Watering-Hole-Angriff zielt auf EmEditor-Nutzer mit informationsstehlender Malware ab
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein trojanisierter EmEditor-Installer wurde genutzt, um eine mehrstufige Malware-Kette zu verteilen. Der kompromittierte Installer lädt PowerShell-Skripte von Angreifern kontrollierten Domänen und zieht dann nachfolgende Nutzlasten, die Anmeldeinformationen erbeuten, Host- und Umgebungsdetails sammeln und die Ergebnisse exfiltrieren, an. Der Liefermechanismus stimmt mit einer Watering-Hole-Technik überein, bei der der Downloadpfad des Anbieters kompromittiert wird, um Benutzer zu erreichen, die nach legitimer Software suchen.
Untersuchung
Die Analyse ergab, dass das MSI-Paket geändert wurde, um einen eingebetteten PowerShell-Befehl auszuführen, der gefälschte EmEditor-Domänen kontaktierte. Das anfängliche Skript lud dann zwei weitere Stufen herunter, die für Anti-Analyse-Verhalten, Anmelde-informationendiebstahl und System-Fingerprinting verantwortlich sind, bevor gesammelte Daten an einen Steuerungsserver übertragen werden. Die Untersuchung dokumentierte eindeutige Indikatoren, einschließlich unikater Zeichenfolgen und spezifischer URLs, die in der Ausführungskette verwendet wurden.
Abschwächung
Überprüfen Sie die Integrität des Installers mithilfe der Anbieter-Code-Signaturvalidierung und Hash-Überprüfungen, bevor Sie ihn bereitstellen. Setzen Sie strikte PowerShell-Kontrollen und Überwachungen ein und achten Sie auf Verhaltensweisen, die mit der Deaktivierung von ETW oder anderer Telemetrie in Verbindung stehen. Implementieren Sie Netzwerkfilterung für die identifizierten bösartigen Domänen und alarmieren Sie bei anomaler ausgehender HTTPS-Aktivität.
Antwort
Suchen Sie nach der PowerShell-Befehlszeile, die auf die bösartigen Domänen verweist, blockieren Sie die zugehörigen URLs/Domänen, isolieren Sie betroffene Endpunkte und bewahren Sie forensische Artefakte wie das manipulier-te MSI auf. Führen Sie eine Überprüfung der Lieferkette des Anbieters durch und koordi-nieren Sie Benachrichtigungen und Handlungs-anweisungen für die Benutzer.
Angriffsfluss
Erkennungen
Download oder Upload via Powershell (über die Befehlszeile)
Ansehen
Möglicher NoMSbuild-Projekt (via powershell)
Ansehen
Aufruf verdächtiger .NET-Methoden von PowerShell (via powershell)
Ansehen
Verdächtige PowerShell-Zeichenfolgen (via powershell)
Ansehen
EmEditor Malware C&C-Kommunikation und System-Fingerprinting [Windows Netzwerkverbindung]
Ansehen
Erkennung bösartiger PowerShell-Befehle, die auf EmEditor-Benutzer abzielen [Windows PowerShell]
Ansehen
Verdächtige Aktivitäten im kompromittierten EmEditor-Installer erkannt [Windows Prozess Erstellung]
Ansehen
Simulationsausführung
Voraussetzung: Die Telemetrie & Baseline Pre-Flight-Check müssen bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die zur Auslösung der Erkennungsregel konzipiert ist. Die Befehle und Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die erwartete Telemetrie zu erzeugen, die von der Erkennung-Logik erwartet wird.
-
Angriffs-Narrativ & Befehle:
Ein Angreifer hat das offizielle EmEditor-Installer-Paket kompromittiert. Nachdem ein Opfer den Installer startet, erreicht das bösartige Binärprogramm die hart kodierte C2-Domänecachingdrive.com/gate/init/2daef8cd. Diese ausgehende Anfrage lädt eine sekundäre Nutzlast herunter, die Privilegien erhöht und Anmeldeinformationen erbeutet. Der Angreifer verwendet eine Standard-Windows-Befehlszeile (cmd.exe), um den Installer zu starten und sicherzustellen, dass die bösartige URL im Prozess-Erstellungsereignis wortgetreu erscheint, was der String-Match-Bedingung der Sigma-Regel entspricht. -
Regressionstest-Skript:
# -------------------------------------------------------------- # Simulierte bösartige Ausführung eines kompromittierten EmEditor-Installers # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" $maliciousUrl = "https://cachingdrive.com/gate/init/2daef8cd" # Stellt sicher, dass der Installer existiert (Platzhalter - in einem realen Test kopieren Sie ein unbedenkliches exe) if (-not (Test-Path $installerPath)) { Write-Error "Installer nicht gefunden unter $installerPath" exit 1 } # Führt den Installer mit dem bösartigen Argument aus Write-Host "[*] Starten des kompromittierten Installers..." Start-Process -FilePath $installerPath -ArgumentList $maliciousUrl -Wait Write-Host "[+] Ausführung abgeschlossen. Überprüfen Sie, ob die Erkennungsregel ausgelöst wurde." # -------------------------------------------------------------- -
Aufräumbefehle:
# -------------------------------------------------------------- # Entfernen von Artefakten, die durch den simulierten Test hinterlassen wurden # -------------------------------------------------------------- $installerPath = "C:TempEmEditorSetup.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "[*] Installer-Binärdatei entfernt." } # (Optional) Gelöschte heruntergeladene Nutzlasten entfernen, wenn sie materialisiert wurden $downloadedPath = "$env:TEMPpayload.bin" if (Test-Path $downloadedPath) { Remove-Item $downloadedPath -Force Write-Host "[*] Heruntergeladene bösartige Nutzlast entfernt." } # --------------------------------------------------------------