Evolution der UAC-0226-Toolnutzung von WinRAR ADS zu reflektiver GIFTEDCROOK-Ladung
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Die Bedrohungsakteur UAC-0226 hat seine Lieferkette durch das Ausnutzen einer WinRAR-Pfaddurchquerungsschwachstelle zusammen mit NTFS-Alternativen Datenströmen verfeinert, um eine ruhige Persistenz herzustellen. Die Kampagne stützt sich auf einen mehrstufigen PowerShell-Loader, um eine headerlose reflektierende PE-Nutzlast namens GIFTEDCROOK bereitzustellen. Die Malware ist darauf ausgelegt, Browser-Anmeldeinformationen, VPN-Konfigurationsdaten und sensible Dokumente von kompromittierten Systemen zu sammeln.
Untersuchung
Die Analyse zergliedert einen komplexen Ausführungsfluss, der um ein bewaffnetes WinRAR-Archiv, eine Ablenkungs-PDF und eine versteckte LNK-Datei aufgebaut ist, die im Windows-Startup-Ordner platziert ist. Forscher identifizierten eine benutzerdefinierte additive Dekodierungsroutine und einen fortgeschrittenen reflektiven Loader, der eine DLL direkt in den Speicher abbildet. Telemetrie zeigte auch, dass der Loader den Ausführungsstatus über eine benutzerdefinierte 16-Byte-Struktur an seinen Kommando- und Kontrollserver meldet.
Minderung
Organisationen sollten die Aktualisierung von WinRAR priorisieren, um Pfaddurchquerungs-Schwachstellen zu beheben. Die Durchsetzung strenger PowerShell-Ausführungsrichtlinien und die Überwachung ungewöhnlicher NTFS-Alternative-Datenstrom-Aktivitäten kann helfen, die frühen Stadien der Kompromittierung zu stören. Sicherheitsteams sollten auch auf nicht autorisierte Dateien achten, die in Startup-Ordnern abgelegt werden, und auf verdächtiges Verhalten bei der Speicherbelegung wie NtAllocateVirtualMemory.
Antwort
Wenn diese Aktivität erkannt wird, isolieren Sie die betroffenen Hosts sofort, um eine weitere Datenexfiltration zu verhindern. Untersuchen Sie den C:ProgramData Verzeichnis auf verdächtige dateienlosen Dateien und überprüfen Sie den Startup-Ordner des Benutzers auf nicht autorisierte LNK-Verknüpfungen. Speicherforensik sollte durchgeführt werden, um reflektierende DLLs zu identifizieren, und Netzprotokolle sollten auf Kommunikation mit der identifizierten Kommando- und Kontrollinfrastruktur überprüft werden.
Angriffsfluss
Erkennungen
Mögliches Verhalten bei verzögerter Ausführung (via cmdline)
Ansehen
Potenzielle Malware-Selbstentfernung oder Stderr-Verschleierungsvorgang (via cmdline)
Ansehen
Die Möglichkeit der Ausführung über versteckte PowerShell-Befehlszeilen (via cmdline)
Ansehen
Minimierter Eingabeaufforderungsstart startet versteckten PowerShell-Prozess [Windows-Prozesserstellung]
Ansehen
Erkenne PowerShell-Ausführung für UAC-0226-Kampagne [Windows PowerShell]
Ansehen
Simulation Ausführung
Voraussetzung: Die Telemetrie- & Baseline-Überprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und sollen genau die Telemetrie erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Der Gegner beabsichtigt, eine Stealer-Nutzlast bereitzustellen. Um den Fußabdruck zu minimieren und Benutzerinteraktionen zu vermeiden, platzieren sie eine Nutzlast in
C:ProgramDataWC3. Dann rufen sie PowerShell mit einer Reihe von „Living-off-the-Land“-Flags auf, die so konzipiert sind, dass die Ausführungsrichtlinien umgangen werden und das Fenster vor dem Benutzer verborgen wird. Der Befehl verwendetiex(Invoke-Expression), um einen Befehl auszuführen, der auf die gestellte Datei verweist und das reflektierende Ladeverhalten der UAC-0226-Kampagne simuliert. -
Regressionstest-Skript:
# 1. Einrichtung: Erstellen Sie das spezifische Verzeichnis, das in der Erkennungsregel verwendet wird $targetDir = "C:ProgramDataWC3" if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force } # 2. Erstellen Sie eine Dummy-Nutzlast-Datei, um die Pfadanforderung zu erfüllen $dummyFile = "$targetDirpayload.ps1" "Write-Output 'Simulierte bösartige Nutzlast'" | Out-File -FilePath $dummyFile -Encoding ascii # 3. Führen Sie die bösartige Befehlsfolge aus (Dies sollte die Regel auslösen) # Wir verwenden Start-Process, um sicherzustellen, dass die Befehlszeile als neuer Prozess erfasst wird Start-Process powershell.exe -ArgumentList "-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command ""iex (Get-Content $dummyFile)""" -WindowStyle Hidden Write-Host "[+] Simulationsbefehl ausgeführt. Überprüfen Sie Ihr SIEM für den Alarm." -
Aufräumbefehle:
# Entfernen Sie das Verzeichnis und die Dummy-Dateien, die während der Simulation erstellt wurden Remove-Item -Path "C:ProgramDataWC3" -Recurse -Force -ErrorAction SilentlyContinue Write-Host "[+] Aufräumarbeiten abgeschlossen."