SOC Prime Bias: Hoch

17 Dez. 2025 16:49
newspaper icon picussecurity.com

FunkSec RaaS-Operationen: Vermischung von Hacktivismus und Cyberkriminalität

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
FunkSec RaaS-Operationen: Vermischung von Hacktivismus und Cyberkriminalität
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

FunkSec ist eine Ransomware-as-a-Service-Gruppe, die Ende 2024 aufgetaucht ist, viele Opfer gemeldet hat und kleine Lösegelder fordert. Ihre auf Rust basierende Malware verschlüsselt Daten mit dem ChaCha20-Cipher und fügt betroffenen Dateien die Erweiterung .funksec hinzu. Neben Ransomware verteilt die Crew zusätzliche Werkzeuge für DDoS, Remote-Desktop-Zugriff und Zugriffsdaten-Generierung. FunkSec kombiniert hacktivistische Rhetorik mit finanzieller Erpressung.

Untersuchung

Die Analyse beschreibt, wie die Betreiber große Sprachmodelle nutzen, um Code und Kommunikation zu entwerfen, PowerShell für Privilegieneskalation verwenden und Sicherheitskontrollen vor der Verschlüsselung neutralisieren. Es werden beendete Prozesse und Dienste aufgezählt, der Verschlüsselungsablauf skizziert und die Struktur der Erpresserbotschaft zusammengefasst, einschließlich einer Bitcoin-Zahlungsadresse. Zusätzliche Komponenten—FDDOS, JQRAXY_HVNC und funkgenerate—werden als Teil des umfassenderen Toolkits dokumentiert.

Minderung

Verteidiger sollten PowerShell-Ausführungsrichtlinien verschärfen, auf Bestrebungen zur Deaktivierung von Windows Defender oder zur Entfernung von Schattenkopien achten und den Start bekannter bösartiger Prozesse verhindern. Das Durchführen von FunkSec-Simulationen auf Sicherheitsvalidierungsplattformen kann helfen, Kontrolllücken aufzudecken. Halten Sie die Erkennungsinhalte für die genannten Prozess- und Dienstbeendigungen aktuell, um eine frühere Identifizierung zu ermöglichen.

Reaktion

Wenn Aktivität erkannt wird, isolieren Sie den betroffenen Host, bestätigen Sie die .funksec-Erweiterung und sammeln Sie flüchtige Beweise. Aktivieren Sie die Vorfallreaktionspläne, stellen Sie aus Backups wieder her und suchen Sie nach Indikatoren wie spezifische PowerShell-Befehle und Erpressernachrichtentext. Nutzen Sie Bedrohungsinformationen, um die zugehörige Infrastruktur zu überwachen und zu korrelieren.

