Es gibt eine neue Ransomware: Egregor-Erkennung mit LogPoint

Von Bhabesh Raj Rai, Associate Security Analytics Engineer

Egregor ist eine Variante der Sekhmet-Ransomware-Familie, gehört zu den aktivsten und aggressivsten Ransomware-Stämmen des vergangenen Jahres und gilt weithin als Nachfolger der Ransomware Maze. Group-IB, Insikt und Palo Alto Networks sind unabhängig voneinander zu dem Schluss gekommen, dass Egregor mit erhältlicher Malware wie Qakbot, IcedID und Ursnif verknüpft wird, um einen ersten Zugriff auf die Systeme der Opfer zu erhalten.

Egregor trat erstmalig Mitte September 2020 in Erscheinung während Maze Ransomware zum gleichen Zeitpunkt öffentlich seinen Rückzug bekannt gab. In dieser kurzen Zeit ist es Egregor gelungen, viele Opfer überall auf der Welt bloßzustellen. Zu den Opfern zählen namhafte Unternehmen wie Kmart, Ubisoft, Crytek und Randstad. Die Zunahme der Aktivität von Egregor signalisiert, dass die Partner von Maze schnell und reibungslos zu Egregor gewechselt sind.

Egregor-Angriffe durch wirksame Methoden der doppelten Erpressung gekennzeichnet

Egregor folgt dem gleichen RaaS-Modell(Ransomware-as-a-Service) wie andere beliebte Ransomware-Stämme, z. B. Ryuk und Maze. Bei RaaS abonnieren die Cyberkriminellen die Verwendung von Egregor, so dass selbst Anfänger komplexe Ransomware-Angriffe starten können. Ein weiterer Grund für die rasche Verbreitung von Egregor ist die hochwirksame Taktik der doppelten Erpressung, bei der Cyberkriminelle auf sensible Daten zugreifen, sie verschlüsseln, um den Zugang der Opfer zu verhindern, und dann einen Teil der betroffenen Daten als Nachweis der Exfiltration veröffentlichen. Die doppelte Erpressung setzt die Opfer größtmöglich unter Druck, das Lösegeld zu bezahlen, und es funktioniert. Arete IR ermittelte, dass die durchschnittliche Lösegeldforderung von Egregor bei 3.407.119 US-Dollar liegt, bei einer durchschnittlichen Ausfallzeit von 12 Tagen. 

Die Partner von Egregor sind für ihren Verhandlungsstil bekannt. Die böswilligen Akteure stellen ihren Opfern ein Ultimatum: Daten werden nach 72 Stunden veröffentlicht, sollten sie nach der Verschlüsselung der Systeme der Opfer keine Antwort erhalten. Wie Maze und Ryuk nimmt auch Egregor an der „Großwildjagd“ teil und hat große Unternehmen im Visier, da diese ein hohes Lösegeld zahlen können, was erhebliche Profite bedeutet.

Ein typischer Egregor-Angriff umfasst ein bösartiges Microsoft Office-Dokument, das einer Phishing-E-Mail als erster Infektionsvektor angehängt ist. Beim Öffnen des Dokuments kann das schädliche Makro Malware wie Qakbot oder IcedID herunterladen. Die heruntergeladene Malware beginnt dann, den Host und das Netzwerk auszukundschaften und sammelt Anmeldedaten, die für laterale Bewegungen verwendet werden können. Die Malware kann entweder PsExec oder WMI für laterale Bewegungen verwenden. In bestimmten Fällen haben Egregor-Akteure auch Cobalt Strike eingesetzt. Am Ende des Infektionszyklus lädt die Malware in der Regel einen Batch und eine Zip-Datei herunter. Die Zip-Datei enthält das RClone-Tool mit seinen Konfigurationsdateien für die Exfiltrierung von Daten zu Cloud-Dateihosting-Seiten wie DropBox oder OneDrive. Der Batch enthält einen Befehl zum Herunterladen und Ausführen der Egregor DLL über rundll32.

Im Februar 2021 führten gemeinsame Ermittlungen der französischen und ukrainischen Polizei zur Festnahme einiger Kunden der RaaS Egregor. Die Behörden nehmen jedoch an, dass keiner dieser verhafteten Kriminellen dem operativen Team von Egregor angehört. Es ist davon auszugehen, dass die Festnahmen nicht zu einer dauerhaften Abschaltung der Ransomware-Familie von Egregor führen. 

