Bedrohungssuche Inhalt: Bösartiger Payload in gefälschten Windows-Fehlerprotokollen

[post-views]
Juni 23, 2020 · 2 min zu lesen
Bedrohungssuche Inhalt: Bösartiger Payload in gefälschten Windows-Fehlerprotokollen

Letzte Woche entdeckten Sicherheitsforscher eine neugierige Methode, um die bösartige Nutzlast im Klartext zu verbergen, und diese Methode wird aktiv in freier Wildbahn verwendet. Gegner verwenden gefälschte Fehlerprotokolle, um ASCII-Zeichen zu speichern, die als Hexadezimalwerte getarnt sind und eine bösartige Nutzlast dekodieren, die den Boden für skriptbasierte Angriffe bereitet. In dem entdeckten Szenario setzten Cyberkriminelle eine neue Methode ein, nachdem sie Systeme kompromittiert und Persistenz erreicht hatten. Dann nutzten sie eine Datei mit einer .chk-Erweiterung, die ein Windows-Fehlerprotokoll für eine Anwendung imitierte. Auf den ersten Blick ist die Datei nicht verdächtig, da sie Zeitstempel hat und Verweise auf die interne Versionsnummer für Windows enthält, aber am Ende jeder Zeile befindet sich eine dezimale Darstellung des ASCII-Zeichens. Eine solche Datei wird bei Sicherheitslösungen keinen Verdacht erregen, und der Benutzer wird sie für legitim halten, während dieses gefälschte Fehlerprotokoll tatsächlich ein kodiertes Skript verbirgt, das den Command-and-Control-Server für den nächsten Schritt im Angriff kontaktiert. Das Skript wird mithilfe einer geplanten Aufgabe und zwei umbenannten legitimen Windows-Binaries ausgeführt: mshta.exe und powershell.exe. Angreifer verwenden das Skript, um Informationen über installierte Browser, Sicherheitsprodukte und Point-of-Sale-Software zu sammeln. Eine exklusive Bedrohungsjagdsregel, die von

Osman Demir Osman Demir entwickelt wurde, hilft Sicherheitslösungen, gefälschte Windows-Fehlerprotokolle zu finden, die bösartige Nutzlasten enthalten: https://tdm.socprime.com/tdm/info/KSymsSAJQuht/4Yxe23IBPeJ4_8xclBtg/?p=1

 

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Verteidigungsevasion

Techniken: Verschleierung (T1036)

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Zugriff auf die Uncoder AI-Funktionalität über die API 2 min zu lesen SOC Prime Plattform Zugriff auf die Uncoder AI-Funktionalität über die API by Steven Edwards Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen 2 min zu lesen SOC Prime Plattform Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen by Steven Edwards Übersetzung von Sigma in 48 Sprachen 2 min zu lesen SOC Prime Plattform Übersetzung von Sigma in 48 Sprachen by Steven Edwards
Alle Nachrichten