„graph TB %% Class Definitions classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nodes action_check_privileges[„<b>Action</b> – Überprüfen der Privilegien (netsession)<br/><b>Technik</b> – T1087 (Kontenerkennung)<br/>Bestimmen, ob der aktuelle Benutzer Administratorrechte hat“] class action_check_privileges action action_elevate[„<b>Action</b> – Erhöhung mit PowerShell<br/><b>Technik</b> – T1548.002<br/>Umgehen der Benutzerkontensteuerung, um Administratorrechte zu erhalten“] class action_elevate action action_disable_defender[„<b>Action</b> – Windows Defender deaktivieren<br/><b>Technik</b> – T1562.001<br/>Verteidigung beeinträchtigen durch Ausschalten des eingebauten Antivirus“] class action_disable_defender action action_disable_logging[„<b>Action</b> – Ereignisprotokollierung deaktivieren & Protokolle löschen<br/><b>Techniken</b> – T1562.002, T1070.001<br/>Windows-Ereignisprotokolldienst stoppen und vorhandene Protokolleinträge löschen“] class action_disable_logging action action_delete_shadow[„<b>Action</b> – Volume-Schattenkopien löschen<br/><b>Technik</b> – T1490<br/>Wiederherstellungspunkte entfernen, um eine Systemwiederherstellung zu verhindern“] class action_delete_shadow action action_terminate_processes[„<b>Action</b> – Sicherheits- und Office-Prozesse beenden<br/><b>Techniken</b> – T1059.001, T1059.003<br/>Verwenden Sie PowerShell und die Windows-Kommandozeile, um Defender- und Office-Binärdateien zu beenden“] class action_terminate_processes action action_encrypt[„<b>Action</b> – Dateien verschlüsseln (ChaCha20)<br/><b>Technik</b> – T1486<br/>Opferdaten verschlüsseln, um Lösegeld zu verlangen“] class action_encrypt action action_exfiltrate[„<b>Action</b> – Daten über C2 exfiltrieren<br/><b>Technik</b> – T1041<br/>Erfasste Dateien über den Kommando- und Kontrollkanal senden“] class action_exfiltrate action action_drop_note[„<b>Action</b> – Erpressernachricht hinterlassen“] class action_drop_note action action_ddos[„<b>Action</b> – Optionale DDoS mit FDDOS<br/><b>Techniken</b> – T1498, T1499.002<br/>Flutangriffe auf das Zielnetzwerk starten“] class action_ddos action %% Connections action_check_privileges u002du002d>|kein Admin| action_elevate action_elevate u002du002d>|verwendet| action_disable_defender action_disable_defender u002du002d>|führt zu| action_disable_logging action_disable_logging u002du002d>|führt zu| action_delete_shadow action_delete_shadow u002du002d>|führt zu| action_terminate_processes action_terminate_processes u002du002d>|führt zu| action_encrypt action_encrypt u002du002d>|führt zu| action_exfiltrate action_exfiltrate u002du002d>|führt zu| action_drop_note action_drop_note u002du002d>|optional| action_ddos „

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinien-Vorabcheck muss bestanden sein.

Begründung: In diesem Abschnitt wird die genaue Ausführung der Gegnertechnik (TTP) beschrieben, die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genau erwartete Telemetrie gemäß der Erkennungslogik zu erzeugen.

  • Angriffs-Narrativ & Befehle:

    1. Erhöhen Sie die Ransomware-Nutzlast: Der Angreifer nutzt PowerShell’s Start-Process -Verb runas um das bösartige Skript erneut mit Administratorrechten auszuführen (FunkSec.exe) und das Befehlszeilenmuster zu erfüllen, auf das die Regel achtet.
    2. Löschen Sie alle Schattenkopien: Unmittelbar nach der Erhöhung führt der Angreifer vssadmin delete shadows /all /quiet aus, um Systemwiederherstellungspunkte zu löschen, was die zweite Bedingung der Regel erfüllt.
    3. Beide Befehle werden in schneller Folge vom selben Benutzerkontext aus ausgeführt, sodass sie innerhalb des Korrelation Zeitfensters der Sigma-Regel erscheinen.

  • Regressionstest-Skript: Das folgende Skript reproduziert das genaue Verhalten. Führen Sie es auf einem Windows-Host mit der vorher beschriebenen Protokollierungskonfiguration aus.

    # ==============================
# FunkSec Ransomware-Eskalation & Schattenkopienlösch-Simulation
# ==============================
# 1. Pfad zur (Dummy) bösartigen Binärdatei definieren.
$maliciousExe = "$env:ProgramDataFunkSec.exe"
# Eine Dummy-Datei erstellen, die als Ransomware-Nutzlast fungiert.
New-Item -Path $maliciousExe -ItemType File -Force | Out-Null

# 2. Die Dummy-Nutzlast mit erhöhten Rechten neu starten.
$elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''"
Write-Host "Erhöhten Start ausführen..."
Invoke-Expression $elevatedCmd

# 3. Alle Volume-Schattenkopien löschen.
Write-Host "Alle Schattenkopien löschen..."
vssadmin delete shadows /all /quiet

# Dummy-Nutzlast bereinigen (optional, zur Testhygiene)
Remove-Item -Path $maliciousExe -Force

  • Bereinigungskommandos: Entfernen Sie alle während der Simulation erstellten Artefakte.

    # Sicherstellen, dass das Dummy-Executble entfernt ist
$maliciousExe = "$env:ProgramDataFunkSec.exe"
if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force }

# Überprüfen Sie, dass keine Schattenkopielösch-Überreste verbleiben – (keine Aktion erforderlich, da vssadmin zustandslos ist)
Write-Host "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten