Letzte Woche entdeckten Sicherheitsforscher eine neugierige Methode, um die bösartige Nutzlast im Klartext zu verbergen, und diese Methode wird aktiv in freier Wildbahn verwendet. Gegner verwenden gefälschte Fehlerprotokolle, um ASCII-Zeichen zu speichern, die als Hexadezimalwerte getarnt sind und eine bösartige Nutzlast dekodieren, die den Boden für skriptbasierte Angriffe bereitet. In dem entdeckten Szenario setzten Cyberkriminelle eine neue Methode ein, nachdem sie Systeme kompromittiert und Persistenz erreicht hatten. Dann nutzten sie eine Datei mit einer .chk-Erweiterung, die ein Windows-Fehlerprotokoll für eine Anwendung imitierte. Auf den ersten Blick ist die Datei nicht verdächtig, da sie Zeitstempel hat und Verweise auf die interne Versionsnummer für Windows enthält, aber am Ende jeder Zeile befindet sich eine dezimale Darstellung des ASCII-Zeichens. Eine solche Datei wird bei Sicherheitslösungen keinen Verdacht erregen, und der Benutzer wird sie für legitim halten, während dieses gefälschte Fehlerprotokoll tatsächlich ein kodiertes Skript verbirgt, das den Command-and-Control-Server für den nächsten Schritt im Angriff kontaktiert. Das Skript wird mithilfe einer geplanten Aufgabe und zwei umbenannten legitimen Windows-Binaries ausgeführt: mshta.exe und powershell.exe. Angreifer verwenden das Skript, um Informationen über installierte Browser, Sicherheitsprodukte und Point-of-Sale-Software zu sammeln. Eine exklusive Bedrohungsjagdsregel, die von
Osman Demir Osman Demir entwickelt wurde, hilft Sicherheitslösungen, gefälschte Windows-Fehlerprotokolle zu finden, die bösartige Nutzlasten enthalten: https://tdm.socprime.com/tdm/info/KSymsSAJQuht/4Yxe23IBPeJ4_8xclBtg/?p=1
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Verteidigungsevasion
Techniken: Verschleierung (T1036)
