Saudische Beamte warnten kürzlich Organisationen im Königreich, sich vor Shamoon 2 malware in Acht zu nehmen, das Computer durch Löschen der Festplatten lahmlegt. Im Jahr 2012 legte Shamoon Saudi Aramco lahm, und diese neue Variante hatte es Berichten zufolge auf das saudische Arbeitsministerium sowie auf mehrere Ingenieur- und Fertigungsunternehmen abgesehen.
Bei einer kürzlich durchgeführten Analyse stieß Vectra Networks auf eine bösartige Komponente, die in Verbindung mit überphishing verbreiteten bösartigen Dokumenten verwendet zu werden scheint.
Diese Dokumente verwenden PowerShell, um das Erkundungstool herunterzuladen und auszuführen, damit sie im Netzwerk des Opfers Fuß fassen können. Dieses Tool, bekannt als ISM, scheint ein vollwertiges, eigenständiges Tool zu sein, das es Remote-Betreibern ermöglicht, Systeme zu durchsuchen, bevor sie ihre Spuren mit Shamoon 2 beseitigen.
ISM ist eine relativ kleine Binärdatei im Vergleich zu modernen malware. Es ist ungefähr zwischen 565 und 580 KB groß und scheint mit Microsoft Visual C++ 8.0 kompiliert worden zu sein. Nach der Ausführung führt dieses Tool mehrere Aktionen aus, um möglichst viele wichtige Informationen über das Zielsystem zu sammeln.
Es enthält einige Anti-Sandbox- und Analysemethoden und sucht speziell nach dem Vorhandensein von "ISM.exe", die ausgeführt wird, um seine Arbeit erfolgreich abzuschließen.
Das Tool ermittelt die folgenden Informationen über die Zielmaschine:
- Installierte Antivirenprodukte
- Installierte Firewall-Produkte
- Aktuelles Systemdatum und Uhrzeit
- Aktuelle Systemzeitzone
- Die Domäne des lokalen "Administrator"-Kontos
- Ein vollständiger Netstat-Dump (netstat -ant)
- Ein vollständiger ipconfig-Dump (ipconfig /all)
- %username% Umgebungsvariable
- %userdomain% Umgebungsvariable
- Ein vollständiger Systemprofil-Informationsdump (systeminfo)
- Liste der aktuell laufenden Prozesse (Taskliste)
- WPAD und aktuelle Proxy-Konfigurationen
Das Tool erzwingt auch das Herunterfahren des Systems, indem es den Windows-Initialisierungsprozess winit.exe beendet, wenn das Herunterfahren des Systems nicht erfolgreich ist. Es kann geplante Aufgaben erstellen und diese verwenden, um die Überprüfung von Anwendungen und System-Updates zu unterbrechen.
Darüber hinaus ist das Tool in der Lage, zusätzliche Remote Access Tools (RAT) und Backdoor-Tools auszuführen. Die folgenden Tools sind im Code speziell gekennzeichnet:
- Powershell UACME-Tool, um die Benutzerkontensteuerung zu umgehen und die Berechtigungen zu erweitern, indem verschiedene DLL-Dateien mithilfe der Windows-Binärdatei Wusa.exe abgelegt werden. Dieses Tool zielt speziell auf die OOBE-Methode zur Ausnutzung ab.
- PowerShell Empire Invoke-bypassuac-Methode, die ein vertrauenswürdiges veröffentlichtes Zertifikat während der Prozessinjektion missbraucht, um die Berechtigungen zu erhöhen und die UAC zu umgehen.
- Mimikatz - Ein beliebtes Tool zum Abrufen gespeicherter Windows-Anmeldeinformationen auf dem Rechner.
- Powercat - Eine auf Powershell TCP Port 4444 basierende Backdoor, die mit ncat und netcat kompatibel ist.
- ExecuteKL - Ein generischer Keylogger kann auf dem System ausgeführt werden und seine Ergebnisse werden in einer temporären Datei gespeichert.
Das Tool stellt auch ausgehende DNS- und HTTP-Anfragen an den Server update.winappupdater.com. Bei der Inspektion dieses Servers wurden mehrere verdächtige PHP- und URI-Anfragen an Seiten gestellt, die auf eine C&C-Funktionalität hinweisen könnten.
