Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
ResokerRAT ist ein neu identifizierter Remote-Access-Trojaner, der die Telegram Bot API für Command-and-Control verwendet. Er bleibt über einen Run-Registrierungseintrag bestehen und verfügt über Funktionen zur Erhöhung der Privilegien, zum Erfassen von Screenshots, zum Blockieren des Task-Managers und zum Abschwächen der UAC-Kontrollen. Um die Sichtbarkeit zu reduzieren, führt er PowerShell in einem versteckten Fenster aus und versucht, allgemeine Analysetools zu beenden. Die Erkennung kann auf seinem Mutex, wesentlichen Registrierungsänderungen und Telegram-basierten C2-Aktivitäten basieren.
Untersuchung
Die Analyse von Resoker hebt die Erstellung von Mutexen, Anti-Debug-Logik und aggressive Prozessbeendigungen hervor, die auf Sicherheits- und Analysewerkzeuge abzielen. Die Malware setzt einen Keyboard-Hook, akzeptiert eine bestimmte Anzahl von über Telegram übermittelten Befehlen und ändert Registrierungswerte, um den Task-Manager zu deaktivieren und das UAC-Verhalten zu lockern. Durch verdeckte PowerShell-Ausführung können Folge-Payloads abgerufen werden, um die modulare Erweiterung nach dem ersten Kompromiss zu unterstützen.
Minderung
Überwachen Sie den bekannten Mutex und alarmieren Sie bei Registrierungsänderungen, die mit DisableTaskMgr und UAC-bezogenen Schlüsseln verbunden sind. Beschränken oder blockieren Sie ausgehenden Zugriff auf Telegram API-Endpunkte, wo dies möglich ist, und erzwingen Sie die Anwendungskontrolle, um nicht autorisierte PowerShell-Ausführungen zu verhindern. Hostbasierte Erkennungen, die Keyboard-Hook-Verhalten und verdächtige PowerShell-Aktivitäten in versteckten Fenstern kennzeichnen, können die Auswirkungen weiter reduzieren.
Antwort
Wenn erkannt, isolieren Sie den Host, stoppen Sie den bösartigen Prozess und entfernen Sie den Run-Key-Persistenzeintrag. Bewahren Sie flüchtige Beweise (Mutex-Wert, Telegram-Bot/C2-Indikatoren, Befehlszeilentelemetrie) auf und führen Sie eine umfassende forensische Untersuchung auf zusätzliche Payloads oder Persistenz durch. Stellen Sie Registrierungsänderungen, die den Task-Manager und UAC betreffen, zurück, ändern Sie exponierte Anmeldeinformationen, falls Diebstahl vermutet wird, und wenden Sie wieder am wenigsten privilegierte Ausführungsrichtlinien an, um eine Wiederholung zu verhindern.
"graph TB %% Klassendefinitionen classDef action fill:#ffcc99 classDef technique fill:#99ccff classDef persistence fill:#ffd699 classDef command_and_control fill:#ffdd99 %% Knotendefinitionen action_execution["<b>Aktion</b> – <b>T1059.001 PowerShell</b>: Versteckten PowerShell-Befehl über Resoker.exe ausführen<br/><b>Technik</b>: Verwenden Sie PowerShell, um Befehle auszuführen"] class action_execution action tech_hide_window["<b>Technik</b> – <b>T1564.003 Verstecktes Fenster</b>: Befehl im versteckten Fenster ausführen, um die Benutzersichtbarkeit zu umgehen"] class tech_hide_window technique action_process_enum["<b>Aktion</b> – <b>T1057 Prozessentdeckung</b>: Laufende Prozesse enumerieren und Analysetools beenden"] class action_process_enum action action_keylogging["<b>Aktion</b> – <b>T1056.001 Keylogging</b>: Globalen Low-Level-Keyboard-Hook installieren, um Eingaben zu erfassen"] class action_keylogging action persistence_run_key["<b>Persistenz</b> – <b>T1037.005 Registry Run Keys</b>: HKCU Run-Registrierungseintrag für Autostart erstellen"] class persistence_run_key persistence defense_disable_taskmgr["<b>Technik</b> – <b>T1562.001 Task-Manager deaktivieren</b>: Registrierungswert DisableTaskMgr auf 1 setzen"] class defense_disable_taskmgr technique action_screen_capture["<b>Aktion</b> – <b>T1113 Bildschirmaufnahme</b>: Bildschirm über PowerShell erfassen und PNG-Dateien speichern"] class action_screen_capture action action_download["<b>Aktion</b> – <b>T1059.001 PowerShell</b> und <b>T1202 Indirekte Befehlsausführung</b>: Zusätzliche Dateien mit versteckten PowerShell-Befehlen herunterladen"] class action_download action c2_telegram["<b>Command and Control</b> – <b>T1102.002 Webdienst</b> und <b>T1102.003 Einweg-Nachrichten</b>: Kommunikation mit Angreifer über Telegram Bot API über HTTPS"] class c2_telegram command_and_control %% Verbindungen, die den Angriffsfluss zeigen action_execution –>|verwendet| tech_hide_window action_execution –>|löst aus| action_process_enum action_process_enum –>|beendet| action_keylogging action_process_enum –>|etabliert| persistence_run_key persistence_run_key –>|härtet| defense_disable_taskmgr action_process_enum –>|ermöglicht| action_screen_capture action_screen_capture –>|aufruft| action_download action_download –>|exfiltriert über| c2_telegram "
Angriffsfluss
Erkennungen
Möglicher Telegram-Missbrauch als Command-and-Control-Kanal (via dns_query)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansehen
Herunterladen oder Hochladen über PowerShell (via cmdline)
Ansehen
IOCs (DestinationIP) zur Erkennung: Resoker: Ein Telegram-basierter Remote Access Trojaner
Ansehen
IOCs (HashMd5) zur Erkennung: Resoker: Ein Telegram-basierter Remote Access Trojaner
Ansehen
IOCs (SourceIP) zur Erkennung: Resoker: Ein Telegram-basierter Remote Access Trojaner
Ansehen
Erkennung der ResokerRAT-Ausführung [Windows-Prozesserstellung]
Ansehen
Erkennung der stummen PowerShell-Ausführung für Bildschirmaufnahmen [Windows PowerShell]
Ansehen
Simulationsausführung
Voraussetzung: Die Telemetrie- & Basisprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und der Text müssen die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genaue Telemetrie zu erzeugen, die von der Erkennung erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer, der einen Fuß in einer Windows-Arbeitsstation gefasst hat, möchte den Desktop des Benutzers erfassen, ohne visuelle Hinweise zu geben. Er startet PowerShell mit dem-WindowStyle HiddenSchalter, lädt die .NETSystem.Windows.FormsandSystem.DrawingAssemblies, erfasst den primären Bildschirm mit derCopyFromScreenMethode und schreibt das Bitmap in eine temporäre Datei. Der Befehl wird in einer einzigen Zeile gestaltet, um sicherzustellen, dass der vollständige String im PowerShell Script Block Log erscheint und alle vier Erkennungsauswahlen übereinstimmen. -
Regressionstest-Skript:
# Stille Bildschirmaufnahme – reproduziert die Erkennungstelemetrie $psCommand = @" Add-Type -AssemblyName System.Windows.Forms Add-Type -AssemblyName System.Drawing $bounds = [System.Windows.Forms.Screen]::PrimaryScreen.Bounds $bitmap = New-Object System.Drawing.Bitmap $bounds.Width, $bounds.Height $graphics = [System.Drawing.Graphics]::FromImage($bitmap) $graphics.CopyFromScreen($bounds.Location, [System.Drawing.Point]::Empty, $bounds.Size) $output = "C:Tempscreenshot.png" $bitmap.Save($output, [System.Drawing.Imaging.ImageFormat]::Png) Write-Host "Screenshot gespeichert nach $output" "@ # Führen Sie PowerShell mit dem zusammengesetzten Befehl im stillen Modus aus powershell -WindowStyle Hidden -Command $psCommand -
Cleanup-Befehle:
# Entfernen Sie den Screenshot und alle verbleibenden Objekte Remove-Item -Path "C:Tempscreenshot.png" -ErrorAction SilentlyContinue