Bedrohungssuche Inhalt: Bösartiger Payload in gefälschten Windows-Fehlerprotokollen

Neueste Bedrohungen

Juni 23, 2020

2 min zu lesen

Bedrohungssuche Inhalt: Bösartiger Payload in gefälschten Windows-Fehlerprotokollen

Eugene Tkachenko
Eugene Tkachenko Leiter des Community-Programms linkedin icon Folgen

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Letzte Woche entdeckten Sicherheitsforscher eine neugierige Methode, um die bösartige Nutzlast im Klartext zu verbergen, und diese Methode wird aktiv in freier Wildbahn verwendet. Gegner verwenden gefälschte Fehlerprotokolle, um ASCII-Zeichen zu speichern, die als Hexadezimalwerte getarnt sind und eine bösartige Nutzlast dekodieren, die den Boden für skriptbasierte Angriffe bereitet. In dem entdeckten Szenario setzten Cyberkriminelle eine neue Methode ein, nachdem sie Systeme kompromittiert und Persistenz erreicht hatten. Dann nutzten sie eine Datei mit einer .chk-Erweiterung, die ein Windows-Fehlerprotokoll für eine Anwendung imitierte. Auf den ersten Blick ist die Datei nicht verdächtig, da sie Zeitstempel hat und Verweise auf die interne Versionsnummer für Windows enthält, aber am Ende jeder Zeile befindet sich eine dezimale Darstellung des ASCII-Zeichens. Eine solche Datei wird bei Sicherheitslösungen keinen Verdacht erregen, und der Benutzer wird sie für legitim halten, während dieses gefälschte Fehlerprotokoll tatsächlich ein kodiertes Skript verbirgt, das den Command-and-Control-Server für den nächsten Schritt im Angriff kontaktiert. Das Skript wird mithilfe einer geplanten Aufgabe und zwei umbenannten legitimen Windows-Binaries ausgeführt: mshta.exe und powershell.exe. Angreifer verwenden das Skript, um Informationen über installierte Browser, Sicherheitsprodukte und Point-of-Sale-Software zu sammeln. Eine exklusive Bedrohungsjagdsregel, die von

Osman Demir Osman Demir entwickelt wurde, hilft Sicherheitslösungen, gefälschte Windows-Fehlerprotokolle zu finden, die bösartige Nutzlasten enthalten: https://tdm.socprime.com/tdm/info/KSymsSAJQuht/4Yxe23IBPeJ4_8xclBtg/?p=1

 

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Verteidigungsevasion

Techniken: Verschleierung (T1036)

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More Neueste Bedrohungen Articles

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Telychko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Telychko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Telychko