Technologie
Produkte
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Blog
Infomaterial
Unternehmen

Die ersten Warnzeichen für Ransomware: Der Wettlauf gegen die Zeit

Brianna Leddy, Director of Analysis | Dienstag, 07. September 2021

Die Implementierung von Ransomware ist das, was letztendlich mit einem Cyberangriff bezweckt wird. Bis dahin muss ein Bedrohungsakteur einiges an Vorarbeit leisten, wie z. B. die laterale Bewegung und die Ausweitung von Berechtigungen. Die Fähigkeit, die ersten Schritte zu erkennen und abzuwehren, ist daher mindestens genauso wichtig wie das Erkennen der eigentlichen Verschlüsselung.

Angreifer nutzen unterschiedliche Strategien, wie z. B. „Living off the Land“ und den sorgfältigen Aufbau von Command-and-Control (C2)-Umgebungen, um sich unter den normalen Netzwerk-Traffic zu mischen und die traditionellen Sicherheitsmechanismen zu umgehen. Im Folgenden untersuchen wir am Beispiel einer Kompromittierung bei einem in der Verteidigungsindustrie tätigen Unternehmen in Kanada, auf welche Taktiken, Techniken und Vorgehensweisen viele Ransomware-Akteure zurückgreifen.

Phasen eines Ransomware-Angriffs

Abbildung 1: Zeitlicher Ablauf des Angriffs

Die Eröffnung: Erster Zugriff auf ein privilegiertes Konto

Der erste Kompromittierungsindikator war die Anmeldung bei einem Server mit ungewöhnlichen Zugangsdaten, gefolgt von einer ungewöhnlichen Administratoraktivität. Es gibt viele Möglichkeiten, wie sich der Angreifer Zugang zu dem Benutzernamen und Passwort verschafft haben könnte, angefangen bei Credential Stuffing (Entwendung von Zugangsdaten) bis hin zum Kauf im Dark Web. Da der Angreifer von Anfang an einen privilegierten Zugriff hatte, war keine Ausweitung von weiteren Berechtigungen nötig.

Laterale Bewegung

Zwei Tage später begann der Angreifer ausgehend vom eingangs kompromittierten Server mit der Ausbreitung. Der Server fing an, ungewöhnliche WMI-Befehle (Windows Management Instrumentation) zu senden und vier andere Geräte per Remote-Steuerung zu kontrollieren.

Die Authentifizierung erfolgte jeweils mit demselben Benutzernamen und Passwort. Eines der Ziele war ein Domain-Controller (DC), ein weiteres ein Backup-Server.

Der Angreifer nutzte für die laterale Bewegung das weit verbreitete Admin-Tool WMI und entschied sich für eine „Living off the Land“-Taktik, anstatt ein neues Tool für die laterale Bewegung einzuschleusen. Er spekulierte darauf, dass die Sicherheitstools des Unternehmens den Angriff so nicht bemerken würden. Darktrace erkannte die abweichende Nutzung von WMI und der Cyber AI Analyst setzte die Zeitpunkte der ungewöhnlichen WMI-Verbindungen zu einem Angriffsprofil zusammen.

Modelle:

  • New or Uncommon WMI Activity
  • AI Analyst / Extensive Chain of Administrative Connections

C2-Aufbau

Die vier Geräte bauten dann eine Verbindung zur IP 185.250.151[.]172 auf. Drei von ihnen, darunter der Domain-Controller und der Backup-Server, schickten SSL-Beacons an die IP und nutzten dafür die DynDNS-Domain goog1e.ezua[.]com.

Für die C2-Endgeräte waren nur sehr wenige OSINT-Informationen (Open-Source Intelligence) verfügbar, offenbar hatte aber schon einmal ein Cobalt-Strike-Script das Endgerät genutzt. Dies deutet auf einen komplexen Tool-Einsatz hin – der Angreifer nutzte Dynamic SSL und spoofte Google, um das Beaconing zu verbergen.

Interessanterweise nutzten während des gesamten Angriffs nur diese drei Geräte SSL-Verbindungen für das Beaconing. Später fand C2-Traffic über unverschlüsselte Protokolle statt. Anscheinend wurden diese drei kritischen Geräte anders behandelt als die übrigen infizierten Geräte im Netzwerk.

Modelle:

  • Unmittelbare Abweichung: Anomalous External Activity from Critical Network Device, dann verschiedene Modellabweichungen in Form von Beaconing und SSL an DynDNS. (Kennzeichnend für diese Aktivität waren DynDNS-Verbindungen des Domain-Controllers mit SSL oder HTTP.)

Der Mittelteil: Interne Auskundschaftung und weitere laterale Bewegung

Die Angriffskette war durch zwei Zyklen der lateralen Bewegung gekennzeichnet, gefolgt vom C2-Aufbau auf den Zielen, die nun kontrolliert wurden.

