StrikeShark-Kampagne liefert Cobalt Strike über SharkLoader
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
StrikeShark ist eine neu identifizierte Bedrohungskampagne, die einen benutzerdefinierten Malware-Loader namens SharkLoader verwendet, um Cobalt Strike Beacons zu liefern. Der Betrieb stützt sich auf mehrere Methoden des anfänglichen Zugangs, einschließlich der Ausnutzung von internetzugänglichen Anwendungen und der lieferung über Dropper. Die Malware nutzt auch fortschrittliche Umgehungstechniken wie DLL-Sideloading und API-Hooking, um Sicherheitsabwehr zu umgehen.
Untersuchung
Die Untersuchung identifizierte Infektionen durch SharkLoader in mehreren Ländern und Industriebranchen, einschließlich diplomatischer Einrichtungen und Softwareentwicklungsorganisationen. Forscher verfolgten die gesamte Eindringkette, von der Ausnutzung von Schwachstellen wie ProxyLogon bis zur Ausführung der endgültigen Cobalt Strike-Nutzlast. Die Studie beschrieb auch den technischen Einsatz von „Perfect DLL Hijacking“ und ausgeklügeltem API-Hooking, das entwickelt wurde, um die Erkennung zu reduzieren.
Abmilderung
Organisationen sollten der Aktualisierung von internetzugänglichen Systemen Vorrang einräumen, insbesondere Microsoft Exchange, SharePoint und exponierte Netzwerkgeräte. Der Einsatz starker Endpunkt-Erkennungs- und Reaktionsfähigkeiten kann helfen, verdächtiges DLL-Sideloading und die unbefugte Erstellung geplanter Aufgaben aufzudecken. Sicherheitsteams sollten auch ungewöhnliche Eltern-Kind-Prozessbeziehungen überwachen, wie z. svchost.exe unvorhergesehene Prozesse starten.
Reaktion
Wenn diese Aktivität erkannt wird, isolieren Sie sofort betroffene Systeme, um eine weitere seitliche Bewegung und Kommando- und Kontrollverkehr zu stoppen. Führen Sie eine vollständige forensische Untersuchung durch, um den anfänglichen Zugangsweg und den gesamten Umfang der Kompromittierung zu bestimmen. Setzen Sie die Anmeldedaten für alle potenziell betroffenen Konten zurück, insbesondere für privilegierte Benutzer, und überprüfen Sie Active Directory auf unbefugte Änderungen oder neu zugewiesene Gruppenmitgliedschaften.
Angriffsfluss
Erkennungen
Verdächtige Ntdsutil-Aktivität (via cmdline)
Ansicht
Möglicher Versuch der Benutzer- / Gruppenerkundung (via PowerShell)
Ansicht
Mögliche Konto- oder Gruppenerkundung / -manipulation (via cmdline)
Ansicht
Mögliche Erkundung der Systemnetzwerkkonfiguration (via cmdline)
Ansicht
Mögliche Systemerkundung (via cmdline)
Ansicht
Mögliche Dienste-Erkundung (via cmdline)
Ansicht
Verdächtige geplante Aufgabe unter Systembenutzer (via cmdline)
Ansicht
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER-Hive] (via registry_event)
Ansicht
Ausführung von Systemprozessen aus untypischen Pfaden (via process_creation)
Ansicht
Netzwerk- und Systeminformationsabfrage durch die StrikeShark-Kampagne [Microsoft Windows Sicherheitsereignisprotokoll]
Ansicht
Erkennung der Nutzung von SharkLoader’s SystemSettings.exe und Active Directory-Abfrage [Windows Prozesscreation]
Ansicht
Simulation Ausführung
Voraussetzung: Das Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden werden.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Gegnertechnik (TTP), die dazu entworfen wurde, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslinie erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Der Gegner beabsichtigt, sich mit den charakteristischen Methoden der StrikeShark-Kampagne einen Fuß in die Tür zu verschaffen. Zuerst simuliert der Angreifer das Nebenprodukt des DLL-Sideloading, indem er eine umbenannte Version einer legitimen Binärdatei als
SystemSettings.exeausführt. Sobald der Prozess läuft, versucht der Angreifer, sich einen Überblick über die Situation zu verschaffen, indem er die Domain-Umgebung auflistet. Um die beobachtete TTP zu imitieren, verwendet der Angreifer PowerShell, um Active Directory nach Benutzer- und Rechnerobjekten abzufragen, was ein häufiger Schritt während der Erkundungsphase eines Domänenkompromisses ist. -
Regressionstest-Skript:
# Simulationsskript für die Erkennung von SharkLoader & AD-Abfrage Write-Host "[*] Simulation wird gestartet..." -ForegroundColor Cyan # 1. SharkLoader-Prozessausführung über SystemSettings.exe simulieren # Wir verwenden notepad.exe als Proxy, um das Verhalten der gesideloadeten Binärdatei zu simulieren Start-Process "notepad.exe" -ArgumentList "/c "Dies ist eine simulierte SystemSettings.exe"" -WindowStyle Hidden # Hinweis: In einer realen Umgebung würde die Datei selbst SystemSettings.exe heißen. # Für diesen Test simulieren wir die Erstellung des Prozesseintrags. # 2. Bösartige Active Directory-Erfassung simulieren Write-Host "[*] AD-Erfassung wird simuliert..." -ForegroundColor Yellow # Verwenden der Standard-Cmdlets, nach denen die Regel gezielt sucht Get-ADUser -Filter * | Select-Object -First 5 Get-ADComputer -Filter * | Select-Object -First 5 Get-ADGroup -Filter * | Select-Object -First 5 Write-Host "[+] Simulationsbefehle ausgeführt." -ForegroundColor Green -
Bereinigungsbefehle:
# Bereinigungsskript, um sicherzustellen, dass keine Restprozesse verbleiben Stop-Process -Name "notepad" -ErrorAction SilentlyContinue Write-Host "[*] Bereinigung abgeschlossen." -ForegroundColor Cyan