Ein neuer Malware-Betrieb hat wieder gezeigt, wie Angreifer technische Ingenuität mit dem Missbrauch legitimer Systemfunktionen kombinieren, um unbemerkt zu gehen. Securonix-Forscher haben eine anspruchsvolle Kampagne beschrieben, getauft als DEAD # VAX, die virtuelle Datenträger (VHD)-Bilder verwendet, die im IPFS-dezentralen Netzwerk gehostet werden, und eine phasengebundene Laufkette, um den Remote Access Trojan, den sogenannten Trojan, zu implementieren Asyncrat. Um den ursprünglichen technischen Bericht zu lesen, können Sie die Notiz von Securonix sehen Hier..
Die Infektion ist Teil einer Phishing-Mail mit einer Datei, die scheint ein Kaufauftrag im PDF-Format, aber ist eigentlich ein VHD gehostet in IPFS. Beim Doppelklick des Opfers wird die Datei als Laufwerk montiert und in eine Windows Script File (WSF) Skriptdatei angezeigt. Diese Verwendung von VHD als Container ist bemerkenswert, weil es einen legitimen Windows-Mechanismus nutzt, um Kontrollen zu umgehen, die herkömmliche Dateien analysieren; der verteilte IPFS-Computer macht es für schädliche Akteure einfacher, Lasten zu verteilen, ohne durch herkömmliche Server, die blockiert oder verfolgt werden könnten. Wenn Sie verstehen wollen, wie IPFS funktioniert und warum es in diesen Kontexten verwendet wird, ist offizielle Dokumentation ein guter Ausgangspunkt: ipfs.io.
Innerhalb der montierten Einheit befindet sich ein WSF, der, wenn der Fehler des Benutzers ausgeführt wird, eine Serie von opused Komponenten startet: extrem maskierte Batch-Skripte, ein selbstanalysierendes PowerShell-Ladegerät und schließlich ein x64-verschlüsselter Shellcode. Wichtig ist hier, dass die Nutzlast nicht in Form einer ausführbaren Festplatte aufgezeichnet wird; stattdessen wird der Code im Speicher entkoppelt und in legitime Windows-Prozesse wie RuntimeBroker.exe, OneDrive.exe, Taskhostw.exe oder sihost.ex injiziert. Diese Speicher Ausführungstechnik reduziert drastisch forensische Beweise und erschwert die Erkennung durch traditionelle Lösungen auf Basis statischer Dateisignaturen.
Der Persistenzmechanismus sucht auch Mymetismus mit dem System: Die Angreifer verwenden programmierte Aufgaben, um persistente Neustarts zu erreichen, und ein PowerShell-Modul fungiert als Motor der Ausführung im Speicher, validiert die Umgebung, entschlüsselt eingebettete Fragmente und orchestriert die Injektion innerhalb von Prozessen, die Microsoft unterzeichnet. Darüber hinaus reguliert Malware sein eigenes temporäres Verhalten mit Pausen und Drosselung, um CPU-Nutzung zu reduzieren und API-Muster zu vermeiden, die Feueralarm. Diese Mischung aus Ausführungskontrollen und Lebewesen macht jedes Stück isoliert, harmlos, bildet aber zusammen einen robusten und schwer zu verfolgenden Angriffsfluss.
AsyncrAT, die letzte Nutzlast, die von den Angreifern verwendet wird, ist ein öffentlich zugängliches Code-Projekt, das Remote-Control-Funktionen auf einem dedizierten Computer bietet: Tastatur und Bildschirmerfassung, Kamerazugriff, Zwischenablageüberwachung, Dateisystemhandling und Remote-Befehlsausführung, unter anderem Fähigkeiten. Die Existenz offener Versionen erleichtert die Wiederverwendung von Schauspielern mit unterschiedlichen Motivationen; die Projektseite ist auf GitHub für diejenigen, die es überprüfen möchten: Asyncrat in GitHub.
Für Verteidiger und Verwalter ist die Paradigmenverschiebung offensichtlich: Es ist nicht mehr genug, um die Ankunft der Vollstreckbaren zu kontrollieren. Die Sichtbarkeit des Speicherverhaltens sollte gestärkt werden, Prozess- und Prozessbauprozessinjektionen und -ketten überwacht, geplante Aufgaben geprüft und ungewöhnliche Verbindungen zur dezentralen Infrastruktur oder IPFS-Öffentlichkeits-Gateways überwacht werden. Microsoft-Dokumente-Befehle und -Prozeduren im Zusammenhang mit der virtuellen Festplattenverwaltung unter Windows, die Ihnen helfen können, zu verstehen, warum VHD montiert sind und wie Sie ihre Verwendung überprüfen können: Attach-VHD (Microsoft Docs). Es wird auch empfohlen, die Richtlinien und Best Practices zu Gedächtnisbedrohungen und Phileless-Techniken zu überprüfen, die von Sicherheitsanbietern und offiziellen Agenturen veröffentlicht werden, um die Verteidigung anzupassen.
Die Beobachtung von Securonix zeigt einen bereits in der Cyber-Sicherheitsindustrie bekannten Trend: die Vorliebe der Angreifer für mehrstufige Pipelines, die scheinbar legitime Komponenten und zur Ausführung ohne Verlassen von Artefakten auf Festplatte ketten. Dieser Ansatz hebt die Barriere für die forensische Erkennung und Analyse und zwingt Antwortteams zur Modernisierung, nicht nur mit intelligenteren Signaturen, sondern mit Verhaltenstelemetrie, Prozessisolation und Kontrolle über die Verwendung von Skripten und Verwaltungswerkzeugen. Unternehmen bleiben nützlich, aber die Sichtbarkeit in der Ausführungszeit und die kontextuelle Korrelation sind immer kritischer.
Kurz gesagt, DEAD # VAX ist eine Erinnerung daran, dass die Gegner weiterhin blinde Punkte in Unternehmensumgebungen suchen und ausnutzen: sie kombinieren legitime Container wie VHD, verteilte Netzwerke wie IPFS, Anussing-Techniken und Speicherausführung, um eine Last zu liefern, die für eine lange Zeit ohne erkannt werden kann. Die Antwort geht nicht durch eine einzige Maßnahme, sondern durch eine tiefgehende Verteidigungsstrategie, die Skriptsteuerung, Umsetzungspolitik, Prozessüberwachung, Verhaltensanalyse und gute Betriebshygiene umfasst. Zusätzlich zu dem Bericht von Securonix ist es angebracht, Bedrohungsanalysen und Notfall-Ressourcen in spezialisierten Medien und in offiziellen Sicherheits-Repositories zu überprüfen, um die Untersuchungen zu verfolgen.
Wenn Sie die Sicherheit von Endpoints oder Infrastruktur verwalten, erhöht es die Steuerungen, die die Ausführung von nicht zugewiesenen Skripten einschränken, auf unerwarteten Festplatten-Image-Mounts aufzeichnen und die Kommunikation blockieren oder untersuchen lassen, um nicht genehmigte Knoten und Gehwege zu verhindern. Die Securonix-Note bietet nützliche technische Details und ist ein guter Ausgangspunkt für die Anpassung der Erkennungen: Vollständiger Bericht. Und um besser zu verstehen, das breitere Phänomen der Bedrohungen, die hauptsächlich im Gedächtnis arbeiten, die Sicherheitsanalysen von großen Lieferanten wie Microsoft bieten Kontext und praktische Empfehlungen zur Verteidigung gegen philelose Techniken: Microsoft Security Blog.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...