Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine chinesische APT-Gruppe namens Silver Fox führt eine steuerbezogene Phishing-Kampagne gegen indische Einheiten durch. Die anfängliche E-Mail enthält ein PDF, das die Opfer zu einer bösartigen Domain weiterleitet und den Download einer ZIP-Datei auslöst. Die ZIP-Datei enthält einen NSIS-Installer, der Thunder.exe und eine bösartige libexpat.dll ablegt, welche DLL-Hijacking, Anti-Analyse-Prüfungen durchführt und verschlüsselten Shellcode lädt. Die endgültige Nutzlast ist ein Valley RAT, das Konfigurationen von einer mehrstufigen C2-Infrastruktur erhält.
Untersuchung
Der Bericht beschreibt vier Phasen: (1) Zustellung einer ZIP-Datei über einen PDF-Köder, (2) Ausführung eines NSIS-Installers, der Thunder.exe und libexpat.dll ablegt, (3) einen von Donut generierten Shellcode-Loader, der in Explorer.exe injiziert, und (4) Einsatz eines Valley RAT mit registrierungsbasierter Persistenz und modularen Plugins. Die Analyse umfasst statische und dynamische Untersuchung der Binärdateien, die Aufzählung von C2-Domains und die Zuordnung zu ATT&CK-Techniken.
Minderung
Verteidiger sollten signierte Binärdateien überwachen, die unsignierte DLLs aus temporären Verzeichnissen laden, Schreibvorgänge in der Registrierung unter HKCUConsole und ungewöhnliches Erstellen von PAGE_EXECUTE_READWRITE-Speicher in Explorer.exe. Bekannte C2-Domains und IPs zu blockieren und Multi-Tier-Fallback-Verhalten zu erkennen, wird die Exposition reduzieren. Implementieren Sie strenge Anwendungskontrollen und Sandkasten-Ausweichungs-Erkennungen, um den anfänglichen NSIS-Installer zu stoppen.
Reaktion
Wenn ein Indikator beobachtet wird, isolieren Sie den betroffenen Host, sammeln Sie flüchtigen Speicher für die Analyse von Prozessinjektionen und suchen Sie nach Valley RAT-Registrierungsschlüsseln und Plugins. Blockieren Sie alle identifizierten C2-Infrastrukturen und setzen Sie kompromittierte Anmeldedaten zurück. Führen Sie eine vollständige forensische Überprüfung durch, um zusätzliche Plugins oder Lateral-Movement-Tools zu identifizieren.
graph TB %% Klassendefinitionen classDef technique fill:#ddeeff classDef file fill:#ffddaa classDef process fill:#ffccbb classDef action fill:#cce5ff %% Knoten – Techniken initial_phishing[„<b>Initialer Zugang – T1566.001</b><br/>Spearphishing-Anhang<br/>Opfer öffnet bösartige Einkommensteuer-PDF, die zu ggwk.cc weiterleitet und einen ZIP-Download auslöst“] class initial_phishing technique user_execution[„<b>Benutzer-Ausführung – T1204.002</b><br/>Bösartige Datei<br/>Benutzer führt das heruntergeladene ZIP mit NSIS-Installer aus“] class user_execution technique cmd_scripting[„<b>Ausführung – T1059</b><br/>Befehls- und Skriptinterpreter<br/>NSIS-Skript steuert den Installationsablauf“] class cmd_scripting technique native_api_1[„<b>Ausführung – T1106</b><br/>Native API<br/>Installer ruft GetTempPathA auf, erstellt temporäres Arbeitsverzeichnis und schreibt Dateien“] class native_api_1 technique shared_modules[„<b>Ausführung – T1129</b><br/>Gemeinsame Module<br/>Installer legt Thunder.exe (signiert) und bösartige libexpat.dll ab“] class shared_modules technique dll_hijack[„<b>Verteidigungsumgehung – T1574.001</b><br/>DLL-Suchreihenfolge-Hijacking<br/>libexpat.dll wird neben Thunder.exe platziert, sodass sie zuerst geladen wird“] class dll_hijack technique proxy_execution[„<b>Verteidigungsumgehung – T1218</b><br/>System-Binary Proxy-Ausführung<br/>Thunder.exe dient als Proxy, um die bösartige DLL auszuführen“] class proxy_execution technique trusted_proxy[„<b>Verteidigungsumgehung – T1127</b><br/>Proxy-Ausführung vertrauenswürdiger Entwickler-Tools<br/>Signiertes Thunder.exe verschleiert bösartige Aktivitäten“] class trusted_proxy technique dll_injection[„<b>Ausführung – T1055.001</b><br/>DLL-Injektion<br/>libexpat.dll führt Anti-Analyse-Prüfungen aus und deaktiviert den Windows Update-Dienst“] class dll_injection technique service_execution[„<b>Ausführung – T1569.002</b><br/>Service-Ausführung<br/>Stoppt den wuauserv-Dienst, um