Cyberattacke-Bulletin: Verteidigung gegen Codefinger Ransomware in AWS S3 >

Cyberattacke-Bulletin: Verteidigung gegen Codefinger Ransomware in AWS S3 >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Video

Vectra AI : Salt Typhoon

Vectra AI : Salt Typhoon
Vectra AI : Salt Typhoon
Sprache zum Herunterladen auswählen
Herunterladen
Zugang zum Bericht
Vielen Dank für das Herunterladen!
Bitte rufen Sie Ihr kostenloses Angebot unten auf.
Herunterladen
Herunterladen
Download auf Französisch
Download auf Deutsch
Download auf Spanisch
Herunterladen auf Japanisch
Download auf Italienisch

TL;DW: Wie funktioniert der Salt Typhoon ?

Salt Typhoon folgt einer strukturierten Angriffssequenz und verwendet integrierte Windows-Tools, um nicht entdeckt zu werden. Im Folgenden finden Sie eine Aufschlüsselung ihrer Taktik und der verwendeten Befehle.

1. Erster Zugang

Salt Typhoon nutzt in erster Linie öffentlich zugängliche Server mit bekannten Schwachstellen aus. Anstatt sich auf phishing zu verlassen, bevorzugen sie N-Day- und zero-day , um Remote Code Execution (RCE) zu erreichen.

2. Ausführung & Ausdauer

Sobald sie sich Zugang verschafft haben, führen sie bösartige Nutzdaten aus und sorgen mit Windows-Tools für die Persistenz.

PowerShell-Ausführung:

Sie verwenden PowerShell, um Skripte ohne Einschränkungen auszuführen:

powershell -ex bypass -c "<password>"
  • -Ex-Bypass: Setzt die Ausführungsrichtlinie außer Kraft, damit das Skript ausgeführt werden kann.
  • <password>: Schlüssel zur Entschlüsselung des Skripts, das normalerweise verschlüsselt ist.

Persistenz des Registers:

Um sicherzustellen, dass die malware jedes Mal ausgeführt wird, wenn sich ein Benutzer anmeldet, fügen sie einen Registrierungsschlüssel hinzu:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "<malware_name>" /t REG_SZ /d "<malware_path>" /f
  • "HKCU\Software\Microsoft\Windows\CurrentVersion\Run": Speicherort in der Registrierung für Autostart-Programme.
  • REG_SZ: Gibt einen String-Wert (den malware ) an.
  • /f: Erzwingt die Ausführung ohne Bestätigung.

3. Erkundung

Salt Typhoon sammelt Informationen über die Umgebung, bevor es zu einer Eskalation der Berechtigungen kommt.

Verwendung von WMIC (Windows Management Instrumentation Command-line)

wmic process get name,processid,commandline
  • Listet alle laufenden Prozesse und Befehlszeilenargumente auf.

Verwendung von Netzgruppe zur Identifizierung von Domänenadministratoren

cmd /c "net group 'domain admins' /domain"
  • Fragt Active Directory nach Domänenadministratorkonten ab.
  • /Domäne: Stellt sicher, dass die Abfrage für die Active Directory-Domäne gilt und nicht nur für den lokalen Rechner.

4. Diebstahl von Zugangsdaten und Eskalation von Berechtigungen

Nach der Erkundung erweitern sie ihre Privilegien und stehlen Anmeldedaten.

Bereitstellung von Tools zum Diebstahl von Zugangsdaten

Sie installieren Werkzeuge wie:

  • Mimikatz (holt die Anmeldedaten aus dem Gedächtnis).
  • Keylogger (zeichnet Tastatureingaben auf).
  • Dienstprogramme für Credential Dumping.

Privilegien-Eskalation über Cobalt Strike

Sie setzen ein Cobalt Strike, ein legitimes Red-Teaming-Tool, um SYSTEM-Rechte zu erlangen und tiefer in das Netzwerk einzudringen.

5. Seitliche Bewegung

Salt Typhoon verbreitet sich über das Netzwerk mithilfe verschiedener Windows-Dienstprogramme.

Kopieren einer Stapeldatei auf eine andere Maschine

copy \\<target_ip>\C$\Windows\Temp\malware.bat
  • Verwendet \\<target_ip> um einen gemeinsamen Ordner auf einem anderen Rechner anzugeben.
  • Platziert ein Batch-Skript (.bat), die aus der Ferne ausgeführt werden sollen.

Ausführen des kopierten Skripts über das WMIC

wmic /node:<target_ip> process call create "cmd /c C:\Windows\Temp\malware.bat"
  • /node:<target_ip>: Legt die Zielmaschine.
  • Prozessaufruf erstellen: Führt einen Prozess aus der Ferne aus.
  • cmd /c: Führt die kopierte Batch-Datei aus.

Erstellen einer Hintertür mit Windows-Diensten (sc erstellen)

sc \\<target_ip> create VGAuthtools binpath= "C:\Windows\System32\installutil.exe C:\Windows\Temp\malware.exe" start= auto type= own
  • sc: Dienstprogramm zur Steuerung von Windows-Diensten.
  • \\<target_ip>: Erzeugt den Dienst per Fernzugriff auf einem anderen Rechner.
  • VGAuthtools: Tarnt malware als legitimes Tool.
  • binpath: Verwendet installutil.exe (a legitimes Windows-Werkzeug) zur Ausführung der bösartige Nutzlast.
  • start= auto: Sorgt für Persistenz, indem die malware bei jedem Neustart des Rechners neu gestartet wird.

6. Command & Control (C2) + Datenexfiltration

Salt Typhoon baut eine ständige Kommunikation mit seinen C2-Servern auf.

Cobalt Strike & Malware

  • Sendet "Herzschläge", um gefährdete Maschinen zu signalisieren.
  • Erhält neue Anweisungen und Aktualisierungen.
  • Exfiltriert gestohlene Zugangsdaten und sensible Daten.

Missbrauch von öffentlichen Cloud für die Exfiltration

Salt Typhoon vermeidet eine Entdeckung, indem er vertrauenswürdige Plattformen nutzt, um gestohlene Daten hochzuladen:

  • AnonFiles
  • Datei.io
  • GitHub
  • Google Mail

7. Anhaltende Spionage und Auswirkungen

Salt Typhoon überwacht kontinuierlich kompromittierte Netzwerke und stiehlt sensible Daten über einen längeren Zeitraum.

    ----

    Wie kann Vectra AI diese Angriffe erkennen?

    Die Plattform von Vectra AIkonzentriert sich auf reale Angriffsverhaltensweisen, nicht nur auf bekannte Bedrohungen. So kann sie Salt Typhoon Aktivitäten auch dann erkennen, wenn Angreifer integrierte Windows-Tools verwenden.

    • ‍UngewöhnlicherFernzugriff und -ausführung
    • Verdächtige Kerberos-Aktivität
    • Anomalien bei den Berechtigungen und SMB Brute-Force-Versuche
    • Versteckte Tunnel und verdächtige PowerShell-Aktivitäten

    Erfahren Sie mehr über unsere KI-gesteuerten Erkennungen oder probieren Sie unsere selbstgeführte Demo aus.

    Weltweites Vertrauen bei Experten und Unternehmen

    Häufig gestellte Fragen