Erkennung von Egregor-Ransomware mithilfe von LogPoint

Mithilfe des MITRE ATT&CK-Frameworks und LogPoint können die „Blue Teams“ Egregor in allen Phasen eines Angriffs aufspüren. Die Bedrohungsjäger können die nachfolgend aufgeführten Abfragen verwenden, um die verschiedenen Taktiken, Techniken und Verfahren (TTPs) von Egregor zu suchen.

Wir können nach dem ersten Zugriffsvektor suchen, indem wir uns die Eingabeaufforderung (T1059.003) oder PowerShell (T1059.001) von Microsoft Office-Produkten ansehen.

norm_id=WinServer label="Process" label=Createparent_process IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"] "process" IN ["*\cmd.exe", "*\powershell.exe"]

Die Egregor-Akteure legen Batch-Dateien in der Regel im Temp-Verzeichnis ab. Wir empfehlen den Systemadministratoren, alle falsch positiven Ergebnisse auszufiltern, bevor eine unternehmensweite Suche durchgeführt wird.

norm_id=WindowsSysmon label=File label=Create file="*.bat" path IN ["*\Desktop\*", "C:\Users\Public*", "*\AppData\Local\Temp*", "C:\ProgramData*", "C:\PerfLogs*"]

Egregor verwendet Bitsadmin (T1197), um die Nutzdaten herunterzuladen, was leicht zu erkennen ist.

norm_id=WinServer label="Process" label=Create "process"="*\bitsadmin.exe" command="* /transfer */download *.dll*"

In der Regel benennen Egregor-Akteure ihre Nutzdaten mit einer einstelligen Bezeichnung wie q.dll oder b.dll. Wir können dieses Verhalten ausnutzen und über die Sysmon-Dateierstellungsereignisse nach DLLs suchen, die einen einstelligen Dateinamen haben.

norm_id=WindowsSysmon label=File label=Create file="*.dll" | process count_char(file) as filename_length | search filename_length = 5

Wie andere Ransomware-Betreiber auch, nutzen die Anwender von Egregor ADFind, um Active Directory-Informationen zu sammeln.

norm_id=WinServer label="Process" label=Create "process"="*.exe" command IN ['* -f *objectcategory=*', '* -sc trustdmp*']

Egregor-Akteure verwenden häufig das beliebte Open-Source-Tool LaZagne, um Anmeldeinformationen (T1003.001) zur Erleichterung lateraler Bewegungen auszugeben, die wir über die Process Access-Ereignisprotokolle von Sysmon erkennen können.

norm_id=WindowsSysmon label=Process label=Accesscall_trace="*C:\Windows\SYSTEM32\ntdll.dll+*|C:\Windows\System32\KERNELBASE.dll+*_ctypes.pyd+*python27.dll+*"

Egregor-Akteure führen die Haupt-Nutzdaten über rundll32 (T1218.011) aus, wobei die gemeinsamen Argumente Passegregor und Multiproc sind.

norm_id=WinServer label="Process" label=Create"process"="*\rundll32.exe" command IN ["*DllRegisterServer* --passegregor*", "*DllRegisterServer* -multiproc*"]

Manchmal verwenden Egregor-Akteure Passwörter wie pclassified13, um die Ransomware-Nutzdaten zu entschlüsseln, nach denen wir in den Prozesserstellungsprotokollen Ausschau halten können.

norm_id=WinServer label="Process" label=Create command IN ["* -pclassified13 *", "* -passegr*", "* -pbiden*", "* -pass2police*", "* -peguard6*"]

Manchmal nutzen die Akteure auch PsExec (T1570), um sich lateral durch das Netzwerk zu bewegen, was über Windows-Ereignisprotokolle erkannt werden kann.

norm_id=WinServer event_id=4697 service=PSEXESVC| chart count() by host, user, service, file

Wenn die Akteure den von PsExec erstellten Standarddienstnamen zur Tarnung geändert haben, können wir stattdessen Pipe-Ereignisse von Sysmon verwenden.