Sichtbarkeit zu reduzieren“] class service_execution technique sandbox_evasion[„<b>Verteidigungsumgehung – T1497</b><br/>Virtualisierung/Sandbox-Umgehung<br/>Anti-Debugging- und Sandbox-Logik beendet die Ausführung in Analyseumgebungen“] class sandbox_evasion technique native_api_2[„<b>Ausführung – T1106</b><br/>Native API<br/>Verwendet VirtualAllocEx und WriteProcessMemory, um Shellcode in explorer.exe zu injizieren“] class native_api_2 technique process_hollowing[„<b>Verteidigungsumgehung – T1055.012</b><br/>Process Hollowing<br/>Explorer.exe wird im pausierten Zustand gestartet und Payload wird hineingelegt“] class process_hollowing technique reflective_loading[„<b>Ausführung – T1620</b><br/>Reflective Code Loading<br/>Von Donut generierter Loader führt Payload vollständig im Speicher aus“] class reflective_loading technique registry_persistence[„<b>Persistenz – T1547.001</b><br/>Registry Run Keys / Startup-Ordner<br/>Valley RAT speichert Plugin-Module in HKCU\\Console\\* als REG_BINARY“] class registry_persistence technique modify_registry[„<b>Persistenz – T1112</b><br/>Registry ändern<br/>Konfigurationsparameter (C2-Adressen, Feature-Flags) werden in die Registry geschrieben“] class modify_registry technique c2_web[„<b>Command & Control – T1071.001</b><br/>Web-Protokolle<br/>Primäre C2-Kommunikation über HTTP/HTTPS“] class c2_web technique c2_raw_tcp[„<b>Command & Control – T1095</b><br/>Nicht-Anwendungsprotokoll<br/>Unterstützt Raw-TCP-Fallback, wenn HTTP fehlschlägt“] class c2_raw_tcp technique encrypted_channel[„<b>Command & Control – T1573</b><br/>Verschlüsselter Kanal<br/>Alle C2-Kommunikation und Konfigurations-Payloads sind verschlüsselt“] class encrypted_channel technique fallback_channels[„<b>Command & Control – T1008</b><br/>Fallback-Kanäle<br/>Drei-Tier-C2-Hierarchie mit automatischem Failover“] class fallback_channels technique keylogging[„<b>Sammlung – T1056.001</b><br/>Eingabegeräte erfassen: Keylogging<br/>Keylogger-Funktion durch Konfigurations-Flag aktiviert“] class keylogging technique obfuscation[„<b>Verteidigungsumgehung – T1027</b><br/>Verschleierte Dateien oder Informationen<br/>Payload in box.ini verschlüsselt gespeichert und zur Laufzeit entschlüsselt“] class obfuscation technique code_signing[„<b>Verteidigungsumgehung – T1553.002</b><br/>Vertrauenssteuerung umgehen: Code-Signierung<br/>Legitim signiertes Thunder.exe verschleiert bösartige Aktivität“] class code_signing technique appcert_dll[„<b>Verteidigungsumgehung – T1546.009</b><br/>Ereignisgetriggerte Ausführung: AppCert DLLs<br/>Bösartige libexpat.dll nutzt DLL-Hijacking zur Ausführung“] class appcert_dll technique %% Knoten – Dateien / Prozesse file_zip[„<b>Datei</b><br/>Bösartige ZIP-Datei mit NSIS-Installer“] class file_zip file nsis_installer[„<b>Datei</b><br/>Vom Benutzer ausgeführter NSIS-Installer“] class nsis_installer file thunder_exe[„<b>Datei</b><br/>Signiertes Thunder.exe als Proxy“] class thunder_exe file libexpat_dll[„<b>Datei</b><br/>Bösartige libexpat.dll“] class libexpat_dll file box_ini[„<b>Datei</b><br/>Verschlüsselte Konfigurations-Payload (box.ini)“] class box_ini file explorer_exe[„<b>Prozess</b><br/>explorer.exe (Ziel für Injektion)“] class explorer_exe process donut_loader[„<b>Datei</b><br/>Von Donut generierter reflektiver Loader“] class donut_loader file %% Verbindungen – Angriffsfluss initial_phishing –>|herunterladen| file_zip file_zip –>|enthält| nsis_installer nsis_installer –>|führt aus| user_execution user_execution –>|löst aus| cmd_scripting cmd_scripting –>|verwendet| native_api_1 native_api_1 –>|schreibt| shared_modules shared_modules –>|legt ab| thunder_exe shared_modules –>|legt ab| libexpat_dll thunder_exe –>|aktiviert| dll_hijack dll_hijack –>|ermöglicht| proxy_execution proxy_execution –>|nutzt aus| trusted_proxy trusted_proxy –>|lädt| dll_injection dll_injection –>|deaktiviert| service_execution service_execution –>|reduziert Sichtbarkeit| sandbox_evasion sandbox_evasion –>|fährt fort| native_api_2 native_api_2 –>|injektiert in| explorer_exe explorer_exe –>|ausgehöhlt durch| process_hollowing process_hollowing –>|führt aus| reflective_loading reflective_loading –>|verwendet| donut_loader donut_loader –>|etabliert| registry_persistence registry_persistence –>|speichert| modify_registry modify_registry –>|konfiguriert| c2_web c2_web –>|Fallback auf| c2_raw_tcp c2_raw_tcp –>|gesichert durch| encrypted_channel encrypted_channel –>|unterstützt| fallback_channels fallback_channels –>|liefert| keylogging keylogging –>|zeichnet Eingaben auf| obfuscation obfuscation –>|schützt| code_signing code_signing –>|verschleiert| appcert_dll appcert_dll –>|führt aus via| dll_hijack %% Styling class initial_phishing,user_execution,cmd_scripting,native_api_1,shared_modules,dll_hijack,proxy_execution,trusted_proxy,dll_injection,service_execution,sandbox_evasion,native_api_2,process_hollowing,reflective_loading,registry_persistence,modify_registry,c2_web,c2_raw_tcp,encrypted_channel,fallback_channels,keylogging,obfuscation,code_signing,appcert_dll technique class file_zip,nsis_installer,thunder_exe,libexpat_dll,box_ini,donut_loader file class explorer_exe process
Angriffsfluss
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Ansehen
Verdächtiger Befehl und Kontrolle durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (via dns)
Ansehen
Verdächtiger Prozess ohne Argumente (via cmdline)
Ansehen
IOCs (SourceIP) zur Erkennung: Silver Fox zielt auf Indien mit steuerbezogenen Phishing-Ködern
Ansehen
IOCs (HashSha256) zur Erkennung: Silver Fox zielt auf Indien mit steuerbezogenen Phishing-Ködern
Ansehen
IOCs (DestinationIP) zur Erkennung: Silver Fox zielt auf Indien mit steuerbezogenen Phishing-Ködern
Ansehen
Erkennung von DLL-Hijacking über Thunder.exe und Prozessinjektion in Explorer.exe [Windows Prozess-Erstellung]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Gegnertechnik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
Ein Angreifer liefert eine bösartige DLL zusammen mit einem abgelegten „Thunder.exe“ an den Ordner des Opfers%TEMP%. Um die Verdächtigung des Benutzers zu vermeiden, wird die Nutzlast über das bereits laufendeexplorer.exe-Prozess mit der WindowsShellExecuteAPI gestartet, was zu einem Prozesserstellungsereignis führt, bei demexplorer.exeals Eltern erscheint. Das bösartigeThunder.exelädt anschließend die bösartige DLL (DLL-Hijacking) und injiziert Shellcode in denexplorer.exeProzess (Prozessinjektion), was eine Codeausführung mit dem Token des Benutzers erreicht. -
Regressionstest-Skript:
# ------------------------------------------------- # Regressionsskript, um die Sigma-Erkennung auszulösen # ------------------------------------------------- # 1. Erstellen Sie eine gefälschte Thunder.exe (Kopie von notepad.exe) $tempDir = "$env:TEMP" $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe" Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force # 2. (Optional) Legen Sie eine bösartige DLL daneben, um Hijacking nachzuahmen $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll" # Zur Demonstration erstellen wir einfach eine leere Datei; in einem echten Test wäre dies eine ausgearbeitete DLL. New-Item -Path $malDll -ItemType File -Force | Out-Null # 3. Starten Sie Thunder.exe über explorer.exe mit ShellExecute (simuliert mit Start-Process -Verb RunAs) $explorer = (Get-Process -Name explorer).Id # Verwenden Sie PowerShell, um den Prozess mit explorer als übergeordnetem Element zu starten (erfordert Low-Level-API; hier approximieren wir) Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null # 4. Warten Sie eine kurze Zeit, damit Protokolle generiert werden können Start-Sleep -Seconds 5 # 5. Aufräumen (im nächsten Abschnitt behandelt) -
Aufräumbefehle:
# ------------------------------------------------- # Aufräumen nach der Simulation # ------------------------------------------------- # Entfernen Sie die gefälschte Thunder.exe und die ausgeführte DLL aus %TEMP% Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue # Optionale Beendigung noch laufender Thunder.exe-Prozesse Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force