SOC Prime Bias: Hoch

26 Nov. 2025 17:30
newspaper icon Wazuh

Funklocker Ransomware: Erkennung und Reaktion mit Wazuh

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Funklocker Ransomware: Erkennung und Reaktion mit Wazuh
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Funklocker-Ransomware, die der FunkSec-Gruppe zugeordnet wird, zielt auf Windows-Umgebungen ab und nutzt KI-unterstützte Code-Generierung, um neue Varianten zu erstellen. Sie beruht auf Living-off-the-Land-Techniken und missbraucht Werkzeuge wie PowerShell, taskkill, sc und vssadmin, um Sicherheitskontrollen herunterzufahren, Schattenkopien zu entfernen und Daten mit der .funksec-Erweiterung zu verschlüsseln. Der Artikel erklärt, wie man diese Verhaltensweisen mithilfe von Sysmon und benutzerdefinierten Wazuh-Regeln erkennen kann, und wie die Bereinigung durch integrierte YARA-Scans automatisiert werden kann.

Untersuchung

Die Analyse beschreibt, wie Funklocker die Windows-Sicherheits- und Anwendungsprotokollierung unterdrückt, den Echtzeitschutz von Windows Defender deaktiviert, die PowerShell-Ausführungsrichtlinien umgeht, Prozesse beendet, kritische Dienste stoppt und Volume Shadow Copy-Backups löscht. Testproben wurden auf einem Windows 11 Labor-Host mit installiertem Wazuh-Agenten ausgelöst, und Sysmon wurde so konfiguriert, dass alle relevanten Telemetriedaten erfasst werden.

Funlocker Ransomware Minderung

Empfohlene Minderungsmaßnahmen umfassen die Verschärfung der PowerShell-Ausführungsrichtlinien, das Erzwingen des Prinzips der geringsten Privilegien im Service-Management, die regelmäßige Erstellung von Backups mit der Überprüfung der Verfügbarkeit von Schattenkopien und den Einsatz von EDR-Tools wie Wazuh in Kombination mit maßgeschneiderten Sysmon-Regeln, um auf Funlockers Befehlsmuster zu reagieren. YARA-Signaturen können dann angewendet werden, um identifizierte Ransomware-Exemplare automatisch zu isolieren oder zu löschen.

Reaktion

Wenn Funklocker-Aktivitäten erkannt werden, löst der Wazuh-Server Warnungen aus und seine Active-Response-Komponente startet einen YARA-Scan, der die Ransomware-Binärdatei zusammen mit allen neu erstellten verschlüsselten Dateien entfernt. Der skizzierte Reaktionsprozess umfasst auch die manuelle Validierung, die Eindämmung der betroffenen Systeme und die Wiederherstellung von Daten aus vertrauenswürdigen, unkompromittierten Backups.

mermaid graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes action_phishing[„<b>Aktion</b> – <b>T1204.004 Benutzerausführung: Bösartige Datei</b><br/>Phishing-E-Mail mit bösartigem Anhang an Opfer gesendet“] class action_phishing action action_execute_payload[„<b>Aktion</b> – <b>T1218.007 Signierte Proxy-Ausführung: Msiexec</b><br/>Maliziösen .exe oder .msi-Payload mit Systemdienstprogrammen ausführen“] class action_execute_payload action action_install_rat[„<b>Aktion</b> – <b>T1219 Fernzugriffstools</b><br/>Fernzugriffstool auf kompromittiertem Host installieren“] class action_install_rat action malware_rat[„<b>Malware</b> – <b>Name</b>: Fernzugriffstool<br/><b>Beschreibung</b>: Ermöglicht persistente Fernsteuerung“] class malware_rat malware action_c2[„<b>Aktion</b> – <b>T1104 Befehl und Kontrolle</b><br/>C2-Kanal einrichten, um Anweisungen zu erhalten“] class action_c2 action action_recon[„<b>Aktion</b> – Aufklärung<br/><b>T1082 Systeminformationsentdeckung</b>, <b>T1592.002 Software-Identifizierung</b>, <b>T1590.004 Netzwerktopologie-Entdeckung</b><br/>Sammeln von System-, Software- und Netzwerkdetails“] class action_recon action action_credential_dump[„<b>Aktion</b> – <b>T1555.003 Anmeldeinformationen in Date…</b><br/>Gespeicherte Web-Anmeldeinformationen mit WebBrowserPassView extrahieren“] class action_credential_dump action tool_webbrowserpassview[„<b>Werkzeug</b> – <b>Name</b>: WebBrowserPassView<br/><b>Beschreibung</b>: Ruft gespeicherte Passwörter aus Browsern ab“] class tool_webbrowserpassview tool action_valid_accounts[„<b>Aktion</b> – <b>T1078 Gültige Konten</b><br/>Verwenden von abgerufenen Anmeldeinformationen zur Authentifizierung“] class action_valid_accounts action action_lateral_movement[„<b>Aktion</b> – <b>T1021.006 Remotedienste: WinRM</b><br/>Seitliche Bewegung mit Windows Remote Management“] class action_lateral_movement action %% Connections action_phishing u002du002d>|leads to| action_execute_payload action_execute_payload u002du002d>|executes| action_install_rat action_install_rat u002du002d>|installs| malware_rat malware_rat u002du002d>|kommuniziert mit| action_c2 action_c2 u002du002d>|ermöglicht| action_recon action_recon u002du002d>|provides data for| action_credential_dump action_credential_dump u002du002d>|verwendet| tool_webbrowserpassview action_credential_dump u002du002d>|führt zu| action_valid_accounts action_valid_accounts u002du002d>|ermöglicht| action_lateral_movement

Angriffsfluss

Simulation ausführen

Voraussetzung: Der Telemetrie- & Baseline-Vorflug-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und sollen die genaue erwartete Telemetrie erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Der Angreifer hat sich lokale Adminrechte auf dem kompromittierten Endpunkt verschafft. Um sicherzustellen, dass die Ransomware ungestört laufen kann und verborgen bleibt, führen sie eine Reihe von PowerShell-Einzeilern aus, die (1) die Protokollierung von Sicherheitsereignissen deaktivieren, (2) den Echtzeitschutz von Microsoft Defender ausschalten, (3) das Anwendungsprotokoll deaktivieren und (4) die PowerShell-Ausführungsrichtlinien auf Bypass setzen. Jeder Befehl wird direkt von einer erhöhten PowerShell-Eingabeaufforderung ausgeführt, so dass exakt die Zeichenfolgen widergespiegelt werden, die die Sigma-Regel abgleicht.

  • Regressionstest-Skript:

    # Funklocker-Stil Deaktivierung von Protokollen und Verteidigungsbefehlen
# 1. Sicherheitsereignis-Protokoll deaktivieren
powershell -Command "wevtutil sl Security /e:false"

# 2. Microsoft Defender Echtzeitüberwachung deaktivieren
powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

# 3. Anwendungsprotokoll deaktivieren
powershell -Command "wevtutil sl Application /e:false"

# 4. PowerShell-Ausführungsrichtlinie für den aktuellen Prozess umgehen
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

  • Bereinigungskommandos:

    # Sicherheitsereignis-Protokoll wieder aktivieren
wevtutil sl Security /e:true

# Microsoft Defender Echtzeitüberwachung wieder aktivieren
Set-MpPreference -DisableRealtimeMonitoring $false

# Anwendungsprotokoll wieder aktivieren
wevtutil sl Application /e:true

# Standard-PowerShell-Ausführungsrichtlinie (Restricted) wiederherstellen
Set-ExecutionPolicy Restricted -Scope Process -Force

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten