ProLion Team, Juli 2021

Ransomware nimmt exponentiell zu

Ransomware verbreitet sich exponentiell in verschiedenen geografischen Regionen und Branchen. Von Ransomware ins Visier genommen zu werden, ist für die meisten Organisationen eher eine Frage des „Wann“ als des „Ob“. Wir haben viele bekannte Varianten wie CryptoLocker, WannaCry, Petya, Locky und mehr mit branchenführender Genauigkeit erkannt. Unser Forschungsteam, ProLion Labs, untersucht kontinuierlich neue Angriffe und testet sie gegen unsere Erkennungsmethoden, um unsere Kunden stets geschützt zu halten. Betrachten Sie beispielsweise unser Verständnis des Petya-Angriffs, einer äußerst effektiven Malware, die viele zentrale Dateiserver und wichtige Daten betroffen hat.

Petya: Mehrere laterale Bewegungstechniken

Der Petya-Angriff nutzt seitliche Bewegungsfähigkeiten und benötigt nur eine einzige infizierte Maschine, um ein Netzwerk zu beeinträchtigen. Die Verbreitungsfunktion der Ransomware besteht aus mehreren Methoden, die dafür verantwortlich sind:

  • Diebstahl von Anmeldedaten oder die Wiederverwendung bestehender aktiver Sitzungen
  • Nutzung von Dateifreigaben, um die schädliche Datei über Maschinen im selben Netzwerk zu übertragen
  • Nutzung bestehender legitimer Funktionen zur Ausführung der Nutzlast oder das Ausnutzen von SMB-Schwachstellen für nicht gepatchte Maschinen

Da Benutzer sich häufig mit Konten mit lokalen Admin-Berechtigungen anmelden und aktive Sitzungen auf mehreren Maschinen geöffnet haben, sind gestohlene Anmeldeinformationen wahrscheinlich, um dem Benutzer auf anderen Maschinen den gleichen Zugriff zu ermöglichen. Sobald die Ransomware gültige Anmeldeinformationen hat, durchsucht sie das lokale Netzwerk, um gültige Verbindungen auf den Ports tcp/139 und tcp/445 herzustellen. Eine besondere Verhaltensweise ist für Domänencontroller oder Server reserviert: Diese Ransomware versucht, DhcpEnumSubnets() aufzurufen, um DHCP-Subnetze aufzulisten. Für jedes Subnetz sammelt sie alle Hosts/Clients (unter Verwendung von DhcpEnumSubnetClients()), um sie auf Dienste auf den Ports tcp/139 und tcp/445 zu überprüfen. Wenn eine Antwort erfolgt, versucht die Malware, eine Binärdatei auf der Remote-Maschine mit gestohlenen Anmeldeinformationen zu kopieren. Anschließend durchsucht sie das lokale Netzwerk nach admin$-Freigaben, kopiert sich selbst über das Netzwerk und führt die neu kopierte Malware-Binärdatei remote mit PSEXEC aus.

Zusätzlich zum Dumping von Anmeldeinformationen versucht die Malware, Anmeldeinformationen zu stehlen, indem sie die Funktion CredEnumerateW verwendet, um alle anderen möglicherweise im Anmeldeinformations-Speicher gespeicherten Benutzeranmeldeinformationen zu erhalten. Wenn ein Anmeldeinformationen-Name mit „TERMSRV/“ beginnt und der Typ als 1 (generisch) festgelegt ist, verwendet sie diese Anmeldeinformationen zum Weiterverbreiten durch das Netzwerk. Diese Ransomware verwendet auch das Windows Management Instrumentation Command-line (WMIC), um Remote-Freigaben (unter Verwendung von NetEnum/NetAdd) zum Verbreiten zu finden. Sie verwendet entweder ein dupliziertes Token des aktuellen Benutzers (für bestehende Verbindungen) oder eine Benutzername/Passwort-Kombination (Verbreitung durch legitime Tools).

Der Angriff kann sich auch durch die Nutzung eines Exploits für das Server Message Block (SMB) ausbreiten. Darüber hinaus verwendet diese Malware auch einen zweiten Exploit für CVE-2017-0145. Das Verschlüsselungsverhalten dieser Ransomware hängt von der Privilegierungsebene des Malware-Prozesses und den auf der Maschine gefundenen Prozessen ab. Dies geschieht durch Verwendung eines einfachen XOR-basierten Hashing-Algorithmus auf den Prozessnamen und Überprüfung gegen die folgenden Hash-Werte, die als Verhaltensexklusion verwendet werden. Diese Ransomware versucht, alle Dateien mit bestimmten Dateinamenerweiterungen in allen Ordnern auf allen festen Laufwerken zu verschlüsseln, einschließlich .ppt, .ost, .zip, .xls, .xlsx und viele mehr.

Sie verwendet Dateizuordnungs-APIs anstelle von normalen ReadFile()/WriteFile()-APIs. Der einzigartige Schlüssel, der für die Verschlüsselung von Dateien verwendet wird (AES), wird in verschlüsselter Form zur README.TXT-Datei hinzugefügt, die die Bedrohung unter dem Abschnitt „Ihr persönlicher Installationschlüssel:“ schreibt. Neben der Verschlüsselung von Dateien versucht diese Ransomware auch, den MBR zu infizieren oder bestimmte Sektoren von VBR und MBR zu zerstören. Nach Abschluss ihrer Verschlüsselungsroutinen legt diese Ransomware eine Textdatei namens README.TXT in jedem festen Laufwerk ab.

ProLion Labs ist immer auf der Jagd

Unser Forschungsteam ist der Zeit voraus und untersucht neue Arten von Angriffen und Methoden, die im Darknet diskutiert werden. Unser Team testet diese Ansätze ständig gegen unsere maschinellen Lernalgorithmen. Ransomware-Angriffe beginnen weit früher als im Verschlüsselungsstadium, und ProLion untersucht Hunderte von Indikatoren, um einen Angriff zu stoppen, bevor Schaden entsteht. ProLion hat Tausende von Angriffen in vielen verschiedenen Mustern verhindert.