Sie den betroffenen Endpunkt sofort, entladen Sie den PoisonX-Treiber, wo möglich, und beenden Sie alle 10FXRAT-Prozesse. Stellen Sie geänderte Registrierungseinstellungen wieder her, aktivieren Sie Microsoft Defender-Schutzmechanismen erneut und ersetzen Sie modifizierte Dateien durch saubere Versionen aus vertrauenswürdigen Quellen. Eine vollständige forensische Untersuchung sollte dann durchgeführt werden, um Persistenzmechanismen zu identifizieren und den Datenverkehr zu den bekannten Command-and-Control-Servern zu überprüfen.
"graph TB %% Klassendefinitionen classDef action fill:#ffcc99 classDef tool fill:#99ff99 classDef malware fill:#ff9966 classDef process fill:#ccccff %% Knoten email["<b>Werkzeug</b> – <b>Name</b>: Phishing-E-Mail<br/><b>Beschreibung</b>: Zielgerichtete E-Mail mit bösartigem Google Cloud Storage-Link"] class email tool initial_access_phishing["<b>Aktion</b> – <b>T1566.002 Spearphishing-Link</b><br/>Angreifer sendet E-Mail mit einem Link zu einer bösartigen LNK- oder EXE-Datei"] class initial_access_phishing action lNK_file["<b>Werkzeug</b> – <b>Name</b>: Bösartige LNK-Verknüpfung<br/><b>Beschreibung</b>: Verknüpfung, die curl.exe ausführt, um den Dropper abzurufen"] class lNK_file tool curl_download["<b>Prozess</b> – <b>Name</b>: curl.exe<br/><b>Aktion</b>: Lädt PXDropper-Nutzlast vom Remote-Server herunter"] class curl_download process pxdropper["<b>Malware</b> – <b>Name</b>: PXDropper<br/><b>Beschreibung</b>: Dropper, der Persistenz einrichtet und Privilegieneskalation vorbereitet"] class pxdropper malware persistence_service["<b>Aktion</b> – <b>T1547.009 Verknüpfungsmodifizierung</b><br/>Erstellt oder modifiziert eine Verknüpfung, um Autostart zu erreichen"] class persistence_service action registry_run["<b>Aktion</b> – <b>T1547.001 Registrierungs-Run-Keys/Startup-Ordner</b><br/>Fügt einen Run-Registrierungseintrag zur automatischen Ausführung hinzu"] class registry_run action service_creation["<b>Aktion</b> – <b>T1543.003 Systemprozess erstellen oder modifizieren: Windows-Dienst</b><br/>Installiert einen Windows-Dienst, um den Dropper beim Boot zu starten"] class service_creation action priv_esc_exploit["<b>Aktion</b> – <b>T1068 Ausnutzung zur Privilegieneskalation</b><br/>Nutzt eine Schwachstelle aus, um einen signierten Treiber zu laden"] class priv_esc_exploit action driver_install["<b>Malware</b> – <b>Name</b>: PoisonX Treiber<br/><b>Beschreibung</b>: Signierter Kerntreiber, der als Dienst geladen wird (BYOVD)"] class driver_install malware kernel_privilege["<b>Aktion</b> – <b>T1547.006 Boot oder Logon-Autostart-Ausführung</b><br/>Kerntreiber erteilt SYSTEM-Level-Privilegien"] class kernel_privilege action defense_evasion["<b>Aktion</b> – <b>T1497.001 Virtualisierungs-/Sandbox-Ausweichung</b><br/>Führt Überprüfungen auf Analyseumgebungen durch"] class defense_evasion action rootkit["<b>Aktion</b> – <b>T1014 Rootkit</b><br/>Hakt Kernel-APIs, um Prozesse und Netzwerkverkehr zu verbergen"] class rootkit action discovery_process["<b>Aktion</b> – <b>T1057 Prozessentdeckung</b><br/>Enumeriert laufende Prozesse auf dem Host"] class discovery_process action discovery_security["<b>Aktion</b> – <b>T1518.001 Sicherheitssoftware-Erkennung</b><br/>Erkennt installierte Sicherheitsprodukte"] class discovery_security action defense_impair["<b>Aktion</b> – <b>Verteidigungsbeeinträchtigung</b><br/>Verwendet Treiber-IOCTL-Befehle, um Sicherheitsproduktprozesse zu beenden"] class defense_impair action c2_ratat["<b>Malware</b> – <b>Name</b>: 10FXRAT<br/><b>Beschreibung</b>: Fernzugriffstool, das eine interne SOCKS5-Proxy erstellt"] class c2_ratat malware c2_communication["<b>Aktion</b> – <b>T1219 Fernzugriffswerkzeuge</b><br/>Richtet verschlüsselten C2-Kanal mit dem Angreifer ein"] class c2_communication action proxy_setup["<b>Aktion</b> – <b>T1090 Proxy</b><br/>Richtet internen SOCKS5-Tunnel für Verkehrsweiterleitung ein"] class proxy_setup action additional_mods["<b>Aktion</b> – <b>Zusätzliche Fähigkeiten</b><br/>Modulare Plugins bieten Keylogging, Anmeldeinformationen-Diebstahl und Krypto-Wallet-Ernte"] class additional_mods action %% Verbindungen, die den Angriffsablauf zeigen email –>|liefert| initial_access_phishing initial_access_phishing –>|liefert| lNK_file lNK_file –>|führt aus| curl_download curl_download –>|lädt herunter| pxdropper pxdropper –>|erstellt| persistence_service persistence_service –>|registriert| service_creation service_creation –>|startet| pxdropper pxdropper –>|fügt hinzu| registry_run pxdropper –>|verwendet| priv_esc_exploit priv_esc_exploit –>|installiert| driver_install driver_install –>|erteilt| kernel_privilege kernel_privilege –>|ermöglicht| rootkit rootkit –>|führt aus| defense_evasion rootkit –>|führt aus| discovery_process rootkit –>|führt aus| discovery_security discovery_process –>|ermöglicht| defense_impair pxdropper –>|wirft ab| c2_ratat c2_ratat –>|verwendet| c2_communication c2_communication –>|richtet ein| proxy_setup proxy_setup –>|unterstützt| additional_mods "
Angriffsablauf
Erkennungen
Verdächtige CURL-Nutzung (via cmdline)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansehen
Deaktivierung des Windows Defender-Schutzes (via registry_event)
Ansehen
Mögliche bösartige LNK-Datei mit doppelter Erweiterung (via cmdline)
Ansehen
Die Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (via cmdline)
Ansehen
Aufruf verdächtiger .NET-Klassen/Methoden von Powershell-Befehlszeile (via process_creation)
Ansehen
Ausführung von Systemprozessen aus untypischen Pfaden (via process_creation)
Ansehen
Aufruf verdächtiger .NET-Methoden von Powershell (via powershell)
Ansehen
Verdächtige Änderungen an den Windows Defender-Einstellungen (via powershell)
Ansehen
Google Api Storage Domain wurde durch ungewöhnlichen Prozess aufgelöst (via dns_query)
Ansehen
IOCs (HashSha256) zur Erkennung: PoisonX treiberbasierte Angriffskampagne, die japanische Organisationen ins Visier nimmt, Teil 2
Ansehen
IOCs (HashSha256) zur Erkennung: PoisonX treiberbasierte Angriffskampagne, die japanische Organisationen ins Visier nimmt, Teil 1
Ansehen
IOCs (SourceIP) zur Erkennung: PoisonX treiberbasierte Angriffskampagne, die japanische Organisationen ins Visier nimmt
Ansehen
IOCs (DestinationIP) zur Erkennung: PoisonX treiberbasierte Angriffskampagne, die japanische Organisationen ins Visier nimmt
Ansehen
Erkennung von 10FXRAT C2-Kommunikation [Windows-Netzwerkverbindung]
Ansehen
Erkennung von 10FXRAT und Sicherheitsdienst-Deaktivierungsbefehlen [Windows-Prozesserstellung]
Ansehen
Malware-Persistenz über Windows Defender- und Run-Key-Änderungen [Windows-Registrierungsereignis]
Ansehen
Simulation Ausführung
Voraussetzung: Die Telemetrie- & Baseline-Vorflugprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Der Angreifer injiziert zuerst einen benutzerdefinierten Shellcode-Payload inusoclient64.exeum einen vertrauenswürdigen Prozess-Fuß zu fassen (T1574.009). Mit dem gehijackten Prozess führen sie einen PowerShell-One-Liner aus, der den bösartigen Nutzlastordner zur Ausschlussliste von Windows Defender hinzufügt (T1564.012). Schließlich deaktivieren sie Kern-Sicherheitsdienste mit einemcmd.exeAufruf, der Windows Defender, Windows Security Center und jegliche Drittanbieter-AV stoppt (T1547.001 Persistenz durch Dienstunterbrechung).- Prozesshollowing / Injektion – simulieren Sie, indem sie
usoclient64.exemit einem PowerShell-Skript, das schläft (repräsentiert injizierten Code), starten. - Defender-Ausschluss hinzufügen – PowerShell-Befehl, der genau mit der Regel übereinstimmt.
- Sicherheitsdienste stoppen –
cmd.exeEinzeiler, der die Dienste stoppt.
- Prozesshollowing / Injektion – simulieren Sie, indem sie
-
Regressions-Testskript:
# ------------------------------------------------------------------------- # Simulationsskript – löst die Sigma-Regel für 10FXRAT-ähnliches Verhalten aus # ------------------------------------------------------------------------- # 1. Simulieren Sie in einer usoclient64.exe-Injektion (Prozess-Hollowing-Platzhalter) $usoclient = "$env:SystemRootSystem32usoclient64.exe" Write-Host "[*] Starten von usoclient64.exe (simulierte Injektion)..." Start-Process -FilePath $usoclient -ArgumentList "/RunDll32" -WindowStyle Hidden # 2. PowerShell-Befehl, der einen Defender-Ausschluss hinzufügt (entspricht Regel) Write-Host "[*] Hinzufügen des Windows Defender-Ausschlusspfads..." powershell.exe -NoP -NonI -W Hidden -C "Add-MpPreference -ExclusionPath 'C:TempMalicious'" # 3. Deaktivieren von Sicherheitsdiensten über cmd (entspricht Regel) Write-Host "[*] Sicherheitsdienste werden gestoppt..." cmd.exe /c "net stop WinDefend /y >nul 2>&1 & net stop wscsvc /y >nul 2>&1 & net stop Sense /y >nul 2>&1" Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie Warnmeldungen im SIEM." -
Bereinigungsbefehle:
# ------------------------------------------------------------------------- # Bereinigung – stellt normale Sicherheitslage wieder her # ------------------------------------------------------------------------- # Entfernen Sie den Defender-Ausschluss powershell.exe -NoP -NonI -W Hidden -C "Remove-MpPreference -ExclusionPath 'C:TempMalicious'" # Neustart der gestoppten Dienste cmd.exe /c "net start WinDefend >nul 2>&1 & net start wscsvc >nul 2>&1 & net start Sense >nul 2>&1" # Optional: Beenden Sie die injizierte usoclient64.exe-Instanz Get-Process -Name usoclient64 -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "[+] Bereinigung abgeschlossen."