Die Rückkehr der Dunklen Seite: Analyse einer groß angelegten Kampagne zum Datendiebstahl

Datensicherheit

Die Rückkehr der Dunklen Seite

Unser Team hat kürzlich mehrere hochkarätige Untersuchungen von Angriffen geleitet, die der aufstrebenden Cyberkriminalitätsgruppe Darkside zugeschrieben werden. Diese sehr gezielten Kampagnen wurden in mehreren Phasen über Wochen und Monate durchgeführt und zielten darauf ab, sensible Daten, einschließlich Backups, zu stehlen und zu verschlüsseln. In diesem technischen Blog-Beitrag werden wir die Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs) besprechen, die wir beobachtet haben.

Über Darkside, Inc.

Die Ransomware-Gruppe Darkside kündigte ihre RaaS (Ransomware-as-a-Service) im August 2020 mit einer „Pressemitteilung“ an. Seitdem ist die Gruppe mit ihrer professionellen Vorgehensweise und ihren hohen Lösegeldforderungen bekannt geworden. Sie bietet Chat-Support für Opfer an, erstellt komplexe und redundante Speichersysteme für Datenlecks und führt vor Angriffen finanzielle Analysen der Opfer durch.

Der Name der Gruppe, Darkside, lässt an einen guten Menschen denken, der sich der dunklen Seite zugewandt hat. Auch wenn wir nicht mit Sicherheit sagen können, dass die Gruppe aus ehemaligen IT-Sicherheitsexperten besteht, sprechen ihre Angriffe von tiefgehenden Fachkenntnissen der Infrastruktur, Sicherheitstechnologien und Schwachstellen ihrer Opfer.

Die Gruppe hat öffentlich mitgeteilt, dass sie bevorzugt große Unternehmen angreift, die es sich leisten können, hohe Lösegelder zu bezahlen, statt Krankenhäuser, Schulen, gemeinnützige Organisationen und Regierungen.

Unser Reverse-Engineering hat gezeigt, dass die Malware von Darkside die Spracheinstellungen des Geräts überprüft, um sicherzustellen, dass sie keine russischen Unternehmen angreift. Ebenso hat die Gruppe Fragen in Q&A-Foren in russischer Sprache beantwortet und wirbt aktiv um russischsprachige Partner.

Die Gruppe verfügt sowohl über Windows- als auch Linux-Toolsets. Ähnlich wie NetWalker und REvil bietet Darkside ein Partnerprogramm an, das jedem, der bei der Verbreitung seiner Malware hilft, 10–25 % der Erlöse abgibt.

Anatomie eines Angriffs

Die Ransomware-Angriffskampagnen von Darkside stachen besonders durch ausgeklügelte Verhüllungstechniken hervor, insbesondere in den frühen Phasen. Die Gruppe führte sorgfältige Spionage durch und unternahm Maßnahmen, um sicherzustellen, dass ihre Angriffstools und -techniken auf überwachten Geräten und Endpoints nicht erkannt würden.

Die Zugangsvektoren unterscheiden sich zwar, aber ihre Techniken nach dem Eindringen sind relativ standardisiert und ihr Endspiel ist eiskalt kalkuliert.

Zu ihren Stealth-Taktiken gehören:

  • Command and Control über TOR
  • Vermeiden von Knoten mit EDR
  • Abwarten über bestimmte Zeiträume und Verschieben auffälliger Aktionen in spätere Phasen
  • Individuell angepasster Code und Verbindungs-Hosts für jedes Opfer
  • Verschleierungstechniken wie Verschlüsselung und dynamisches Laden von Bibliotheken
  • Antiforensische Techniken wie Löschen von Log-Dateien

 Während der späteren Phasen ihrer Angriffssequenz nimmt die Gruppe die folgenden Maßnahmen vor:

  • Harvesting von Anmeldeinformationen, die in Dateien, im Speicher und auf Domänen-Controllern gespeichert sind
  • Nutzen von Dateifreigaben, um Angriffstools zu verteilen und Dateiarchive zu speichern
  • Lockern von Berechtigungen für Dateifreigaben für einfaches Harvesting
  • Löschen von Backups, einschließlich Schattenkopien
  • Bereitstellen von angepasster Ransomware

Erster Zugriff: die Schwachstelle finden

Die Darkside-Ransomware verschafft sich über Schwachstellen den ersten Zugriff – Konten und Systeme, die sich aus der Ferne kompromittieren lassen.

Wir haben beobachtet, dass Darkside kompromittierte Konten von Subunternehmen nutzt, um auf Virtual-Desktop-Infrastruktur (VDI) zuzugreifen, die zur Vereinfachung des Remote-Zugriffs während der Pandemie eingerichtet wurde. Für die Subunternehmer galt dies jedoch nicht.

Wir haben auch beobachtet, dass sie Exploits in Servern ausnutzen und anschließend schnell ein zusätzliches RDP einrichten, das den Zugriff aufrechterhält, falls der Server mit der Schwachstelle gepatcht werden sollte.

Obwohl keiner dieser Vektoren neu ist, sollte man sich dennoch im Klaren darüber sein, dass fortschrittliche Bedrohungsakteure die Perimeter-Verteidigung leicht umgehen können. Daran lässt sich erneut erkennen, wie wichtig die Multi-Faktor-Authentifizierung für alle Konten ist, die mit dem Internet verbunden sind, ebenso wie das schnelle Patching von mit dem Internet verbundenen Systemen.

Command and Control

Die Darkside-Ransomware-Angreifer errichteten Command and Control hauptsächlich über einen RDP-Client, der über Port 443 läuft und über TOR geroutet wird. Nachdem die Angreifer einen Tor-Browser installiert hatten, modifizierten sie dessen Konfiguration so, dass er als dauerhafter Dienst lief und den an einen lokalen (dynamischen) Port gesendeten Datenverkehr über   TOR via HTTPS über Port 443 umleitete.Dadurch war dieser Verkehr von normalem Webverkehr nicht zu unterscheiden. Diese Verbindungen waren persistent, sodass die Angreifer RDP-Sitzungen zu und über die kompromittierten Hosts aufbauen konnten, was die laterale Bewegung erleichterte.

Wir haben Spuren von TOR-Clients auf vielen Servern gefunden und Dutzende von aktiven TOR-Verbindungen beobachtet.

Die Angreifer verwendeten Cobalt Strike als sekundären Mechanismus für Command and Control. Wir haben Dutzende von angepassten Stagern beobachtet, die angepasste Beacons heruntergeladen haben, welche sich mit spezifischen Servern verbanden. Die Stager (mit dem Dateinamen file.exe) wurden mithilfe von WinRM remote auf bestimmten Zielgeräten bereitgestellt, wobei sie jeweils unterschiedlich konfiguriert wurden. Cobalt-Strike stellt Verbindungen zu einem dedizierten C2-Server her, um den Cobalt-Strike-Beacon herunterzuladen.

Bedrohungsakteure verwenden in der Regel nur einige wenige C2-Server pro Opfer, aber Darkside hat jeden Beacon so konfiguriert, dass er sich mit einem anderen C2-Server mit einem anderen Benutzeragenten verbindet. Das deutet darauf hin, dass Darkside eine große und gut etablierte Angriffsinfrastruktur betreibt.

Die Stager und die ausführbaren TOR-Dateien wurden zur einfachen Verteilung in Netzwerkfreigaben gespeichert. Die Akteure vermieden es, Backdoors auf Systemen zu installieren, die von EDR-Lösungen überwacht werden.

Erkennung des Beacons, der auf einen kompromittierten Server heruntergeladen wird

Wir haben beobachtet, wie sich Bedrohungsakteure mit vielen Konten in der Virtual-Desktop-Umgebung anmelden – manchmal auch gleichzeitig. Jedes Mal, wenn sich der Bedrohungsakteur anmeldete, wurden .lnk-Dateien in den kompromittierten Benutzerordnern erstellt. Anhand der Aktivität der .lnk-Dateien konnte festgestellt werden, welche Konten und VDI-Umgebungen kompromittiert worden waren und wann die einzelnen Konten bei dem Angriff verwendet wurden.

Spionage und Harvesting von Anmeldedaten

Die Darkside-Ransomware ist für ihre Living-off-the-Land-Funktionsweise (LOtL) bekannt. Wir haben sie jedoch dabei beobachtet, wie sie Netzwerke scannt, Befehle ausführt, Prozesse dumpt und Anmeldedaten stiehlt. Wie auch der Command-and-Control-Code wurden die Angriffs-Tools auf Hosts ausgeführt, die über minimale Erkennungs- und Blockierungsfunktionen verfügten. Bekannte Tools waren dabei advanced_ip_scanner.exe, psexec, Mimikatz und weitere.

Dies ging von den ursprünglich kompromittierten Hosts, Ticketanfragen und NTLM-Verbindungen aus, um Zugriff auf weitere Systeme und Konten zu erhalten. Nach einer gewissen Wartezeit verwendete der Akteur ein Active-Directory-Spionagetool (ADRecon.ps1), um zusätzliche Informationen über Benutzer, Gruppen und Berechtigungen zu sammeln und die Ergebnisse in einer Datei unter dem Namen „DC.txt“ zu speichern. Jedes ihrer Angriffswerkzeuge wurde nach Gebrauch gelöscht. Der Angreifer speicherte die Ergebnisse der Spionage sowie die Anmeldedaten vorübergehend auf einem sehr aktiven Windows-Server. Interessante Dateinamen, die auf dem Server gespeichert und gelöscht wurden, waren unter anderem: Typed_history.zip, Appdata.zip, IE_Passwords.zip, AD_intel und ProcessExplorer.zip.

Zusätzlich zum Harvesting von Anmeldedaten erbeutete der Angreifer Anmeldedaten aus Benutzerprofilordnern, darunter:

  • Users\<Benutzername>\Appdata\[Roaming\Local]\Microsoft [Credentials\Vault]
  • Users\<Benutzername>\Appdata\Roaming\Mozilla\Firefox\Profiles
  • Users\<Benutzername>\\Appdata\Local\Google\Chrome

Der Bedrohungsakteur verwendete Invoke-mimikatXz.ps1, um Anmeldedaten von nicht überwachten Servern zu extrahieren und speicherte sie in einer Datei namens „dump.txt“. Dieser Vorgang wurde auf einem wertvollen Ziel mit minimalen Erkennungsfunktionen ausgeführt.

invoke mimikatz

Sobald die Angreifer Admin-Anmeldeinformationen für die Domäne erhalten hatten, haben sie auf Domänen-Controller zugegriffen. In späteren Stadien führten sie den bekannten DCSync-Angriff durch, bei dem sich der Angreifer als legitimer Domänen-Controller ausgibt und den Directory-Replikationsdienst nutzt, um AD-Informationen zu replizieren und so Zugriff auf die Passwortdaten der gesamten Domäne zu erhalten, einschließlich des KRBTGT-HASH.

Datensammlung und Staging

Der aktive Windows-Server diente auch als Hub, um Daten vor der Exfiltration zu speichern. Die Daten wurden von Hunderten von Servern mit einer Batch-Routine (dump.bat) geminet, die sich unter \Desktop\Dump befand. Hierbei wurden Dateien an denselben Speicherort geschrieben und in 7zip-Archive mit einer einfachen Benennungskonvention *.7z.[001]-[999] komprimiert.

Obwohl sie über erhöhte Berechtigungen verfügten, konnten wir beobachten, wie die Angreifer die Berechtigungen auf Dateisystemen lockerten und sie ein wenig öffneten, damit sie mit jedem Domänenbenutzerkonto auf die Dateien zugreifen konnten.  Die Batch-Datei, die Zieldaten und die Archive wurden von den Angreifern innerhalb weniger Stunden nach der Sammlung gelöscht.

Verschlüsselung

Darkside setzt Ransomware erst dann ein, wenn sie die Umgebung kartiert, relevante Daten exfiltriert, die Kontrolle über privilegierte Konten erlangt und alle Backup-Systeme, -Server und -Anwendungen identifiziert haben. Wir konnten mehrere Verbindungen zu primären Backup-Repositories beobachten, die kompromittierte Dienstkonten kurz vor der Verschlüsselung verwendeten. Indem sie die Verschlüsselungsphase des Angriffs hinauszögern, konnten sie Schaden und Gewinn maximieren.

Der Ransomware-Code wird über etablierte Backdoors (TOR-RDP oder Cobalt Strike) bereitgestellt und wird an jedes Opfer individuell angepasst. Die Nutzdaten umfassen die ausführbare Datei, eine eindeutige Erweiterung und eine eindeutige Opfer-ID, mit der das Opfer auf die Website von Darkside zugreifen und eine Zahlung vornehmen kann.

Durch die Verwendung einzigartiger ausführbarer Dateien und Erweiterungen kann die Ransomware signaturbasierte Erkennungsmechanismen leicht umgehen. Darkside stellt auch anderen Bedrohungsakteuren maßgeschneiderte Ransomware zur Verfügung (Ransomware as a Service) und kassiert einen Teil des Gewinns bei erfolgreichen Angriffen.

Eine Version des angepassten Codes wurde „Homie.exe“ genannt. Wir haben festgestellt, dass diese nicht nur maßgeschneidert ist, sondern auch Anti-Forensik- und Anti-Debugging-Techniken verwendet, beispielsweise Selbstinjektion, Erkennung virtueller Maschinen und dynamisches Laden von Bibliotheken. Außerdem werden Schattenkopien auf Opfergeräten gelöscht.

Darkside Ransomware Phase 1 – Selbstinjektion

Bei der Ausführung kopiert sich die Malware an den Pfad „C:\Users\admin\AppData\Local\Temp\“ und injiziert ihren Code mit einem CMD-Befehl in den bestehenden Prozess:

Wenn die Malware Hinweise darauf findet, dass sie debuggt oder in einer VM ausgeführt wird, stoppt sie die Ausführung sofort.

Um eine Erkennung durch AV- und EDR-Lösungen zu vermeiden, lädt die Ransomware ihre Bibliotheken dynamisch, ohne sie in ihrem Importbereich zu registrieren:

Es werden nur 3 Bibliotheken importiert, was darauf hinweist, dass die Namen anderer Bibliotheken während der Ausführung der Malware dynamisch aufgelöst werden, anstatt explizit importiert zu werden.

Ransomware Phase 2 – Löschung von Schattenkopien

Mithilfe eines verschleierten PowerShell-Befehls versucht die Malware, die Schattenkopien auf dem Opfergerät zu löschen. Der verschleierte Befehl:

Der entschleierte Befehl:

Ransomware Phase 3 – Verschlüsselung von Dateien

Nach dem Löschen der Schattenkopien schließt die Malware zunächst bestimmte Prozesse, um gesperrte Dateien zu vermeiden, die die Verschlüsselung behindern können. Anschließend startet sie ihre Verschlüsselungsroutine.

Liste der Prozesse:

  • sql
  • Oracle
  • ocssd
  • dbsnmp
  • synctime
  • agntsvc
  • isqlplussvc
  • xfssvccon
  • mydesktopservice
  • ocautoupds
  • encsvc
  • Firefox
  • tbirdconfig
  • mydesktopqos
  • ocomm
  • dbeng50
  • sqbcoreservice
  • Excel
  • infopath
  • msaccess
  • mspub
  • onenote
  • Outlook
  • powerpnt
  • steam
  • thebat
  • thunderbird
  • visio
  • winword
  • wordpad
  • notepad

Während der Verschlüsselung hängt die Malware eine 8-stellige Zeichenfolge an das Ende der verschlüsselten Dateinamen an.

  • Darkside-Ransomware vermeidet die Verschlüsselung von Dateien mit den folgenden Erweiterungen:

386,adv,ani,bat,bin,cab,cmd,com,cpl,cur,deskthemepack,diagcab,diagcfg,diagpkg,dll,drv,exe,hlp,icl,icns,ico,ics,idx,ldf,lnk,mod,mpa,msc,msp,msstyles,msu,nls,nomedia,ocx,prf,ps1,rom,rtp,scr,shs,spl,sys,theme,themepack,wpx,lock,key,hta,msi,pdb

  • Es erstellt Anweisungen zur Zahlung des Lösegelds („README…txt“), um den Kontakt zum Ransomware-Urheber für die Entschlüsselung herzustellen:

Vorbereitung auf Bedrohungsakteure im Jahr 2021

Finden und beheben Sie die Schwachstellen vor Ihren Angreifern

Jedes Konto mit Internetzugang, das keine MFA erfordert, lässt sich durch einen Brute-Force-Angriff kompromittieren. Alle nicht gepatchten Server mit Internetzugang brauchen nur einen einzigen Exploit, um einem Script Kiddie den Jackpot seines Lebens zu bescheren.

Gehen Sie von einem erfolgreichen Angriff aus und finden Sie Schwachstellen im Inneren

Bedrohungsakteure suchen nach schnellen Möglichkeiten, um Zugangsdaten für Domänen-Administratoren zu erbeuten. Dienst- oder Administratorkonten mit SPNs, die auch eine schwache Verschlüsselung haben oder, noch schlimmer, privilegierte Konten mit schwachen oder keinen Passwortanforderungen sind sehr leichte Beute.

In viel zu vielen Unternehmen benötigen Angreifer nicht einmal höhere Zugangsdaten, um Daten zu harvesten – der durchschnittliche Mitarbeiter hat Zugriff auf weit mehr Daten, als er benötigt. Sperren Sie sensible Daten, damit nur die richtigen Konten Zugriff haben, und überwachen Sie dann Dateisysteme auf ungewöhnliche Zugriffs- und Änderungsereignisse.

Mehr Licht bitte, vor allem an wichtigen Stellen

Unternehmen mit umfassenden Überwachungslösungen erkennen und untersuchen solche Angriffe deutlich schneller. Wenn Sie blinde Flecken in Kerndatenspeichern, in Active Directory, DNS, Fernzugriffssystemen oder in Webverbindungen haben, wird es schwierig, festzustellen, welche Systeme kompromittiert wurden und ob sensible Daten gestohlen wurden.

Wenn Sie einen erfolgreichen Angriff entdecken, lassen Sie Active Directory den Explosionsradius triangulieren        

Active-Directory-Ereignisse können Ihnen helfen, kompromittierte Konten und Geräte schnell zu identifizieren. Anstatt sich auf jeweils einen Endpoint zu konzentrieren, sollten Sie, sobald ein kompromittiertes Konto oder System identifiziert wurde, Active Directory auf Anzeichen für laterale Bewegungen dieses Kontos oder der auf diesem System verwendeten Konten abfragen.

Wenn Sie Grund zur Annahme haben, dass Sie von Darkside oder einer anderen Gruppe ins Visier genommen wurden, zögern Sie bitte nicht, sich über https://www.varonis.com/help an uns zu wenden, um auf Vorfälle zu reagieren und forensische Hilfe zu erhalten.

Ein besonderer Dank geht an Rotem Tzadok für die Leitung unserer Untersuchungen und Analysen zu Darkside.

 

Jeff Petters

Jeff Petters

Jeff has been working on computers since his Dad brought home an IBM PC 8086 with dual disk drives. Researching and writing about data security is his dream job.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990