SOC Prime Bias: Medium

12 Mai 2026 18:04
newspaper icon malware-traffic-analysis.net

Shub Stealer Infektionsbenachrichtigung für macOS

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
Shub Stealer Infektionsbenachrichtigung für macOS
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Eine macOS-Anmeldeinformationsstealing-Bedrohung, bekannt als Shub Stealer, wird über eine bösartige Download-Seite verteilt, die Benutzer anweist, einen Befehl ins Terminal zu kopieren und einzufügen. Die Infektionskette verlässt sich auf passwortgeschützte ZIP-Archive und leitet die Opfer zu von Angreifern kontrollierten Inhalten weiter, die auf Cloud-Plattformen gehostet werden. Der begleitende Bericht enthält Netzwerkerfassungen und Logdaten, die dokumentieren, wie der Infektionsverlauf abläuft.

Untersuchung

Die Analyse überprüfte eine PCAP-Datei, eine Logdatei und das bösartige Skript, das zur Bereitstellung des Stealers verwendet wurde. Forscher fanden heraus, dass das Skript über eine Webseite bereitgestellt wurde, die sich als legitimes macOS-Download-Portal ausgibt, und das Opfer dazu zwang, einen Terminalbefehl manuell auszuführen. Der Netzwerkverkehr wurde dann in Wireshark inspiziert, um die Befehlsfolge zu identifizieren und die Zustellung des Payloads zu verfolgen.

Minderungsmaßnahmen

Benutzer sollten niemals Befehle von unzuverlässigen Webseiten kopieren und ausführen. Organisationen sollten Softwarequellen verifizieren, Endpunktschutz implementieren, der bekannte macOS-Bedrohungen erkennen kann, und wo möglich, Anwendungs-Whitelist durchsetzen. Die Ausführung nicht signierter Skripte sollte eingeschränkt werden, und Verteidiger sollten verdächtige Shell-Aktivitäten auf macOS-Systemen überwachen.

Reaktion

Sicherheitsteams sollten die Ausführung der bekannten Shub Stealer-Befehlszeile erkennen, die Kommunikation mit den erkannten bösartigen Domains und IP-Adressen blockieren und betroffene macOS-Endpunkte isolieren. Ermittler sollten außerdem die bereitgestellten Logs und PCAP-Beweise für eine forensische Überprüfung sammeln und alle bösartigen Dateien, die auf dem Host verbleiben, entfernen.

"graph TB %% Klassen-Spezifikationen classDef technique fill:#99ccff classDef data fill:#c2f0c2 classDef proxy fill:#ffcc99 %% Technik-Knoten tech_content_injection["<b>Technik</b> – <b>T1659 Content Injection</b><br/><b>Beschreibung</b>: Injektion bösartiger Links oder Skripte in legitime Cloud-Dokumente (z.B. Google Drive), um anfangs Zugriff zu erhalten."] class tech_content_injection technique tech_html_smuggling["<b>Technik</b> – <b>T1027.006 HTML Smuggling</b><br/><b>Beschreibung</b>: Bösartiges Skript in einer HTML-Datei verstecken, das ausgeführt wird, wenn die Datei von einem Browser gerendert wird."] class tech_html_smuggling technique tech_svg_smuggling["<b>Technik</b> – <b>T1027.017 SVG Smuggling</b><br/><b>Beschreibung</b>: Einbinden eines bösartigen Payloads in ein SVG-Bild, das bei der Auswertung zu einem weiteren Download umleitet."] class tech_svg_smuggling technique tech_malicious_link["<b>Technik</b> – <b>T1204.001 Malicious Link</b><br/><b>Beschreibung</b>: Opfer klickt auf einen präparierten Link, der den Download bösartiger Inhalte initiiert."] class tech_malicious_link technique tech_copy_paste["<b>Technik</b> – <b>T1204.004 Malicious Copy and Paste</b><br/><b>Beschreibung</b>: Angreifer stellt einen Befehl zur Verfügung, den das Opfer kopiert und in ein Terminal einfügt, um bösartigen Code auszuführen."] class tech_copy_paste technique tech_script_proxy["<b>Technik</b> – <b>T1216 System Script Proxy Execution</b><br/><b>Beschreibung</b>: Verwendung einer legitimen System-Scripting-Umgebung, um die Ausführung bösartigen Codes zu proxyen."] class tech_script_proxy technique tech_compression["<b>Technik</b> – <b>T1027.015 Compression</b><br/><b>Beschreibung</b>: Auslieferung des Payloads in einem passwortgeschützten ZIP-Archiv, um Erkennung zu entgehen."] class tech_compression technique tech_brute_force["<b>Technik</b> – <b>T1110 Brute Force</b><br/><b>Beschreibung</b>: Versuch, durch viele Passwörter das Archiv-Passwort zu entdecken, möglicherweise unter Verwendung von Informationen von öffentlichen Seiten."] class tech_brute_force technique tech_deobfuscate["<b>Technik</b> – <b>T1140 Deobfuscate/Decode Files</b><br/><b>Beschreibung</b>: Das verschlüsselte ZIP mit dem entdeckten Passwort öffnen, um den bösartigen Payload zu extrahieren."] class tech_deobfuscate technique tech_archive_data["<b>Technik</b> – <b>T1560 Archive Collected Data</b><br/><b>Beschreibung</b>: Neuarchivierung gestohlener Dateien vor der Exfiltration."] class tech_archive_data data tech_c2_web["<b>Technik</b> – <b>T1071.001 Application Layer Protocol: Web Protokolle</b><br/><b>Beschreibung</b>: Kommunikation mit dem Kommando- und Kontroll-Server über HTTP/HTTPS."] class tech_c2_web technique tech_c2_ftp["<b>Technik</b> – <b>T1071.002 Application Layer Protocol: Dateiübertragungsprotokolle</b><br/><b>Beschreibung</b>: Übertragung zusätzlicher Dateien unter Verwendung von FTP-ähnlichen Protokollen für C2."] class tech_c2_ftp technique tech_proxy["<b>Technik</b> – <b>T1090 Proxy</b><br/><b>Beschreibung</b>: Weiterleitung von C2-Traffic durch Proxy-Server zur Verschleierung des Ursprungs."] class tech_proxy proxy tech_internal_proxy["<b>Technik</b> – <b>T1090.001 Interner Proxy</b><br/><b>Beschreibung</b>: Verwendung eines Proxys innerhalb des internen Netzwerks des Opfers."] class tech_internal_proxy proxy tech_external_proxy["<b>Technik</b> – <b>T1090.002 Externer Proxy</b><br/><b>Beschreibung</b>: Verwendung eines externen Proxy-Dienstes, um C2-Traffic weiterzuleiten."] class tech_external_proxy proxy tech_taint_shared["<b>Technik</b> – <b>T1080 Taint Shared Content</b><br/><b>Beschreibung</b>: Die Kopieren‑Einfügen-Aktion verteilt bösartigen Skriptinhalt an andere geteilte Umgebungen."] class tech_taint_shared technique tech_exploit_client["<b>Technik</b> – <b>T1203 Exploitation for Client Execution</b><br/><b>Beschreibung</b>: Skript nutzt eine clientseitige Sicherheitslücke aus, um beliebigen Code auf der Opfermaschine auszuführen."] class tech_exploit_client technique %% Verbindungen tech_content_injection –>|führt zu| tech_html_smuggling tech_html_smuggling –>|führt zu| tech_svg_smuggling tech_svg_smuggling –>|führt zu| tech_malicious_link tech_malicious_link –>|führt zu| tech_copy_paste tech_copy_paste –>|führt zu| tech_script_proxy tech_script_proxy –>|führt zu| tech_compression tech_compression –>|führt zu| tech_brute_force tech_brute_force –>|führt zu| tech_deobfuscate tech_deobfuscate –>|führt zu| tech_archive_data tech_archive_data –>|führt zu| tech_c2_web tech_c2_web –>|führt zu| tech_c2_ftp tech_c2_ftp –>|führt zu| tech_proxy tech_proxy –>|leitet weiter zu| tech_internal_proxy tech_proxy –>|leitet weiter zu| tech_external_proxy %% Zweige vom Kopieren‑Einfügen-Schritt tech_copy_paste –>|verursacht| tech_taint_shared tech_copy_paste –>|verursacht| tech_exploit_client "

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- & Basislinien-Pre‑Flight-Check muss bestanden worden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die zum Auslösen der Erkennungsregel entwickelt wurde. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennung erwartet wird.

  • Angriffserzählung & Befehle:

    1. Aufklärung: Der Angreifer entdeckt eine bösartige Seite „Download für macOS“, die ein PowerShell‑ähnliches Payload-Targeting auf macOS-Benutzer hostet.

    2. Kopieren‑Einfügen: Der Angreifer kopiert den gesamten Skripttext, der die Kommentarlinie enthält „Skript in ein Terminalfenster kopiert und eingefügt“ (dies ist ein wörtlicher Marker, der vom Malware-Autor eingefügt wurde).

    3. Ausführung: In einem Linux-Terminal führt der Angreifer aus:

      bash -c "Skript in ein Terminalfenster kopiert und eingefügt"

      Dieser Befehl zwingt Bash zu versuchen, einen Befehl auszuführen, dessen Name die genaue Erkennungsphrase ist, wodurch die Phrase buchstäblich im CommandLine Feld des Auditprotokolls erscheint. Auch wenn der Befehl fehlschlägt, wird das Erstellungsevent protokolliert und passt zur Sigma-Regel.

    4. Ergebnis: A Prozess-Erstellungs Ereignis mit CommandLine = bash -c Skript in ein Terminalfenster kopiert und eingefügt wird generiert und löst die Erkennung aus.

  • Regressionstest-Skript: Das folgende eigenständige Bash-Skript reproduziert das Szenario auf jedem Linux-Host mit aktivierter auditd.

    #!/usr/bin/env bash
#
# Regressionstest für Sigma-Regel: eee9618f-c935-450d-9d51-7072fbfca466
# Zweck: Emittieren eines Prozess-Erstellungsevents, das die genaue Erkennungsphrase enthält.
#
set -euo pipefail

# Emittieren der Befehlszeile, die die Erkennung auslöst
echo "[*] Ausführung des erkennungs-auslösenden Befehls..."
bash -c "Skript in ein Terminalfenster kopiert und eingefügt"

echo "[*] Test abgeschlossen. Überprüfen Sie Ihr SIEM auf die Erkennung."

  • Bereinigungskommandos: Entfernen Sie alle temporären Dateien oder fortbestehenden Prozesse (keine vom Test erstellt, aber der Vollständigkeit halber):

    # Keine Artefakte erstellt; Stellen Sie sicher, dass keine ungenutzten Bash-Prozesse verbleiben
pkill -f "Skript in ein Terminalfenster kopiert und eingefügt" || true
echo "[*] Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten