Vectra zum Erkennen und Anhalten von Labyrinthen verwenden Ransomware

Das Maze ransomware, in der Community zuvor als "ChaCha ransomware" bekannt, wurde am 29. Mai 2019 von Jerome Segura entdeckt. Obwohl er zu diesem Zeitpunkt bereits über ein Jahr alt ist, ist er immer noch in freier Wildbahn anzutreffen, wie der jüngste Angriff auf Canon zeigt. Wie andere ransomware breitet sich Maze über ein Unternehmensnetzwerk aus, infiziert gefundene Computer und verschlüsselt Daten, so dass auf sie nicht zugegriffen werden kann.

Wie funktioniert das Labyrinth Ransomware ?

Maze verschlüsselt nicht nur Daten, sondern stiehlt auch die gefundenen Daten und exfiltriert sie auf Server, die vom Angreifer kontrolliert werden, der dann damit droht, sie freizugeben, wenn kein Lösegeld gezahlt wird. Zunehmend werden auch andere ransomware (wie REvil, auch bekannt als Sodinokibi) beobachtet, die ähnliche Taktiken anwenden.

Maze und ähnliche ransomware Angriffe nutzen verschlüsselte Befehls- und Kontrollfunktionen (C2), Täuschung und die Verwendung nativer Windows-Funktionen, um die Erkennung durch signaturbasierte Sicherheitskontrollen zu vermeiden.

Die Vectra-Modelle erkennen diese Bedrohungen konsistent, wenn sie in freier Wildbahn auftreten, da wir uns auf Verhaltensweisen und nicht auf Signaturen konzentrieren. Die Infrastruktur und die Tools der Angreifer ändern sich, aber die Verhaltensweisen sind stabiler. Dadurch kann Vectra nicht nur die aktuelle Variante von ransomware erkennen, sondern auch neuere, die in Zukunft entwickelt werden könnten.

Analysten des Security Operations Center (SOC) können die Verhaltenserkennungen nutzen, um einem Angreifer zuvorzukommen, bevor dieser ein bösartiges Ziel wie die Exfiltration oder Verschlüsselung von Daten erreichen kann.

In diesem Blog möchte ich einen typischen Angriffsverlauf von Maze analysieren und wie er für jemanden aussehen würde, der Vectra zur Sicherung seines Netzwerks einsetzt.

Wie sieht ein moderner Ransomware Angriff aus?

Schauen wir uns zunächst die übliche Zeitachse eines modernen ransomware Angriffs an:

• Organisation wird durch Spear-Phishing-E-Mails kompromittiert
• C2 wird eingerichtet
• Die ausführbare Datei wird fallen gelassen und der Bedrohungsakteur hat eine lange Vorlaufzeit, in der der Diebstahl von Anmeldeinformationen und andere lokalisierte Erkundungen stattfinden.
• Zusätzliche Tools werden auf den Host heruntergeladen, z. B. psexec, Cobaltstrike, Empire, ADFind
• Durchführung von Aufklärungsmaßnahmen und Sammlung von Ergebnissen
• Der Bedrohungsakteur kopiert Nutzdaten auf Ziele in der Umgebung
• Prozesse werden gestoppt, da eine Umgehung der Verteidigung und Verschlüsselung stattfindet
• Lösegeldforderung fallen gelassen
• Datenexfiltration über C2 oder TOR

Aus der SOC-Perspektive können wir dies vereinfachen und in fünf beobachtbare Schritte zerlegen.

1. Der Angreifer fasst in dem Zielunternehmen Fuß
2. Der Angreifer führt eine Erkundung durch, um interessante Informationen oder Passwörter zu finden, die eine seitliche Bewegung im Netzwerk oder eine Ausweitung der Berechtigungen ermöglichen könnten
3. Seitliche Bewegung, um die meisten Wirte zu kontrollieren
4. Exfiltration von sensiblen Daten
5. Schließlich, Bereitstellung und Ausführung von Maze ransomware in Richtung der zuvor erstellten Kanäle

Beachten Sie, dass diese Schritte je nach Akteur vorhanden sein können oder nicht. Da die Techniken variieren, können die unten aufgeführten potenziellen Entdeckungen nicht als sicher angesehen werden. Es ist auch zu beachten, dass manche Personen einfach aus Versehen eine Probe von Maze öffnen und sich selbst infizieren können, was nur eine ransomware Erkennung auslösen würde, da keine Interaktion innerhalb eines C2-Kanals stattfindet.

Anatomie des Maze Ransomware Angriffs

Schritt 1 - Erster Kompromiss

Bei der ersten Kompromittierung beginnen einige Kampagnen mit bösartigen Dokumenten, die dazu verwendet werden, eine Kobalt-Strike-Instanz zu starten, um die Fernkontrolle über den "Patient Null" zu erlangen. In mehreren gemeldeten Fällen erfolgte eine direkte Kompromittierung durch den Akteur unter Verwendung gestohlener Anmeldeinformationen, der Ausnutzung anfälliger Software oder schwacher Passwörter auf Geräten mit Internetanschluss. Das am häufigsten beobachtete Tool zur Übernahme der Kontrolle über den Patient Null scheint CobaltStrike zu sein.

Schritt 2 - Aufdeckung und Ausweitung der Rechte

Die Akteure nutzten manchmal die Ausweitung ihrer Rechte, um die ransomware ausführen und einsetzen zu können, sich seitlich zu bewegen oder interessante Dateien zu entdecken. Dieser Angriffsschritt umfasst das Aufklärungsverhalten.

• Dies kann mit Mimikatz lokal erfolgen.
• Der Akteur kann nach Dateien suchen, in denen das Wort "Passwort" vorkommt, was eine Dateifreigabeauflistung auslösen kann.
• Es wurde berichtet, dass die Enumeration/Reconnaissance-Funktion des BloodHound-Tools genutzt wird, damit der Angreifer interessante Hosts finden und die Architektur des Ziels besser verstehen kann.
• Für die Aufklärungsphase gibt es viele verschiedene Tools, die jedoch alle dasselbe Ziel verfolgen: die Netzwerkarchitektur zu verstehen, die Orte, an denen sie sich bewegen können, und die Orte, an denen Konten zu finden sind, die ihnen helfen können, sich weiter zu bewegen. ....
• All diese Verhaltensweisen könnten unsere Aufklärungserkennungen auslösen, z. B. Port-Scan, interner Darknet-Scan, verdächtige LDAP-Abfrage, Dateifreigabeaufzählung usw.

Sobald der Angreifer in der Umgebung des Ziels Fuß gefasst hat, werden mehrere Aufklärungsversuche sowie seitliche Bewegungen zu anderen Zielen durchgeführt.

Die nachstehende Abbildung zeigt dieses Verhalten deutlich, wobei die IP 10.50.2.103 der Haupteinstiegspunkt ist, der seitliche Bewegungen und ein erhebliches Aufklärungsverhalten zeigt.

Schritt 3 - Seitliche Bewegung

Für die seitliche Bewegung selbst nutzen die Angreifer meist Kobalt-Schläge aus ihrer Ausgangsposition.

• Einige Akteure erstellen selbst ein Konto auf der infizierten Domäne. Diese Aktion kann zu Anomalien bei den Zugriffsrechten führen, wie z. B. Privilegienanomalie: Ungewöhnliches Konto auf Host
• Wenn ein Exploit wie psexec durchgeführt wird, um sich mit dem Tool seitlich zu bewegen, ist Suspicious Remote Execution feuergefährdet.
• Einige Angreifer verwenden RDP. In diesem Fall sind die Erkennung von verdächtigem RDP und RDP Recon anfällig für Auslösungen. Von einem Akteur wurde berichtet, dass er einen Tunnel für RDP verwendet, der je nach der vom Angreifer verwendeten Methode als verdächtiges Relay angezeigt werden kann.

Im Detail der verdächtigen Remote-Ausführung sehen wir, wie der Angreifer psexec einsetzt, um Dienste auf benachbarten Hosts zu verwalten.

Schritt 4 - Exfiltration

Schließlich zeigen mehrere Fälle Exfiltrationsversuche vor der Verschlüsselung durch Labyrinth, die auf verschiedene Weise erfolgen, meist über ftp oder cloud Hosting-Dienste.

• Je nach Umfang der exfiltrierten Dateien könnten Data Smuggler und Smash and Grab Folgendes auslösen
• Falls der Angreifer beschließt, Daten von einer SharePoint-Site zu exfiltrieren, können wir mit der O365-Erkennung "Ungewöhnliches Volumen" rechnen ;)

Hier ist zu beachten, dass vor der Detonation von ransomware selbst der Host pc4 durch externe Fernzugriffe und Smash-and-Grab-Exfiltrationsversuche in Mitleidenschaft gezogen wurde, was hier Teil der Exploit-Kette ist.

