Varonis Threats Trends Report

Datensicherheit, IT-Experten

Dieser Bericht bietet einen monatlichen Überblick vom Forensik-Team von Varonis und dokumentiert die Aktivitäten, die wir beobachtet haben, während wir auf Ereignisse reagiert, forensische Untersuchungen durchgeführt und Malware-Proben durch Reverse Engineering nachkonstruiert haben. Dieser Bericht dient dazu, Ihnen zu helfen, die sich stets weiterentwickelnden Bedrohungsszenarien besser zu verstehen und Ihre Abwehrmaßnahmen entsprechend anzupassen.

Malware-Übersicht – EvilQuest

EvilQuest (auch bekannt als ThiefQuest und Mac.Ransom.K) ist eine Ransomware, die darauf abzielt, macOS-Geräte zu verschlüsseln. Diese sind in der Regel weniger von Ransomware betroffen.[i]

EvilQuest ist die dritte Ransomware-Variante für macOS-Geräte, die in freier Wildbahn gefunden wurde.

Ein weiteres ungewöhnliches Detail von EvilQuest, das es von anderen Ransomware-Varianten unterscheidet, ist die durchgängig symmetrische Verschlüsselung, anstatt in mindestens einer Phase der Verschlüsselung einen asymmetrischen Schlüssel einzusetzen.

Dadurch kann der Schlüssel, mit dem die Datei verschlüsselt wurde, auch zum Entschlüsseln verwendet werden. Dadurch sind die Dateien wesentlich einfacher zu entschlüsseln.

Die Ransomware umfasst außerdem eine Datenexfiltrationsfunktion mit drei externen Python-Skripten, die HTTP-Post-Anfragen senden können:

Zudem verfügt die Ransomware über zusätzliche Funktionen, die viele Ransomware-Varianten normalerweise nicht haben. So sucht sie z. B. nach SSH-Schlüsseln, mit denen der Angreifer sich interaktiv am Gerät des Opfers anmelden kann. Ebenso sucht sie nach vertrauenswürdigen Zertifikaten, mit denen der Angreifer dann ohne Sicherheitswarnungen auszulösen auf Websites zugreifen kann.

In Teilen des Codes, der API-Funktionen aufruft, lassen sich auch Anzeichen von Key-Logging-Funktionen finden, die nach Hardware-Ereignissen auf untergeordneter Ebene suchen. Ihre Namen enthalten „klgr“ und sie geben Strings wie „started logging“ (Logging gestartet) aus:

Vieles deutet darauf hin, dass sich die Ransomware noch in Entwicklung befindet und noch nicht in ihrer endgültigen Form vorliegt. Die Entschlüsselungsfunktion ist z. B. nicht vollständig implementiert. Da die Entschlüsselungsroutine nirgendwo im Code aufgerufen wird, können die Opfer ihre Dateien definitiv nicht entschlüsseln – selbst wenn sie das Lösegeld bezahlen.

Malware-Übersicht – Agent Tesla

Agent Tesla ist eine Spyware/ein Keylogger, mit dem Daten von den Geräten der Opfer exfiltriert werden.[ii] Die Malware zielt hauptsächlich auf Opfer und ISPs aus Indien ab. Agent Tesla wurde 2014 erstmals beobachtet und wurde vielen Angreifer als „Malware as a Service“ bereitgestellt. Bedrohungsakteure können über die offizielle Website eine Abonnementlizenz für die Malware erwerben.

Quelle

In der Vergangenheit wurde Agent Tesla meist über Phishing-E-Mails verbreitet, um Daten von den kompromittierten Geräten zu stehlen. Neuere Versionen der Malware zielen auf gespeicherte Anmeldeinformationen ab und konzentrieren sich dabei auf Passwörter für VPN- und E-Mail-Dienste. Dies könnte auf einen Anstieg der Nachfrage nach diesen Daten hindeuten, der sich möglicherweise auf die erhöhte Nutzung im letzten Jahr durch die zunehmende Remote-Arbeit zurückführen lässt.

Die neue Version missbraucht auch scheinbar legitime und vertrauenswürdige Dienste, wie z. B. Telegram, als Plattformen, über die Daten exfiltriert werden. Die Verwendung des Telegram-Messengers könnte möglicherweise herkömmliche netzwerkbasierte Erkennungsmechanismen umgehen.

Die in AutoIt geschriebene ausführbare Dropper-Datei enthält eine Prozessinjektionsfunktion, mit der die Malware ihren Shell-Code in einen Prozess injizieren und die Kontrolle an ein Programm namens „RegSvcs.exe“ übergeben kann.[iii]

Dieses Programm (in .NET geschrieben) enthält die Funktionen zum Erfassen der gespeicherten Anmeldeinformationen von installierter Software auf dem Gerät des Opfers (z. B. beliebte Browser, wie im Screenshot gezeigt) und zum Senden dieser Daten an den C&C-Server:

Malware-Übersicht – Foudre APT

„Foudre“ ist die Bezeichnung für ein iranisches APT, das 2017 entdeckt wurde.[iv] Seine Vorläufer reichen bis in das Jahr 2007 zurück (Infy, auch bekannt als „Prince of Persia“). Es wird hauptsächlich dazu verwendet, heimlich Daten von Unternehmen und VIP-Personen zu exfiltrieren.

Das APT wurde hauptsächlich, aber nicht ausschließlich, gegen Ziele in Europa und Nordamerika eingesetzt und besteht aus mehreren Phasen. In der ersten Phase öffnet das Opfer ein manipuliertes Dokument, das Makro-Code enthält. Dieser Code extrahiert eigenständig Archive mit den Komponenten von Foudre. Beispiel für das Dokument, das an die Opfer gesendet wurde:

In der zweiten Phase wird die Verbindung zu einem C2-Server über HTTP hergestellt. Ziel ist hier zum einen die eigene Validierung, zum anderen aber auch der Download von „Tonnerre“ – einer Malware, die in der dritten Phase verwendet wird.

In der dritten Phase wird „Tonnerre“ ausgeführt und hat zwei Aufgaben: sich selbst mittels HTTP-Kommunikation zum C2-Server zu aktualisieren und Daten über das FTP-Protokoll zu exfiltrieren.

Der Domainname und die IP-Adresse des C2-Servers waren nicht als String in der Malware selbst verfügbar, da sie die Domain mithilfe von Algorithmen zur Domaingenerierung (DGA) findet – eine Technik, die zahlreiche Domainnamen generiert und versucht, mit ihnen zu kommunizieren, wobei jedoch nur einer davon der echte C2-Server-Domainname ist. Mit dieser Technik kann der Angreifer potenziell seine Identität verbergen und die Vertrauenswürdigkeit der C2-Server länger aufrechterhalten.

Malware-Übersicht – Drovorub

Drovorub ist eine Malware, die Linux angreift. Das FBI und die NSA gehen davon aus, dass sie vom russischen Bedrohungsakteur „Fancy Bear“ alias „APT28“ und „Stronium“ entwickelt wurde.[v]

Die Malware wird durch die Kombination von drei verschiedenen Dienstprogrammen erstellt – einem Rootkit für den Betriebssystemkernel, einer Portweiterleitungs- und Dateiübertragungskomponente und einem C2-Kommunikationsdienstprogramm.

Der Zweck des Kernel-Rootkits besteht darin, die Aktivität der Malware zu verbergen, indem Prozesse vor Systemaufrufen und dem Dateisystem versteckt werden. Außerdem werden Dateien durch die Verwendung bestimmter Funktionen für diesen Zweck versteckt, Netzwerksockets aus verschiedenen Ansichten herausgefiltert und verschiedene Techniken zum Verbergen von Paketen verwendet.

„Fancy Bear“ steckt mutmaßlich auch hinter mehreren anderen Kampagnen befinden, z. B. hinter Angriffen auf Botschaften und Ministerien in Asien und Europa, die im August 2019 entdeckt wurden, und einem Angriff auf mehrere Organisationen im Sportbereich im September darauf. Beide Angriffe umfassten auch Phishing-Versuche, und beim ersten Angriff wurden mehrere Stufen von Downloadern eingesetzt; einige davon sind in Nischenprogrammiersprachen geschrieben.

Eine weitere Operation, die dieser Gruppe zugeschrieben wird, dauerte etwa eineinhalb Jahre, von Dezember 2018 bis Mai 2020. Dabei wurden die Mail-Server und VPN-Dienste mehrerer US-Behörden kompromittiert.

Malware-Übersicht – StrongPity

StrongPity, alias APT-C-41 und „Promethium“, ist eine Backdoor, die von einer türkischen APT-Gruppe entwickelt wurde, die sich speziell auf Finanz-, Industrie- und Bildungseinrichtungen in Europa konzentriert, um diese auszuspionieren.[vi] Die Malware wurde erstmals 2012 in freier Wildbahn gesichtet. Ihre letzte aufgezeichnete Aktivität erfolgte im November 2020.

Die Malware wird über den sogenannten Wasserloch-Ansatz verbreitet. Dabei hängt sie sich an eine normalerweise legitime Software wie WinRAR oder TrueCrypt an, indem sie Websites online schaltet, auf denen diese Tools angeblich angeboten werden. Dabei werden jedoch infizierte Versionen bereitgestellt.[vii]

Die Ausführung der Malware erfolgt in mehreren Phasen. Sie beginnt damit, das Opfer mithilfe der Wasserlochtechnik zu infizieren. Dann legt sie unter dem Pfad %temp%\ndaData Dateien ab, die die Konfiguration der Malware enthalten.

Anschließend sucht sie mit ihrer Dateisuchfunktion nach Dateien, für die sie konfiguriert ist, z. B. Dateien mit bestimmten Erweiterungen. Der Dateityp, nach dem gesucht wird, ist in die Nutzlast der Malware eingebettet.

Die gefundenen Dateien werden dann in eine ZIP-Datei komprimiert, die verschlüsselt, in mehrere Teile aufgeteilt und als versteckt markiert wird. Diese aufgeteilten Dateien werden dann an den Angreifer geschickt, indem Web-POST-Anfragen an den C2-Server gesendet werden. Diese Technik soll dem Angreifer helfen, unentdeckt zu bleiben, da eine POST-Anfrage mit kleiner Nutzlast in den meisten Unternehmen als normale Aktivität g.

Nachdem die geteilten Dateien gesendet wurden, werden sie vom Datenträger des Opfers gelöscht.

Varonis-Erkennungen

Die Bedrohungserkennungsprodukte von Varonis verfügen über mehrere integrierte Bedrohungsmodelle, die die genannten Malware-Varianten in verschiedenen Phasen ihrer Aktivität identifizieren können:

  • Kryptographische Aktivität erkannt“: Erkennt die Erstellung von Lösegeldforderungen auf einem Dateiserver.
  • Unmittelbares Muster erkannt: Benutzeraktivitäten deuten auf Ransomware hin“: erkennt den Verschlüsselungsprozess von Dateien auf einem Dateiserver, ohne sich auf bekannte Ransomware-Dateinamen oder -Erweiterungen zu verlassen. So wird die Erkennung neuer Varianten von Ransomware/Datenvernichtungsprogrammen ermöglicht.
  • Ungewöhnliches Verhalten: Eine ungewöhnliche Datenmenge wurde auf externe Websites hochgeladen“: erkennt das Hochladen gesammelter Daten auf eine Website, die nicht zur Domain der Organisation gehört, indem die Menge der gesendeten Daten untersucht wird.
  • Potenzieller Phishing-Angriff: Zugriff auf eine riskante Website, deren Domainname ungewöhnliche Zeichen enthält“: erkennt, wenn ein Benutzer auf eine Website zugreift, die möglicherweise Malware enthält, auf Grundlage ungewöhnlicher Zeichen in der URL der Website.
  • Verdächtige E-Mail: Es wurde eine E-Mail mit einem verdächtigen böswilligen Anhang empfangen“: erkennt, wenn ein E-Mail-Anhang bösartigen Code oder einen Link zu einer bösartigen Website enthalten könnte.
  • „Download einer potenziell schädlichen Datei wurde erkannt“: erkennt den Download einer potenziell schädlichen Datei.
  • „Potenzielle Malware-Infektion: Dropper identifiziert“: Erkennt die potenzielle Infektion der Umgebung durch Dropper-Malware, mit der die nächsten Phasen einer Malware heruntergeladen werden können.
  • „Domaingenerierungs-Algorithmen (DGA) identifiziert“: Erkennt Malware-Varianten, die Domainnamen generieren und mit dem DNS-Server kommunizieren, um ihre Namen aufzulösen und so ihren C2-Server zu finden.

Erfolgsgeschichte des Monats

In den vergangenen Wochen haben wir einen Anstieg von Ransomware-Angriffen beobachtet, die sich hauptsächlich gegen Unternehmen im Gesundheitswesen richten.

Wir haben APTs identifiziert, die CobaltStrike als ihren primären C2 verwenden und Daten über mehrere Endpoints sammeln, während sie beispielsweise den Zugriff auf Konten von Aohne Multi-Faktor-Authentifizierung ausnutzen.

Einer der Kunden von Varonis – ein mittelständisches kanadisches Versicherungsunternehmen – wurde Opfer einer Malwareinfektion auf mehreren Servern.

Sie wandten sich an das Forensik-Team von Varonis, um die infizierten Server zu untersuchen, die infizierten Dateien zu finden und Unterstützung bei der Erstellung einer Zeitachse und eines Berichts über die böswilligen Aktivitäten zu erhalten.

Das Forensik-Team fand mehrere verdächtige Dateien und exportierte das USN ReadJournal und die Masterdateitabelle (Master File Table, MFT) von den infizierten Servern.

Sie stellten fest, dass einige der verdächtigen Dateien schädliche Funktionen enthielten:

  • Die Malware nutzte zwei schädliche Dateien – eine ausführbare Datei, die zur Kommunikation mit einem C2-Server verwendet wurde, und eine Konfigurationsdatei.
  • Die Konfigurationsdatei tarnte sich als „WAV“-Audiodatei und hatte sogar die entsprechenden Kopfzeilen.
  • Zur Ausführung benötigte die Malware zwei Parameter – die Konfigurationsdatei und eine zweite ausführbare Datei, die standardmäßig auf dem Opfergerät gefunden werden konnte.
  • Anschließend wurde „rundll32.exe“ verwendet, um seinen bösartigen Code auszuführen und zu versuchen, mit dem C2-Server zu kommunizieren.
  • Mit Hilfe des USN ReadJournals konnten wir feststellen, dass die Angreifer bestimmte während des Angriffs verwendete schädliche Dateien gelöscht haben, um ihre Spuren zu verwischen.

Unser Team half dem Kunden dabei:

  • Bereitstellung von Anzeichen der Kompromittierung (Indicators of Compromise, IOCs) der schädlichen Dateien, die in den Sicherheitslösungen des Unternehmens implementiert werden sollen.
  • Reverse-Engineering einer Malware-Probe und Erstellen eines vollständigen und umfassenden Malware-Berichts, einschließlich Erläuterungen zu allen Fähigkeiten und Funktionen der Malware.
  • Verwendung der Web-Benutzeroberfläche von Varonis zur Untersuchung von Varonis-Alarmen zusammen mit dem Kunden, um sicherzustellen, dass nichts übersehen wurde.
  • Korreliert die bekannten Teile des Angriffs mit den Ereignissen in Varonis.

Neue Varianten, die im Februar analysiert wurden

Name der Variante Verbreitung Datenzentrierte IOCs
JohnBorn-Ransomware 3 Erweiterung: .johnborn@cock_li
Lösegeldforderung der XoristenRansomware 2 Erweiterung: .@LyDarkr
Lösegeldforderung der XoristenRansomware 2 Erweiterung: .ZoToN
Lösegeldforderung der XoristenRansomware 2 Erweiterung: .CryptPethya
Lösegeldforderung der XoristenRansomware 2 Erweiterung: .zaplat.za klic 2021
Lösegeldforderung der XoristenRansomware 2 Erweiterung: .EnCryp13d
Namaste-Ransomware 3 Erweiterung: ._enc
„POLA STOP“-Ransomware 3 Erweiterung: .pola
Paradise-Ransomware 2 Erweiterung: .Cukiesi
SUMMON-Ransomware 2 Erweiterung: .SUMMON
0l0lqq-Ransomware 3 Erweiterung: .0l0lqq
Cring-Ransomware 3 Erweiterung: .cring

Mitteilung: deReadMe!!!.txt

PAYMENT-Ransomware 3 Erweiterung: .PAYMENT
DEcovid19bot-Ransomware 3 Erweiterung: .covid19
DeroHE-Ransomware 3 Erweiterung: .DeroHE
Judge-Ransomware 3 Erweiterung: .[judgemebackup@tutanota.com].judge
Matrix-Ransomware 1 Erweiterung: .JJLF

Mitteilung: #README_JJLF#.rtf

Scarab-Ransomware 1 Erweiterung: .nginxhole
Snatch-Ransomware 2 Erweiterung: .aulmhwpbpz
Bonsoir-Ransomware 3 Erweiterung: .bonsoir
Lösegeldforderung der XoristenRansomware 2 Erweiterung: .lockerxxs
Solaso-Ransomware 3 Erweiterung: .solaso

Mitteilung: __READ_ME_TO_RECOVER_YOUR_FILES.txt

Matrix-Ransomware 1 Erweiterung: .CTRM

Mitteilung: #README_CTRM#.rtf

HiddenTear-Ransomware 1 Erweiterung: .ZIEBF_4561drgf

Die häufigsten Angriffsvektoren im Februar 2021

Danke an Ben Zion-Lavi, Sicherheitsspezialist, Varonis-Forensikteam für die englische Originalversion dieses Artikels

Quellen

[i] https://www.sentinelone.com/blog/evilquest-a-new-macos-malware-rolls-ransomware-spyware-and-data-theft-into-one/

[ii] https://cofense.com/strategic-analysis-agent-tesla-expands-targeting-and-networking-capabilities/

[iii] https://www.fortinet.com/blog/threat-research/new-agent-tesla-variant-spreading-by-phishing

[iv] https://research.checkpoint.com/2021/after-lightning-comes-thunder/

[v] https://securityintelligence.com/news/malware-russian-fancy-bear-identified-drovorub/

[vi]  https://0xthreatintel.medium.com/uncovering-apt-c-41-strongpity-backdoor-e7f9a7a076f4

[vii] https://cybleinc.com/2020/12/31/strongpity-apt-extends-global-reach-with-new-infrastructure/

Avatar

Adrien Rahmati-Georges

Former IT student, formed in Cybersecurity, Risks and Competitive Intelligence. As a Marketing Coordinator at Varonis, I am providing for the EMEA region, French and German content, written by our amazing Varonis authors !

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990