norm_id=WindowsSysmon event_id IN [17, 18] pipe IN ["*-stdin", "*-stderr", "*-stdout"] | norm on pipe --<:word>-<:'stdin|stdout|stderr'> | chart count() by source_host

Auf unserem Blog finden Sie weitere Informationen zur Suche nach PsExec-Artefakten in Ihrer Umgebung. Die Akteure haben auch WMI (T1047) verwendet, um die DLL-Nutzdaten remote auszuführen, was leicht zu erkennen ist.

norm_id=WinServer label="Process" label=Create"process"="*\wmic.exe" command="*/node*process call create*"

Da Egregor-Akteure auch RDP (T1021.001) für laterale Bewegungen verwenden können, müssen wir auf interne RDP-Verbindungen prüfen.

norm_id=WinServer event_source="Microsoft-Windows-TerminalServices-LocalSessionManager" event_id=21 source_address IN HOMENET | chart count() by host, user, source_address

Außerdem können wir nach RDP-Verbindungen zu kritischen Hosts wie DC- oder Dateiservern suchen, was die Angreifer in der Regel während ihres Angriffslebenszyklus tun.

norm_id=WinServer event_source="Microsoft-Windows-TerminalServices-LocalSessionManager" event_id=21 host IN CRITICAL_HOSTS | chart count() by host, user, source_address

Egregor-Akteure haben außerdem das RClone–Dienstprogramm als legitimen Svchost-Prozess (T1036.005) getarnt.

norm_id=WinServer label="Process" label=Create "process"="*\svchost.exe" (-parent_image="*\services.exe" -command="* -k *") -parent_image="*\MsMpEng.exe"

Wir können die Ausführung der umbenannten Rclone-Binärdatei über die Prozesserstellungsereignisse von Sysmon erkennen.

norm_id=WindowsSysmon label="Process" label=Create description="Rsync for cloud storage"

Egregor-Akteure haben auch das beliebte Advanced Port Scanner Tool für das Port-Scanning (T1046) von Remote-Hosts im Subnetzverwendet.

norm_id=WinServer label="Process" label=Create ("process"="*\AppData\Local\Temp\*\advanced_ip_scanner.exe" OR description="Advanced IP Scanner")

In einigen Fällen haben die Angreifer Cobalt-Strike eingesetzt, um Taktiken wie Auskundschaften und Credential Dumping anzuwenden. Eine einfache Möglichkeit, Cobalt Strike zu erkennen, ist die Suche nach dessen Standard-Pipenamen, die schwer zu ändern sind, sodass die meisten Angreifer nicht einmal versuchen, sie zu ändern.

norm_id=WindowsSysmon event_id IN [17, 18] pipe IN ["\msagent_*", "\MSSE-*-server", "\postex_*"]

Minimieren Sie Ihr Gefährdungsrisiko durch Phishing-Awareness-Training 

Es ist immer noch nicht bekannt, inwiefern die jüngsten Verhaftungen im Zusammenhang mit Egregor die allgemeine Aktivität der Ransomware beeinträchtigt haben. Dennoch sollten die Verteidiger der Unternehmen immer bereit sein, künftige Gefahren aufzudecken und zu verhindern. Da Phishing nach wie vor der beliebteste Infektionsvektor für Ransomware ist, empfehlen wir Unternehmen, ein umfassendes Schulungsprogramm zum Thema Phishing für ihre Mitarbeiter einzurichten.

Außerdem ist es üblich, dass Ransomware-Gruppen eine Partnerschaft mit anderen Cyberkriminellen eingehen, die gemeinhin als „Erstzugriffsmakler“ bezeichnet werden. Diese Erstzugriffsmakler bieten den Ransomware-Betreibern direkten Zugriff auf eine Reihe kompromittierter Systeme. Durch den direkten Zugang können Ransomware-Gruppen leicht Zugriff auf die internen Netzwerken eines Unternehmens erlangen, von wo aus sie beginnen, ihre Privilegien zu erweitern, sich lateral zu bewegen und schließlich die Ransomware einzusetzen.

Wir raten den „BlueTeams“, ihre Erkennungen für verschiedene Ransomware-Familien regelmäßig zu testen und abzustimmen. Da sich die TTPs von Egregor mit denen anderer Ransomware-Familien überschneiden, können Systemadministratoren diese Erkennungen in ihrem Arsenal anpassen und testen.