Abbildung 2: Beobachtete Kette von lateraler Bewegung und C2

Nach dem C2-Aufbau schickte der Domain-Controller über einen längeren Zeitraum WMI-Anfragen an 20 weitere IPs. Außerdem wurden 234 IPs über ICMP-Pings gescannt, vermutlich, um weitere Hosts zu finden.

Auf vielen von ihnen wurden Lösegeldforderungen gefunden, insbesondere, wenn die anvisierten Geräte Hypervisoren waren. Die Ransomware wurde vermutlich mit Remote-Befehlen über WMI eingeschleust.

Modelle:

  • AI Analyst / Suspicious Chain of Administrative Connections (vom eingangs kompromittierten Server zum Domain-Controller zum Hypervisor)
  • AI Analyst / Extensive Suspicious WMI Activity (vom Domain-Controller)
  • Device / ICMP Address Scan, Scanning of Multiple Devices AI Analyst Incident (vom Domain-Controller)

Weiterer C2-Traffic

Nach Ende der zweiten Phase der lateralen Bewegung wurde eine zweite Phase von unverschlüsseltem C2-Traffic von fünf neuen Geräten beobachtet. Jede davon begann mit GET-Anfragen an die im SSL-C2 gesehene IP (185.250.151[.]172). Hierfür wurde der gespoofte Hostname google[.]com verwendet.

Die Aktivität begann auf jedem Gerät mit HTTP-Anfragen zu einem URI (eindeutige Gerätekennung) endend auf .png, gefolgt von regelmäßigem Beaconing zu dem URI /books/. Schließlich sendeten die Geräte POST-Anfragen an den URI/ebooks/?k=. Alle diese Schritte scheinen dazu zu dienen, einen C2-Beacon in dem plausibel erscheinenden Traffic zu Google zu verbergen.

Der Angreifer wurde von den Antivirus-Tools des Unternehmens nicht entdeckt, da er einige C2-Verbindungen zu einer DynDNS-Domain mit SSL verschlüsselte und andere unverschlüsselte HTTP-Verbindungen wie Traffic zu google[.]com aussehen ließ.

Darktrace erkannte diese anormale Aktivität und meldete eine Vielzahl von Abweichungen von dem Modell für externe Verbindungen.

Modelle:

  • Acht Abweichungen: Compromise / HTTP Beaconing to New Endpoint, ausgehend von den betroffenen Geräten

Abschluss der Mission: Schach und matt

Zum Schluss implementierte der Angreifer die Ransomware. In der Lösegeldforderung hieß es, dass sensible Informationen ausgeschleust wurden und geleakt würden, sollte das Unternehmen nicht zahlen.

Das war jedoch gelogen. Darktrace bestätigte, dass keine Daten ausgeschleust worden waren, da über die C2-Verbindungen viel zu wenig Daten gesendet wurden. Zu behaupten, dass Daten ausgeschleust wurden, um Lösegeld zu erpressen, ist eine gängige Taktik von Angreifern. Hier ist Transparenz das A und O, um festzustellen, ob der Bedrohungsakteur blufft oder nicht.

Darüber hinaus blockierte Antigena, die Autonomous-Response-Technologie von Darktrace, einen internen Download von einem der Server, die in der ersten Phase der lateralen Bewegung kompromittiert worden waren, weil das eingehende Datenvolumen für das Client-Gerät ungewöhnlich war. Der Angreifer hat vermutlich versucht, in Vorbereitung auf das Endziel Daten zu übertragen. Somit wurde möglicherweise verhindert, dass diese Daten für eine Ausschleusung übermittelt wurden.

Abbildung 3: Modellabweichung in Antigena

Abbildung 4: SMB-Kommunikation des Geräts mit dem kompromittierten Server wird drei Sekunden später blockiert.

Modelle:

  • Unusual Incoming Data Volume
  • High Volume Server Data Transfer

Leider war Antigena auf den meisten Geräten, die von dem Vorfall betroffen waren, nicht aktiv. Im aktiven Modus hätte Antigena diese Aktivität frühzeitig gestoppt, einschließlich der ungewöhnlichen Adminstrator-Logins und des Beaconings. Der Kunde wird Antigena jetzt in vollem Umfang nutzen, um rund um die Uhr durch die Autonomous Response geschützt zu sein.

Untersuchung durch den Cyber AI Analyst

Die Darktrace KI erkannte das Beaconing von verschiedenen Geräten, einschließlich des Domain-Controllers, dem Gerät zum Zeitpunkt der Aktivität auffälligsten Gerät. Die Technologie grenzte diese Information auf drei Vorfälle ein – „Mögliches Command & Control per SSL“, „Weitreichende verdächtige Remote-WMI-Aktivität“ und „Scannen von Remote-Geräten“.

Der Cyber AI Analyst fasste nicht nur die Admin-Aktivität des Domain-Controllers zusammen, sondern verfolgte auch die ungewöhnliche Kette administrativer Verbindungen zu dem ersten Gerät zurück.

