SOC Prime Bias: Kritisch

20 Nov. 2025 18:32
newspaper icon AttackIQ

Ransom-Geschichten: Band V — Emulierung von REvil-, DarkSide- und BlackMatter-Ransomware

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Ransom-Geschichten: Band V — Emulierung von REvil-, DarkSide- und BlackMatter-Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Dieser Artikel behandelt den fünften Band der AttackIQ Ransom Tales-Serie, die die Taktiken, Techniken und Verfahren von drei berüchtigten Ransomware-Familien – REvil, DarkSide und BlackMatter – nachstellt. Jedes Szenario führt durch Ausführungs-, Persistenz-, Entdeckungs-, Abwehrvermeidungs- und Auswirkungsphasen, um Verteidiger in die Lage zu versetzen, Erkennungs- und Reaktionsdrehbücher zu validieren. Die Emulationen reproduzieren markante Verhaltensweisen, wie beispielsweise DLL-Suchreihenfolgeentführung, Registry-Missbrauch, geplante Aufgaben zur Persistenz, VSS-Schattenkopielöschung und starke kryptografische Dateiverschlüsselung. Der Beitrag beleuchtet auch große Lieferkettenintrusionen und verfolgt, wie sich Ransomware-as-a-Service im Laufe der Zeit entwickelt hat.

Ransomware Attack Analysis

Das Adversary Research Team von AttackIQ griff auf öffentliche Bedrohungs-Intelligenzberichte und Malware-Proben zurück, um realistische Angriffsgrafiken für jede Ransomware-Familie zu erstellen. Forscher ordneten einzelne Schritte MITRE ATT&CK Technik-IDs zu und entwarfen Ausführungspfade, die Nutzdaten abrufen, Persistenz einrichten, Host- und Domain-Informationen auflisten und Dateien verschlüsseln. Das Team modellierte auch die Verwendung bekannter CVE-Exploits, die von DarkSide für den ersten Zugriff genutzt wurden. Die Untersuchung unterstreicht gemeinsam genutzte Werkzeuge, überlagernde Infrastrukturen und Code-Wiederverwendung durch die REvil-, DarkSide- und BlackMatter-Ransomware-Familien.

Minderung

Empfohlene Minderungsmaßnahmen konzentrieren sich auf die Durchsetzung des Prinzips der geringsten Privilegien, das Deaktivieren nicht essenzieller Dienste und das schnelle Patchen exponierter Systeme, einschließlich bekannter VMware-ESXi-Schwachstellen. Es wird empfohlen, den Remote-Desktop-Zugang einzuschränken, verdächtige Registrierungsänderungen und neu erstellte geplante Aufgaben genau zu überwachen und robuste Anwendungssteuerung einzusetzen. Die Anleitung betont weiter die Rolle von Endpunkterkennungstechnologien und die routinemäßige Überprüfung von Backups zur Eindämmung des Schadensradius von Ransomware-Vorfällen.

Reaktion

Wenn Aktivitäten im Ransomware-Stil erkannt werden, sollten die Reaktionskräfte die betroffenen Systeme sofort isolieren, flüchtigen Speicher erfassen, relevante Registrierungszweige sammeln und Protokollquellen bewahren. Die forensische Überprüfung sollte Schattenkopien, geplante Aufgaben und Registrierungsschlüssel auf Anzeichen von REvil-, DarkSide- oder BlackMatter-Verfahren untersuchen. Die Wiederherstellung umfasst die Datenwiederherstellung aus sauberen, validierten Backups und die Suche nach späteralen Bewegungsversuchen mit SMB- und LDAP-Anmeldeinformationen. Schließlich sollten Teams Stakeholder informieren, den Vorfall dokumentieren und die Erkenntnisse mit Bedrohungs-Intelligenz anreichern, um die Attribution und zukünftige Verteidigungsverbesserungen zu unterstützen.

