Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Überblick
Die DeadLock-Ransomware hat Polygon-Smart-Contracts als eine widerstandsfähige Methode übernommen, um Proxy-URLs für Kommando- und Kontrollserver (C2) zu veröffentlichen und zu rotieren, wodurch die Backend-Infrastruktur schnell geändert werden kann, ohne auf traditionelle Domains angewiesen zu sein. Nach der Verschlüsselung legen die Akteure ein HTML-„Zahlungs-/Kommunikations“-Wrapper ab, das die Opfer zur dezentralen Messenger Session für weitere Anweisungen und Interaktionen lenkt. Die Technik ähnelt dem EtherHiding-Muster, das zuvor in verdächtigen Aktivitäten mit nordkoreanischer Verbindung gemeldet wurde, bei dem Blockchain-Daten als Umleitungsschicht für bösartige Infrastruktur verwendet werden. Bemerkenswert ist, dass DeadLock anscheinend traditionelle öffentliche Leak-Sites depriorisiert und stattdessen gestohlene Daten durch Verkäufe auf dem Untergrundmarkt monetarisiert.
Untersuchung
Group-IB-Analysten dokumentierten DeadLocks smart-contract-gestützten Ansatz zur Verschleierung von C2-Endpunkten, einschließlich des Abwurfs einer HTML-Datei nach der Verschlüsselung, die explizit Session als Kommunikationskanal erwähnt. Der Bericht zitiert auch frühere Berichte von Cisco Talos, die die DeadLock-Aktivitäten mit BYOVD (bring-your-own-vulnerable-driver)-Techniken und der Beendigung von EDR-Prozessen in Verbindung brachten, obwohl die genauen Einstiegspunkte nicht entschieden identifiziert wurden. Ähnliche Handelsmethoden wie „Smart-Contract als C2-Verzeichnis“ wurden auch von der Google Threat Intelligence Group im Kontext nordkoreanischer Kampagnen diskutiert, was den breiteren Trend zur Nutzung öffentlicher Blockchains für Infrastruktur-Agilität verstärkt.
Abmilderung
Überwachen Sie Endpunkte auf unerwartete HTML-Artefakte, die nach verdächtigen Dateiaktivitäten starten oder auf Session (oder andere dezentrale Messenger) verweisen. Erzwingen Sie eine starke Anwendungs-Whitelist und beschränken Sie die Ausführung nicht genehmigter Werkzeuge, die Fernzugriff, Payload-Staging oder Messenger-Installation erleichtern können. Überprüfen Sie auf der Netzwerkschicht den Datenabfluss auf Verbindungen zu Proxy-URLs oder -Domains, die scheinbar aus in der Blockchain gespeicherten Verweisen abgeleitet sind, und behandeln Sie plötzliche Änderungen in den Ausgabedestinationen als starkes Anomaliesignal. Aktualisieren Sie kontinuierlich die Endpunkt-Erkennungen, um das Laden von BYOVD-Treibern, verdächtige Treiberinstallationen und Verhaltensweisen zu identifizieren, die mit der Manipulation von EDR oder erzwungener Beendigung von Sicherheitsdiensten übereinstimmen.
Reaktion
Wenn DeadLock-Indikatoren identifiziert werden, isolieren Sie die betroffenen Systeme sofort, um weitere Verschlüsselungen und seitliche Bewegungen zu verhindern. Sammeln und bewahren Sie den abgelegten HTML-Wrapper, Verschlüsselungsnotizen und alle zugehörigen Binärdateien oder Skripte auf und blockieren Sie den ausgehenden Verkehr zu allen beobachteten Proxy-URLs und smart-contract-referenzierten Infrastrukturen. Leiten Sie formelle Vorfallreaktionsverfahren ein, überprüfen Sie die Integrität und Verfügbarkeit von Offline-/gesicherten Wiederherstellungspfaden vor der Behebung und bewerten Sie die potenzielle Datenexposition, um das Erpressungsrisiko festzustellen. Wo angebracht, koordinieren Sie die Kommunikation mit Stakeholdern und ziehen Sie spezialisierte Unterstützung für Ransomware-Reaktionen hinzu, während Sie eine vollständige Erfassung und Ausrottung durchführen.
„graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#c2e0ff classDef tool fill:#cccccc classDef malware fill:#ffcccc classDef process fill:#e6e6e6 classDef data fill:#f0e68c classDef operator fill:#ff9900 %% Technique Nodes tech_priv_esc[„<b>Technik</b> – T1068 Ausnutzung zur Privilegieneskalation<br /><b>Beschreibung</b>: Verwenden eines anfälligen Treibers, um erhöhte Systemrechte zu erlangen.“] class tech_priv_esc technique tech_def_evasion[„<b>Technik</b> – T1211 Ausnutzung zur Abwehrumgehung<br /><b>Beschreibung</b>: Ausnutzen von Treiberschwachstellen zur Beendigung oder Umgehung von Sicherheitsagenten.“] class tech_def_evasion technique tech_impair[„<b>Technik</b> – T1562 Abwehrbeeinträchtigung<br /><b>Beschreibung</b>: Sicherheitslösungen deaktivieren oder manipulieren, um Erkennungs- und Reaktionsfähigkeiten zu reduzieren.“] class tech_impair technique tech_web_comm[„<b>Technik</b> – T1102.002 Webservice Bidirektionale Kommunikation<br /><b>Beschreibung</b>: Verschlüsseltes HTML-Wrapper ablegen, das den Session-Messenger startet und eine Proxy-URL von einem Polygon-Smart-Contract erhält.“] class tech_web_comm technique tech_app_proto[„<b>Technik</b> – T1071.001 Applikationsschichtprotokoll Webprotokolle<br /><b>Beschreibung</b>: Kommunikation mit Proxy und C2-Server über Standard-Webprotokolle (HTTP/WebSocket), die sich mit legitimem Datenverkehr vermischen.“] class tech_app_proto technique %% Tool Node tool_vuln_driver[„<b>Werkzeug</b> – Name: Anfälliger Treiber<br /><b>Zweck</b>: Bietet Kernel-Level-Codeausführung, die zur Privilegieneskalation und Abwehrumgehung verwendet wird.“] class tool_vuln_driver tool %% Malware Node malware_deadlock[„<b>Malware</b> – Name: DeadLock Ransomware<br /><b>Fähigkeit</b>: Führt Verschlüsselung und C2-Kommunikation nach dem anfänglichen Kompromittierung durch.“] class malware_deadlock malware %% Process Nodes process_html_wrapper[„<b>Prozess</b> – Name: HTML-Wrapper<br /><b>Aktion</b>: Entschlüsselt und startet den Session-Messenger auf dem Opfer-Host.“] class process_html_wrapper process process_session_messenger[„<b>Prozess</b> – Name: Session Messenger<br /><b>Aktion</b>: Handhabt verschlüsselten Datenverkehr, ruft Proxy-Informationen ab und kommuniziert mit C2.“] class process_session_messenger process process_c2_server[„<b>Server</b> – C2-Server<br /><b>Protokoll</b>: HTTP/WebSocket“] class process_c2_server process %% Data Node data_proxy_url[„<b>Daten</b> – Proxy-URL<br /><b>Quelle</b>: Abgerufen aus einem Polygon-Smart-Contract zur Rotation von C2-Endpunkten.“] class data_proxy_url data %% Connections tech_priv_esc u002du002d>|verwendet| tool_vuln_driver tech_def_evasion u002du002d>|verwendet| tool_vuln_driver tool_vuln_driver u002du002d>|ermöglicht| tech_priv_esc tool_vuln_driver u002du002d>|ermöglicht| tech_def_evasion malware_deadlock u002du002d>|legt ab| process_html_wrapper process_html_wrapper u002du002d>|startet| process_session_messenger process_session_messenger u002du002d>|ruft ab| data_proxy_url data_proxy_url u002du002d>|bietet| tech_web_comm tech_web_comm u002du002d>|kommuniziert via| tech_app_proto process_session_messenger u002du002d>|kommuniziert mit| process_c2_server tech_impair u002du002d>|zielt auf| malware_deadlock „
Angriffsfluss
Erkennungen
Verdächtiger Prozess, der das Svchost nachahmt, wurde ausgeführt (via cmdline)
Ansehen
Mögliche Schattenkopienlöschung via WMI (via powershell)
Ansehen
Möglicher Missbrauch des öffentlichen Ethereum als C2-Kanal (via dns_query)
Ansehen
DeadLock Ransomware Proxy-Server-URL Rotation via Smart Contracts [Proxy]
Ansehen
Simulation Ausführung
Voraussetzung: Die Telemetrie- und Baseline-Preflight-Überprüfung muss bestanden haben.
Begründung: Dieser Abschnitt erläutert die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakte Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Kommandos:
Der Bedrohungsakteur, der einen smart-contract-gesteuerten Proxy-Dienst kompromittiert hat, rotiert die Proxy-URL alle paar Minuten, um statische Blocklisten zu umgehen. Jede Rotation veröffentlicht eine neue Sub-Domain unter
deadlock.example.com. Das Ransomware-Programm fragt den Proxy ab, um die nächste C2-Adresse abzurufen. Um dies nachzuahmen, geben wir eine Reihe von HTTP-Anfragen an drei verschiedene URLs aus, die alle den wörtlichen String „.example.com“ enthalten und das in freier Wildbahn beobachtete Rotationsmuster nachahmen. -
Regressionstests-Skript:
#!/usr/bin/env bash # DeadLock Proxy-URL-Rotation Simulation – generiert Telemetrie, die der Sigma-Regel entspricht PROXY="http://proxy.example.local:3128" URLs=( "http://stage1.example.com/deadlock" "http://stage2.example.com/deadlock" "http://stage3.example.com/deadlock" ) echo "[*] Beginn der Simulation der Proxy-URL-Rotation (3 Anfragen)..." for url in "${URLs[@]}"; do echo "[+] Anforderung an $url über $PROXY" curl -s -x "$PROXY" "$url" -o /dev/null sleep 2 # kurze Pause, um ein realistisches Intervall zu emulieren done echo "[*] Simulation abgeschlossen." -
Bereinigungsbefehle:
#!/usr/bin/env bash # Entfernen Sie alle temporären Dateien, die während der Simulation erstellt wurden (keine in diesem Fall) echo "[*] Keine Artefakte zu bereinigen. Proxy-Konfiguration bleibt unberührt."