Abbildung 5: Der Incident Report des Cyber AI Analyst zeigt eine verdächtige Kette administrativer Verbindungen und stellt einen Zusammenhang zwischen dem ersten Gerät in der Kette und einem Hypervisor her, auf dem eine Lösegeldforderung über den kompromittierten Domain-Controller gefunden wurde. Dadurch wurde der Zeitaufwand für die Untersuchung deutlich reduziert. Aus dem Report gehen auch die Anmeldedaten hervor, die für alle Verbindungen im Rahmen der lateralen Bewegung verwendet wurden.

Das manuelle Auffinden der lateralen Bewegungsketten ist ein zeitaufwändiger Prozess – und somit die perfekte Aufgabe für die KI. In diesem Fall konnte das Sicherheitsteam anhand des Reports die Spur zu dem Gerät zurückverfolgen, welches wahrscheinlich die Quelle des Angriffs war, und die für die Verbindungen genutzten Anmeldedaten ermitteln.

KI ist Ihr entscheidender Vorteil

Um ein umfassendes und genaues Bild eines Ransomware-Angriffs zu erhalten, müssen auch die Phasen der Kill Chain vor der Verschlüsselung berücksichtigt werden. Bei dem oben beschriebenen Angriff erzeugte die Verschlüsselung an sich keinen Netzwerk-Traffic, daher war die frühzeitige Erkennung des Eindringlings entscheidend.

Der Angreifer verfolgte die „Living off the Land“-Taktik und nutzte WMI mit kompromittierten Admin-Zugangsdaten. Darüber hinaus spoofte er den allgemeinen Hostnamen google[.]com für C2 und nutzte DynDNS für SSL-Verbindungen. Dennoch erkannte Darktrace alle Phasen des Angriffs und fügte diese sofort zu einem aussagekräftigen Gesamtbild zusammen. Das wäre für einen menschlichen Analysten ohne zeitaufwändige Überprüfung der Zeitpunkte der einzelnen Verbindungen kaum möglich gewesen.

Ransomware-Infektionen werden immer schneller und häufiger, die Bedrohung durch offensive KI rückt näher und das Geschäft im Dark Web floriert. Gleichzeitig haben Sicherheitsteams mit unzähligen Fehlalarmen und extremem Zeitdruck zu kämpfen. Das macht KI zu einem unverzichtbaren Bestandteil jeder Sicherheitslösung. Die Uhr tickt und es steht mehr auf dem Spiel als je zuvor. Jetzt sind Sie am Zug.

Vielen Dank an unseren Darktrace Analysten Daniel Gentle für die Einblicke in diesen Bedrohungsvorfall.

Erfahren Sie mehr darüber, wie Darktrace die einzelnen Phasen eines Ransomware-Angriffs erkennt

IoCs:

IoCKommentar
185.250.151[.]172Für HTTP und SSL-C2 verwendete IP-Adresse
goog1e.ezua[.]comFür SSL-C2 verwendeter DynDNS-Hostname

Abweichungen von Darktrace Modellen:

  • AI Analyst Modelle:
    • Extensive Suspicious WMI Activity
    • Suspicious Chain of Administrative Connections
    • Scanning of Multiple Devices
    • Possible SSL Command and Control
  • Meta-Modell:
    • Device / Large Number of model breaches
  • Modelle für externe Verbindungen:
    • Anonymous Server Activity / Domain Controller DynDNS SSL or HTTP
    • Compromise / Suspicious TLS Beaconing to Rare External
    • Compromise / Beaconing Activity To External Rare
    • Compromise / SSL to DynDNS
    • Anomalous Server Activity / External Activity from Critical Network Device
    • Compromise / Sustained SSL or HTTP Increase
    • Compromise / Suspicious Beaconing Behaviour
    • Compromise / HTTP Beaconing to New Endpoint
  • Modelle für interne Aktivität:
    • Device / New or Uncommon WMI Activity
    • User / New Admin Credentials on Client
    • Device / ICMP Address Scan
    • Anomalous Connection / Unusual Incoming Data Volume
    • Unusual Activity / High Volume Server Data Transfer

Erkannte MITRE ATT&CK-Methoden:

Initial AccessT1178 — Valid Accounts
ExecutionT047 — Windows Management Instrumentation
DiscoveryT1046 — Network Service Scanning
Command and ControlT1071.001 — Web Protocols

Brianna Leddy

Based in San Francisco, Brianna is Director of Analysis at Darktrace. She joined the analyst team in 2016 and has since advised a wide range of enterprise customers on advanced threat hunting and leveraging Self-Learning AI for detection and response. Brianna works closely with the Darktrace SOC team to proactively alert customers to emerging threats and investigate unusual behavior in enterprise environments. Brianna holds a Bachelor’s degree in Chemical Engineering from Carnegie Mellon University.