Das Tool verwendet einen eindeutigen User-Agent-String von Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) wie Gecko, um HTTP-C&C-Anfragen durchzuführen:
Ein Beispiel für die Parameter während des C&C wäre etwa das folgende:
commandid=62168133-0418-411c-a6f9-27b812b76759
commandId=CmdResult=85bd26b3-c977-47d8-a32b-f7bae6f8134d
Diese HTTP-Anfragen werden an URIs gestellt, die Home/BM, Home/CC, Home/SCV, Home/CC oder Home/CR enthalten. Einige andere Ressourcen, wie Home/SF und Home/gf, wurden ebenfalls festgestellt und könnten für Tests oder frühere Kampagnen verwendet werden.
Darüber hinaus scheint der Server auch einen veralteten, von Microsoft zertifizierten Intel Wireless LAN-Treiber (NB500_Win7_intel_wireless_LAN_Driver_13.3.0.24.1.s32) zu hosten. Dieses Tool wird wahrscheinlich in böswilliger Weise verwendet, um entweder vorhandene Netzwerktreiber zu manipulieren oder eine Schwachstelle im Treiber selbst für die Erhöhung von Berechtigungen auf den Zielsystemen zu nutzen.
Sobald diese Binärdatei auf einem System ausgeführt wurde und die Angreifer mit den gesammelten Daten zufrieden sind, ist das Tool in der Lage, alle Spuren seiner temporären Dateien aus dem System zu entfernen.
Diese gestohlenen Daten werden dann direkt in der Shamoon 2-Builder-Anwendung verwendet, um die Wirksamkeit der Datenlöschung zu maximieren. Da die Zugangsdaten und Netzwerkstandorte in dieser Phase gestohlen werden, müssen die Bediener lediglich den Shamoon 2 malware über die ISM-Backdoor an das System übergeben, sobald sie ihre Hauptaufgabe erfüllt haben.
Bei der Initialisierung scannt das Shamoon 2-Binary das aktuelle /24-Netzwerk, mit dem der lokale Rechner verbunden ist. Bei diesem Netzwerk-Sweep wird über die TCP-Ports 135, 139 und 445 nach Rechnern gesucht, die die gestohlenen Zugangsdaten verwenden, die vom ISM malware gesammelt wurden.
Die Autoren überprüfen die Systeme auf gültige Passwörter, indem sie Remote-Registrierungsaufrufe auf den Zielsystemen missbrauchen. Sobald eine erfolgreiche Remote-Registrierungssitzung erkannt wird, verwendet malware RPC und psexec, um die Dateien auf diese Rechner zu kopieren und dann jede dieser Binärdateien unbemerkt auszuführen.
Aktuelle Kopien der Shamoon 2-Binärdateien löschen das System am folgenden Dienstag nach der Ausführung um 0230 Uhr Systemzeit. Wir gehen davon aus, dass das Datum und die Uhrzeit der Detonation der Nutzlast je nach aktueller Kampagne ebenfalls angepasst werden können.
Was Sie tun sollten
Es wird dringend empfohlen, alle betroffenen Systeme sofort auszuschalten, sobald eine Aktivität von Shamoon 2 entdeckt wird. Die Administratoren sollten dann die betroffenen Geräte von einem sicheren USB-Gerät booten und das Dateisystem für den Lesezugriff mounten.
Betriebswichtige Dateien sollten dann vom System entfernt und das System mit anderen Anmeldedaten neu eingerichtet werden. Administratoren sollten beachten, dass, wenn die Shamoon 2-Binärdatei oder ihre Netzwerkaktivität entdeckt wird, Domänenanmeldeinformationen und wahrscheinlich andere sensible Informationen bereits gestohlen und aus dem betroffenen Netzwerk exfiltriert wurden.
Die resultierende Nutzlast von Shamoon 2, die den MBR löscht und durch ein Image ersetzt, dient wahrscheinlich dazu, die Spuren der Angreifer und ihre wahren Motive zu verwischen.
Die Datenwissenschaft hinter Vectra Bedrohungserkennungen
In diesem Whitepaper erfahren Sie, wie auf Vectra AI basierende Modelle zur Erkennung von Bedrohungen menschliches Fachwissen mit einem breiten Spektrum an Datenwissenschaft und ausgefeilten maschinellen Lernverfahren kombinieren, um Bedrohungen wie Shamoon 2 zu erkennen.