So erkennen Sie die Ransomware FiveHands in den verschiedenen Stadien der Kill Chain

von Bhabesh Raj Rai, Associate Security Analytics Engineer

Am 6. Mai 2021 veröffentlichte die CISA einen Bericht über eine neue Ransomware-Variante namens FiveHands, die kürzlich bei einem erfolgreichen Cyberangriff auf eine Organisation eingesetzt wurde. Zuvor, am 29. April 2021, veröffentlichte Mandiant Details über eine aggressive, finanziell motivierte Gruppierung namens UNC2447, die eine Zero-Day-Schwachstelle in SonicWall VPN ausnutzte, um FiveHands-Ransomware zusammen mit einer hochentwickelten Malware einzusetzen, die zuvor als SombRAT bezeichnet wurde.

Wie sich der UNC2447-Angreifer Zugang verschaffte und FiveHands einschleusen konnte

Am 23. Januar 2021 veröffentlichte SonicWall einen Warnhinweis zu einer Zero-Day-Schwachstelle (CVE-2021-20016) in ihren SonicWall Secure Mobile Access (SMA)-Appliances. Die schwerwiegende SQL-Injection-Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, Anmeldeinformationen remote von den betroffenen Geräten abzugreifen. Der Angreifer von UNC2447 nutzte diese Zero-Day-Schwachstelle (T1190) als ersten Zugriffsvektor, um sich Zugang zur betroffenen Organisation zu verschaffen.

Der Bedrohungsakteur verwendete viele frei verfügbare Tools wie RouterScan und Rclone für die Phasen der Netzwerkerkundung, des Zugriffs auf Anmeldeinformationen und der Exfiltration. UNC2447 setzte außerdem einen spezifischen Remote-Access-Trojaner (RAT) namens SombRAT ein, um schadhafte Payloads herunterzuladen und auszuführen. Das BlackBerry Research and Intelligence-Team berichtete bereits zuvor über den Einsatz von SombRAT in der Cyberspionage-Aktion „CostaRicto“. Um die Erkennung durch Sicherheitslösungen (TA0005) zu umgehen, verwendete UNC2447 Batch-Dateien (T1059.003) und Textdateien, um PowerShell-Skripte (T1059.001) aufzurufen und auszuführen, die den SombRAT-Loader dekodierten.

FiveHands ermöglicht den aggressiven Ansatz der doppelten Erpressung

Die Bedrohungsakteure, die die Ransomware FiveHands nutzen, verwenden die berüchtigte Taktik der doppelten Erpressung, um maximalen Druck auf die Opfer auszuüben, das Lösegeld zu bezahlen. Die Angreifer verschlüsseln die gestohlenen Daten und drohen den Opfern aggressiv damit, Informationen in den Medien zu veröffentlichen und die Daten in Hackerforen zu verkaufen, sollten die Opfer das Lösegeld für die Entschlüsselung der Daten nicht bezahlen. Der Bericht „Attack Landscape Update“ von F-Secure zeigt, dass fast 40 Prozent der im Jahr 2020 entdeckten Ransomware-Stämme sowie einige ältere Stämme die Fähigkeit aufweisen, Daten auszuschleusen. Sind Bedrohungsakteure in der Lage, Daten zu exfiltrieren, können sie die Taktik der doppelten Erpressung anwenden, um ihre finanzielle Ausbeute zu steigern. Der Bericht führt zudem an, dass bis Ende des Jahres 2020 mehr als 15 Ransomware-Gruppen die doppelte Erpressung nutzten. Im Jahr 2019 kam dieser aggressive Ansatz lediglich bei der Maze-Ransomware-Familie zum Einsatz.

Wir möchten uns nun darauf konzentrieren, wie Sicherheitsadministratoren LogPoint nutzen können, um die Taktiken, Techniken und Verfahren (TTPs) von UNC2447 zur Verbreitung der FiveHands-Ransomware einfach zu erkennen.

Ransomware FiveHands mit LogPoint erkennen

Der ursprüngliche Infektionsvektor war eine Zero-Day-Schwachstelle in den SonicWall SMA100-Appliances. Die Gruppe, die diese Zero-Day-Schwachstelle erkannt hat, ist jedoch nicht bereit, Details zur Aufdeckung des Angriffs preiszugeben, da sie Angreifer nicht dabei unterstützen möchte, ihre eigenen PoCs zu erstellen, wie beispielsweise im Fall von F5 und Citrix. Trotz des Mangels an Details können Sie FiveHands in anderen Phasen der Kill Chain erkennen.

Für die Erkundung eines Netzwerks verwendete UNC2447 den SoftPerfect Network Scanner (netscan.exe), um so Host-Namen zu sammeln und Netzwerkdienste zu identifizieren (T1046). Sie können die Ausführung dieses Tools sehr einfach in den Sysmon-Events für die Prozesserzeugung sehen.

norm_id=WindowsSysmon label="Process" label=Create vendor="SoftPerfect Pty Ltd" description="Application for scanning networks"

Das Tool generiert einen Bericht zu den Ergebnissen mit dem Namen netscan.xml oder allgemeiner <Name der exe>.xml. Ist Sysmon so konfiguriert, dass es die Erstellung von XML-Dateien protokolliert, ist dies eine weitere Methode, um die Ausführung des Networks Scanners zu erkennen.

[ norm_id=WindowsSysmon label="Process" label=Create -image IN ["C:\Windows\*", "C:\Program Files*"] | norm on image <image_name:'[^\\]+'><:'(?i)\.exe'> ] as s1 followed by[ norm_id=WindowsSysmon event_id=11 file="*.XML" | norm on file <file_name:'\S+'><:'(?i)\.xml'> ] as s2 on s1.image_name=s2.file_name

In ähnlicher Weise verwendete UNC2447 das Dienstprogramm RouterScan, um Netzwerk-Router und Proxy-Server im Netzwerk zu identifizieren. Die aktuelle Version von RouterScan umfasst eine Liste gängiger Administrator-Namen und Passwörter, die für einen Wörterbuch-Angriff (T1110.001) verwendet werden können, um Zugriff auf einen Router zu erhalten, um gängige Schwachstellen zu identifizieren, und um Sicherheitslücken in vielen gängigen Routern auszunutzen (T1595.002). Das Dienstprogramm kann auch jedes Subnetz sowie bestimmte Ports und Protokolle scannen (T1046). RouterScan lässt sich sehr einfach über die Events zur Prozesserzeugung in Sysmon erkennen.

norm_id=WindowsSysmon label="Process" label=Create application="Router Scan by Stas'M"

Alternativ können Sie nach DLL-Drops Ausschau halten, die RouterScan benötigt, um über die Sysmon-Events zur Dateierstellung zu funktionieren.

norm_id=WindowsSysmon event_id=11 file IN ["librouter.dll", "libeay32.dll"]

UNC2447 nutzte auch das beliebte Remote-Administration-Tool PsExec von Microsoft, um die Payload auf verschiedenen Hosts remote auszuführen. Sie können PsExec sowohl über native Windows-Events als auch über die Pipe-Events von Sysmon erkennen, wie untenstehend aufgeführt.

norm_id=WinServer event_id=4697 service=PSEXESVC| chart count() by host, user, service, file

norm_id=WindowsSysmon event_id IN [17, 18] pipe IN ["*-stdin", "*-stderr", "*-stdout"]

Sicherheitsverantwortliche finden in unserem Blogbeitrag weitere Informationen dazu, wie sie PsExec-Ausführungen in ihren IT-Umgebungen aufspüren können.

Sie können auch die Ausführung des Rclone-Dienstprogramms, eines cloudbasierten Open-Source-Storage-Management-Tools, über die Events zur Prozesserzeugung in Sysmon erkennen.

norm_id=WindowsSysmon label="Process" label=Create description="Rsync for cloud storage"

Die Gruppierung UNC2447 installierte auch eine kostenfreie Version des S3 Browsers zum Hoch- und Herunterladen von Daten auf ein/von einem Cloud-Konto (T1567.002). Sie können die Installation des S3 Browsers in der Sysmon-Registry sehen und dessen Ausführung in den Events zur Prozesserzeugung erkennen.

norm_id=WindowsSysmon label=Registry label=Value label=Set detail="*\S3 browser\s3browser-con.exe"norm_id=WindowsSysmon label="Process" label=Create vendor="NetSDK Software, LLC" application="S3 Browser"

Wie bereits erwähnt, verwendet UNC2447 Batch- und txt-Dateien (in den Unterverzeichnissen von %PROGRAMDATA%), um PowerShell-Skripte aufzurufen, die den SombRAT-Loader dekodieren. Sie können abgelegte Artefakte über die Sysmon-Events zur Dateierzeugung aufspüren.

norm_id=WindowsSysmon event_id=11 path="C:\ProgramData*" file IN ["WwanSvc.*"]

Falls Sie Microsoft Defender in Ihrer IT-Umgebung installiert haben, achten Sie auf die folgenden Bedrohungen im Zusammenhang mit UNC2447.

norm_id=WinServer label=Threat label=Detect threat IN ["Trojan:Win32/Casdet!rfn", "Trojan:BAT/Somrat", "Ransom:Win32/CryptoLocker!MSR", "Ransom:Win32/Filecoder.PA!MTB"]

Die Erkennung von Ransomware in einem frühen Stadium ist entscheidend

In der aktuellen Bedrohungslandschaft verwenden viele Cyberkriminelle und Angreifer wie UNC2447, UNC1878 und REvil oftmals mehrere, frei verfügbare Tools wie Advanced IP Scanner, Rclone und ADFind für ihre Attacken. Andere Bedrohungsakteure werden sich diesem Trend vermutlich anschließen, um den Aufwand für die Entwicklung eigener Tools zu reduzieren. Die Verwendung allgemeiner, frei verfügbarer Tools hat zudem den Vorteil für die Angreifer, dass eine Einordnung für Threat Intelligence-Analysten immer schwieriger wird.

Daher sollten die Sicherheitsverantwortlichen in den Unternehmen über Erkennungsmöglichkeiten verfügen, um die Nutzung dieser gängigen Tools durch aggressive Bedrohungsakteure aufzudecken, die versuchen, in immer kleineren Zeitfenstern an ihr gewünschtes Ziel zu gelangen. Falls Ihr Unternehmen die oben genannten Tools für rechtmäßige administrative Aufgaben verwendet, ist es möglicherweise besser, auf ein anderes Framework wie PowerShell umzusteigen und jegliche Nutzung dieser Tools als schadhaft einzustufen. Als Unternehmen müssen die Ausführung dieser frei verfügbaren Tools, die zunehmend von Angreifern verwendet werden, in einem frühen Stadium erkennen, um spätere Erpressungsversuche zu verhindern.