Der externe Fernzugriff ist immer ein starker Indikator für einen externen Angreifer, wenn er mit Aufklärungserkennungen kombiniert wird. Im Erkennungsdetail finden Sie hier den Typ der C2-Anwendung, in diesem Fall Teamviewer. C2-Warnungen sollten immer untersucht werden, um Bedrohungen auszuschließen. Verlassen Sie sich nicht allein auf die Informationen über die Bedrohung, sondern berücksichtigen Sie das breitere Spektrum der Aktivitäten. Fragen Sie sich selbst:

• Führt der Gastgeber auch Aufklärung durch?
• Gibt es verdächtige Kontoaktivitäten auf dem Host?
• Ist das Ziel logisch (in diesem Fall eine IP in den Niederlanden)?
• Hat endpoint Erkennung und Reaktion (EDR) irgendwelche Alarme ausgelöst?

Schritt 5 - Ransomware

Maze ransomware wird dann über Kanäle bereitgestellt. Dieser löst offensichtlich die Aktivität der Datei ransomware aus, wie unten gezeigt.

Was die Erkennung von Ransomware selbst betrifft, so zeigt die Erkennungsansicht die Anzahl der betroffenen Dateien sowie die Namen der Freigaben an. Der ransomware Hinweis wird ebenfalls angegeben, da er helfen kann, bestimmte Malware-Familien anhand ihres Namens zu identifizieren:

Mit Recall erweiterten Ansicht können wir deutlich sehen, dass zum Zeitpunkt des Angriffs einige externe Sitzungen gestartet wurden:

Bericht nach einem Vorfall: 5 Schritte zur Identifizierung eines tatsächlichen Angriffs auf Maze Ransomware

Nachfolgend finden Sie eine Zusammenfassung eines tatsächlichen Berichts nach einem Vorfall, der die Schritte aufzeigt, die unternommen wurden, um die Frühindikatoren eines Angriffs auf ransomware zu erkennen und die Verschlüsselung von Netzwerk-Dateifreigaben zu verhindern.

Vectra wurde ermächtigt, diesen Bericht nach einem Vorfall zu veröffentlichen, wobei die Anonymität und der Schutz der privaten Daten des Kunden gewährleistet sind. Diese Art von Bericht wird in der Regel nur für interne Analysen vertraulich behandelt.

1. Innerhalb des kompromittierten Netzwerks entdeckte das Analystenteam von Vectra Consulting am ersten Tag - eine Woche vor der beabsichtigten Detonation von ransomware - unverkennbare Aufklärungs- und Seitwärtsbewegungs-Angriffsverhaltensweisen. Diese Phasen des Angriffslebenszyklus deuteten darauf hin, dass der Angreifer nach kritischen Systemen suchte, die er kompromittieren konnte, bevor er die Netzwerkdateifreigaben verschlüsselte und Lösegeld forderte.
2. Vectra zeigte, dass die Scans von einer Vielzahl von Hosts stammten, und andere Scans standen im Zusammenhang mit Aktivitäten auf ransomware , da Netzwerkdateifreigaben aufgezählt wurden.
3. Bei der Aufdeckung weiterer Beweise stellte Vectra fest, dass ein kompromittierter Host mit einer bekannten bösartigen IP-Adresse in der Ukraine kommunizierte, die mit Sodinokibi-Malware in Verbindung gebracht wurde.
4. Externe Verbindungen wurden erfolgreich zu einer ukrainischen IP-Adresse mit einem Datentransfer von etwa 80 MB hergestellt.
5. Die Anzahl der von Vectra identifizierten Entdeckungen war aufgrund der schieren Menge an Daten, die nach außen gesendet wurden, besorgniserregend.

Zusätzliche Informationen des Kunden brachten den Angriff mit Maze ransomware in Verbindung.

Sehen Sie sich diesen Bericht nach einem Vorfallder zeigt, wie wichtig die frühzeitige Erkennung von Cyberangriffen ist, um Schäden und katastrophale Datenverstöße abzuwenden. Es ist von entscheidender Bedeutung, mit Sicherheit und Präzision Vorläufer von Bedrohungen zu erkennen, Vorfälle rasch zu untersuchen und sich mit den geeigneten Reaktionsmitteln auszustatten.

Erkennen und stoppen Sie ransomware mit Vectra AI

Die Kombination aus Priorisierung von relevantem Verhalten und automatisierter Reaktion kann dazu beitragen, die Bedrohung frühzeitig zu erkennen und ihre Ausbreitung in der Umgebung zu verhindern. Um mit unseren Experten in Kontakt zu treten, können unsere Kunden mit den neu angekündigten Vectra-Services ihre Sicherheitsabläufe ausbauen und erhalten Zugang zu den sachkundigsten Mitarbeitern bei Vectra. Und wie immer, zögern Sie nicht, uns zu kontaktieren , um mehr zu erfahren oder eine Demo zu vereinbaren.