graph TB %% Class Definitions classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb6c1 classDef process fill:#d9d9ff classDef operator fill:#ffeb99 %% Nodes – Initial Execution and Setup tech_initial_exec[„<b>Technique</b> – <b>T1574.001 DLL Search Order Hijacking</b><br/>Schadsoftware lädt eine bösartige DLL durch Manipulation der Windows-DLL-Suchreihenfolge.“] class tech_initial_exec technique tech_anti_analysis[„<b>Technique</b> – <b>T1497 Virtualization/Sandbox Evasion</b><br/>Ruft die API IsDebuggerPresent auf, um Debugging- oder Sandbox-Umgebungen zu erkennen.“] class tech_anti_analysis technique tech_registry_query[„<b>Technique</b> – <b>T1012 Query Registry</b><br/>Erstellt HKLM\\SOFTWARE\\WOW6432Node\\BlackLivesMatter und fragt den Wert MachineGUID als eindeutige Systemkennung ab.“] class tech_registry_query technique tech_persistence[„<b>Technique</b> – <b>T1053 Scheduled Task/Job</b><br/>Richtet zur Persistenz eine geplante Aufgabe mithilfe des Dienstprogramms schtasks ein.“] class tech_persistence technique tool_schtasks[„<b>Tool</b> – <b>Name</b>: schtasks<br/><b>Zweck</b>: Erstellen und Verwalten geplanter Aufgaben“] class tool_schtasks tool %% Nodes – Discovery Phase op_discovery((„Discovery“)) class op_discovery operator tech_sys_info[„<b>Technique</b> – <b>T1082 System Information Discovery</b><br/>Sammelt Betriebssystem- und Hardwaredetails über GetSystemInfo.“] class tech_sys_info technique tech_user_discovery[„<b>Technique</b> – <b>T1033 System Owner/User Discovery</b><br/>Ermittelt den aktuellen Benutzernamen über GetUserNameW.“] class tech_user_discovery technique tech_process_discovery[„<b>Technique</b> – <b>T1057 Process Discovery</b><br/>Listet laufende Prozesse mithilfe der Toolhelp-Snapshot-APIs auf.“] class tech_process_discovery technique tech_service_discovery[„<b>Technique</b> – <b>T1007 System Service Discovery</b><br/>Fragt Dienste über EnumServicesStatusW ab.“] class tech_service_discovery technique tech_file_dir_discovery[„<b>Technique</b> – <b>T1083 File and Directory Discovery</b><br/>Durchsucht das Dateisystem mit FindFirstFileW / FindNextFileW.“] class tech_file_dir_discovery technique tech_software_discovery[„<b>Technique</b> – <b>T1518 Software Discovery</b><br/>Verwendet WMI (wmic), um installierte Antivirus-, Antispyware- und Firewall-Produkte aufzulisten.“] class tech_software_discovery technique tech_location_discovery[„<b>Technique</b> – <b>T1614 System Location Discovery</b><br/>Ermittelt Gebietsschema-Informationen über GetLocaleInfoW.“] class tech_location_discovery technique %% Nodes – Defense Evasion op_defense_evasion((„Defense Evasion“)) class op_defense_evasion operator tech_impair_defenses[„<b>Technique</b> – <b>T1562 Impair Defenses</b><br/>Deaktiviert die Windows-Firewall mithilfe von netsh-Befehlen.“] class tech_impair_defenses technique tool_netsh[„<b>Tool</b> – <b>Name</b>: netsh<br/><b>Zweck</b>: Konfigurieren und Deaktivieren der Windows-Firewall“] class tool_netsh tool tech_inhibit_recovery[„<b>Technique</b> – <b>T1490 Inhibit System Recovery</b><br/>Löscht Volumeschattenkopien über vssadmin, wmic und PowerShell.“] class tech_inhibit_recovery technique tool_vssadmin[„<b>Tool</b> – <b>Name</b>: vssadmin<br/><b>Zweck</b>: Löschen von Schattenkopien“] class tool_vssadmin tool tool_wmic[„<b>Tool</b> – <b>Name</b>: wmic<br/><b>Zweck</b>: Löschen von Schattenkopien über WMI“] class tool_wmic tool tool_powershell[„<b>Tool</b> – <b>Name</b>: PowerShell<br/><b>Zweck</b>: Löschen von Schattenkopien über Get-WMIObject“] class tool_powershell tool tech_clear_eventlogs[„<b>Technique</b> – <b>T1070.001 Clear Windows Event Logs</b><br/>Löscht Ereignisprotokolle über die APIs OpenEventLogW und ClearEventLogW.“] class tech_clear_eventlogs technique tool_eventlog[„<b>Tool</b> – <b>Name</b>: Windows API<br/><b>Zweck</b>: Löschen der Windows-Ereignisprotokolle“] class tool_eventlog tool %% Nodes – Impact malware_ransom[„<b>Malware</b> – <b>Name</b>: DarkSide/REvil<br/><b>Auswirkung</b>: Verschlüsselt erkannte Dateien auf dem Datenträger“] class malware_ransom malware node_files[„<b>Target</b>: Dateien auf dem Datenträger“] class node_files process %% Connections – Execution Flow tech_initial_exec –>|führt zu| tech_anti_analysis tech_anti_analysis –>|führt zu| tech_registry_query tech_registry_query –>|ermöglicht| tech_persistence tech_persistence –>|nutzt| tool_schtasks %% Connections – Discovery Flow tech_initial_exec –>|löst aus| op_discovery op_discovery –>|nutzt| tech_sys_info op_discovery –>|nutzt| tech_user_discovery op_discovery –>|nutzt| tech_process_discovery op_discovery –>|nutzt| tech_service_discovery op_discovery –>|nutzt| tech_file_dir_discovery op_discovery –>|nutzt| tech_software_discovery op_discovery –>|nutzt| tech_location_discovery %% Connections – Defense Evasion Flow tech_initial_exec –>|bereitet vor| op_defense_evasion op_defense_evasion –>|nutzt| tech_impair_defenses tech_impair_defenses –>|nutzt| tool_netsh op_defense_evasion –>|nutzt| tech_inhibit_recovery tech_inhibit_recovery –>|nutzt| tool_vssadmin tech_inhibit_recovery –>|nutzt| tool_wmic tech_inhibit_recovery –>|nutzt| tool_powershell op_defense_evasion –>|nutzt| tech_clear_eventlogs tech_clear_eventlogs –>|nutzt| tool_eventlog %% Connections – Impact Flow op_discovery –>|liefert Daten an| malware_ransom op_defense_evasion –>|bereitet Umgebung vor für| malware_ransom malware_ransom –>|verschlüsselt| node_files class tech_initial_exec,tech_anti_analysis,tech_registry_query,tech_persistence technique class tool_schtasks,tool_netsh,tool_vssadmin,tool_wmic,tool_powershell,tool_eventlog tool class tech_sys_info,tech_user_discovery,tech_process_discovery,tech_service_discovery,tech_file_dir_discovery,tech_software_discovery,tech_location_discovery,tech_impair_defenses,tech_inhibit_recovery,tech_clear_eventlogs technique class malware_ransom malware class node_files process class op_discovery,op_defense_evasion operator

Angriffsfluss

Simulationen

Simulationsexekution

Voraussetzung: Der Telemetrie- & Basislinien-Vorkontrolltest muss bestanden sein.

Begründung: In diesem Abschnitt wird die präzise Ausführung der gegnerischen Technik (TTP) beschrieben, die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Der REvil-Betreiber zielt auf die Zielmaschine ab, um sicherzustellen, dass die Ransomware-Nutzlast nach einem Neustart automatisch startet. Mit einem PowerShell-Dropper erstellt der Angreifer drei Registry-Änderungen, die die Regel überwacht:

    1. Erstellt einen täuschenden „BlackLivesMatter“-Schlüssel unter dem Wow6432Node-Zweig – ein bekannter REvil-Indikator.
    2. Aktiviert AutoAdminLogon um die automatische Anmeldung eines privilegierten Kontos nach einem Neustart zu erzwingen, was die Ausführung von Ransomware erleichtert.
    3. Fügt der RunOnce-Schlüssel eine Nutzlast hinzu damit die bösartige ausführbare Datei einmal beim Systemstart ausgeführt wird.

    Alle drei Aktionen werden mit erhöhten Rechten durchgeführt, wodurch Sicherheitsevents ID 13-Einträge generiert werden, die den Sigma-Rules Auswahl Filter entsprechen.

  • Regressionstest-Skript:

    # -------------------------------------------------
# Simulation der REvil-Registry-Manipulation (TC-20251114-3Z7XQ)
# -------------------------------------------------
# 1. BlackLivesMatter-Schlüssel (HKLMSOFTWAREWOW6432NodeBlackLivesMatter)
$blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter'
New-Item -Path $blmKey -Force | Out-Null
New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force

# 2. Aktivierung des AutoAdminLogon
$autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon'
Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force

# 3. RunOnce Persistenz für die Nutzlast
$runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce'
New-Item -Path $runOnceKey -Force | Out-Null
New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force

Write-Host "REvil-Registry-Simulation abgeschlossen. Überprüfen Sie die Warnungen im SIEM."

  • Bereinigungskommandos:

    # -------------------------------------------------
# Bereinigen von REvil-Registry-Simulationsartefakten
# -------------------------------------------------
# Entfernen des BlackLivesMatter-Schlüssels
Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue

# Zurücksetzen des AutoAdminLogon (auf 0 setzen oder entfernen)
Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' `
    -Name 'AutoAdminLogon' -Value '0' -Force

# Entfernen des RunOnce-Eintrags
Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' `
    -Name 'RevilStart' -Force -ErrorAction SilentlyContinue

Write-Host "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten