Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Die mit Iran verbundenen Cyberaktivitäten entfernen sich zunehmend von etablierten APT-Teams hin zu Proxy-Operatoren, die Wiper im Bootkit-Stil verwenden, eine wachsende Anzahl von CVEs ausnutzen und sogar Cyber-Operationen mit physischen Störungen der Cloud-Infrastruktur kombinieren. Neu verfolgte Cluster wie Rusty Boots und MoKhargosh haben Bootkit-Persistenz demonstriert, während HYDRO KITTEN sich auf Rockwell-PLCs und internetfähige Netzwerkgeräte durch authentifizierungsbasierte Einbruchsmethoden konzentriert hat. Physische Angriffe auf Cloud-Datenzentren im Golfgebiet erweitern das Risiko weiter zu einem hybriden Cyber-physikalischen Bereich. Der Bericht unterstreicht die Bedeutung der Validierung der Firmware-Integrität und verhaltensbasierter Erkennung in OT-Umgebungen.
Untersuchung
Der Bericht hebt drei wichtige Entwicklungen hervor. Erstens haben Rusty Boots und MoKhargosh die Fähigkeit gezeigt, Wiper mit Bootkit-artiger Persistenz bereitzustellen. Zweitens hat HYDRO KITTEN mehrere CVEs ausgenutzt, die Rockwell-Systeme, FortiGate, SonicWall, Ivanti, PAN-OS und OpenSSH betreffen. Drittens hat UNC6446 benutzerdefinierte C#- und Golang-Malware verwendet, einschließlich DUSTYPROXY und ERIESNAKE.GO, die über unverschlüsseltes HTTP kommuniziert, das durch Port 443 getunnelt wird. Der Bericht verweist auch auf physische Angriffe, die auf Cloud-Infrastrukturen in Bahrain und Dubai abzielen.
Abschwächung
Organisationen sollten alle referenzierten CVEs über Firewalls, OT-Anlagen und SSH-Dienste hinweg patchen, während sie Secure Boot und regelmäßige Firmware-Integritätsprüfungen durchsetzen. Defensive Teams sollten auf rohe Plattenschreibaktivitäten und Änderungen an MBR oder VBR achten, unverschlüsselten HTTP-Verkehr über Port 443 blockieren, Registrierungsschlüssel für unbekannte ausführbare Dateien überprüfen und ein verhaltensbasiertes OT-Monitoring implementieren, um Veränderungen der PLC-Sollwerte außerhalb der genehmigten Wartungszeiträume zu erkennen.
Antwort
Verteidiger sollten sofort alle offenbarten IP-Adressen, Domains und Dateihashes über DNS, Proxy und Endpunktschutzmaßnahmen blockieren. Erkennungskontent sollte für unverschlüsseltes HTTP über TCP/443, Integritätsfehler beim Secure Boot, neue Registrierungsschlüsseleinträge und verdächtiges PLC-Authentifizierungsverhalten bereitgestellt werden. Die Bedrohungsjagd sollte sich auf die aufgelisteten Malware-Signaturen konzentrieren sowie auf Anzeichen für vorpositionierten Zugang, einschließlich langer Inaktivitätsperioden gefolgt von abrupten OT-bezogenen Operationen.
graph TB %% Klassendefinitionen classDef technique fill:#e6f7ff classDef tool fill:#ffeb99 classDef malware fill:#ffcccc %% Technik-Knoten technique_valid_accounts[„<b>Technik</b> – T1078 Gültige Konten<br/><b>Beschreibung</b>: Verwendung gestohlener oder erlangter Zugangsdaten für den initialen Zugriff auf Zielnetzwerke.“] class technique_valid_accounts technique technique_exploit_remote[„<b>Technik</b> – T1210 Ausnutzung von Remote-Diensten<br/><b>Beschreibung</b>: Ausnutzung verwundbarer Dienste (z. B. CVE-2021-26868, CVE-2024-0012, CVE-2024-5591) für laterale Bewegung und Systemkontrolle.“] class technique_exploit_remote technique technique_persistence_registry[„<b>Technik</b> – T1547.001 Run-Keys in Registry / Autostart-Ordner<br/><b>Beschreibung</b>: Einrichtung von Persistenz über Run-Keys in HKCU/HKLM oder Autostart-Ordner.“] class technique_persistence_registry technique technique_c2_external_proxy[„<b>Technik</b> – T1090.002 Externer Proxy<br/><b>Beschreibung</b>: Weiterleitung des C2-Verkehrs über externe Proxyserver zur Verschleierung der Infrastruktur.“] class technique_c2_external_proxy technique technique_c2_web[„<b>Technik</b> – T1071.001 Web-Protokolle (HTTP/S)<br/><b>Beschreibung</b>: Nutzung von HTTP/S über TCP/443 für C2-Kommunikation.“] class technique_c2_web technique technique_execution_ps[„<b>Technik</b> – T1059.001 PowerShell<br/><b>Beschreibung</b>: Nutzung von PowerShell zum Herunterladen, Manipulieren und Ausführen von Payloads.“] class technique_execution_ps technique technique_remote_access[„<b>Technik</b> – T1219 Remote-Access-Tools<br/><b>Beschreibung</b>: Einsatz von Backdoors für interaktive Fernzugriffe.“] class technique_remote_access technique technique_credential_exploit[„<b>Technik</b> – T1212 Ausnutzung von Zugangsdaten<br/><b>Beschreibung</b>: Verwendung gestohlener Credentials zur direkten Authentifizierung auf Geräten.“] class technique_credential_exploit technique technique_impact_preos[„<b>Technik</b> – T1542 Pre-OS Boot<br/><b>Beschreibung</b>: Manipulation von Boot-Komponenten zur Wirkung vor dem Betriebssystemstart.“] class technique_impact_preos technique technique_impact_data_destruction[„<b>Technik</b> – T1485 Datenzerstörung<br/><b>Beschreibung</b>: Beschädigung oder Löschung kritischer Daten.“] class technique_impact_data_destruction technique technique_impact_disk_wipe[„<b>Technik</b> – T1561.001 Festplattenlöschung<br/><b>Beschreibung</b>: Überschreiben von Festplattensektoren zur Systemunbrauchbarmachung.“] class technique_impact_disk_wipe technique %% Tools und Malware tool_dustyproxy[„<b>Tool</b> – DUSTYPROXY<br/><b>Beschreibung</b>: C#-Proxy-Client, installiert über Run-Registry-Keys; leitet Traffic über externe Proxies.“] class tool_dustyproxy tool malware_eriesnake_go[„<b>Malware</b> – ERIESNAKE.GO<br/><b>Beschreibung</b>: Go-Backdoor für interaktive Sessions, PowerShell-Ausführung und HTTP/443-Kommunikation.“] class malware_eriesnake_go malware malware_rusty_boots[„<b>Malware</b> – Rusty Boots<br/><b>Beschreibung</b>: Bootkit-Wiper, der OS-Neuinstallationen überlebt und den Bootsektor zerstört.“] class malware_rusty_boots malware malware_mokhargosh[„<b>Malware</b> – MoKhargosh<br/><b>Beschreibung</b>: Bootkit-Wiper zur vollständigen Unbrauchbarmachung industrieller Systeme.“] class malware_mokhargosh malware %% Ablauf technique_valid_accounts –>|führt zu| technique_exploit_remote technique_exploit_remote –>|ermöglicht| technique_persistence_registry technique_persistence_registry –>|nutzt| tool_dustyproxy tool_dustyproxy –>|installiert| technique_persistence_registry tool_dustyproxy –>|leitet Traffic an| technique_c2_external_proxy technique_c2_external_proxy –>|kommuniziert über| technique_c2_web technique_c2_web –>|ermöglicht| technique_execution_ps technique_execution_ps –>|startet| malware_eriesnake_go malware_eriesnake_go –>|stellt bereit| technique_remote_access technique_remote_access –>|nutzt aus| technique_credential_exploit technique_credential_exploit –>|führt zu| technique_impact_preos technique_impact_preos –>|ermöglicht| technique_impact_data_destruction technique_impact_data_destruction –>|verursacht| technique_impact_disk_wipe technique_impact_preos –>|implementiert durch| malware_rusty_boots technique_impact_preos –>|implementiert durch| malware_mokhargosh %% Stil class technique_valid_accounts,technique_exploit_remote,technique_persistence_registry,technique_c2_external_proxy,technique_c2_web,technique_execution_ps,technique_remote_access,technique_credential_exploit,technique_impact_preos,technique_impact_data_destruction,technique_impact_disk_wipe technique class tool_dustyproxy tool class malware_eriesnake_go,malware_rusty_boots,malware_mokhargosh malware
Angriffsfluss
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Anzeigen
Mögliche Systemaufzählung (über cmdline)
Anzeigen
Verdächtiger Prozess, der einen Systemprozess nachahmt, wurde ausgeführt (über cmdline)
Anzeigen
Mögliche Entdeckung von Systeminformationen unter Verwendung des Wmi-PowerShell-Moduls (über PowerShell)
Anzeigen
IOCs (HashMd5) zur Erkennung: IRANS CYBERPARADOX: ABGEBAUTE APTS, BEFÄHIGTE PROXYS UND DER AUFSTIEG VON BOOTKIT WIPER
Anzeigen
IOCs (SourceIP) zur Erkennung: IRANS CYBERPARADOX: ABGEBAUTE APTS, BEFÄHIGTE PROXYS UND DER AUFSTIEG VON BOOTKIT WIPER
Anzeigen
IOCs (DestinationIP) zur Erkennung: IRANS CYBERPARADOX: ABGEBAUTE APTS, BEFÄHIGTE PROXYS UND DER AUFSTIEG VON BOOTKIT WIPER
Anzeigen
HYDRO KITTEN Ausnutzung von Rockwell RSLogix 5000 [Firewall]
Anzeigen
Erkennen von anomalem HTTP-Verkehr und Proxy-Relay-Verhalten, die auf ERIESNAKE.GO und DUSTYPROXY-Aktivität hinweisen [Proxy]
Anzeigen
Erkennung von ERIESNAKE.GO PowerShell-Ausführung durch spezifische Prozesse [Windows Powershell]
Anzeigen
DUSTYPROXY-Persistenz über Registrierungslaufschlüssel [Windows Registry Event]
Anzeigen
Simulation Ausführung
Voraussetzung: Der Telemetrie- und Basislinien-Pre-Flight-Check muss bestanden sein.
Begründung: In diesem Abschnitt werden die genauen Ausführungsdetails der Angreifertechnik (TTP) aufgeführt, die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genau erwartete Telemetrie gemäß der Erkennungslogik zu erzeugen. Abstrakte oder unzusammenhängende Beispiele führen zu Fehlinterpretationen.
-
Angriffs-Narrativ & Befehle:
- Anmeldeinformationen ernten (T1078) – Der Angreifer, der ein niedrig privilegiertes Servicekonto kompromittiert hat, erhält die „Rockwell“-Dienstanmeldedaten aus einem unsicheren Anmldedatenspeicher.
- Remote-Interaktive Anmeldung (T1078, LogonType 10) – Mit diesen Anmeldedaten verbindet sich der Angreifer über RDP mit der Ziel-PLC-Verwaltungsstation und erzeugt ein erfolgreiches Anmeldeereignis (EventID 4624, LogonType 10), das mit der Regel übereinstimmt
Auswahl1. - Ausnutzungsversuch (T1190 / T1542.003) – Während der Anmeldung führt der Angreifer eine kreierte HTTP-Anfrage gegen den RSLogix 5000-Webdienst aus, was die Authentifizierungsumgehung (CVE‑2021‑22681) auslöst. Der Dienst protokolliert ein fehlgeschlagenes Authentifizierungsereignis (EventID 4625) mit einer Fehlermeldung, die „CVE‑2021‑22681“ enthält, was
Auswahl2. - Post‑Exploitation (T1059.001, T1071.001, T1090.002) – Eine PowerShell-Reverse‑Shell wird durch einen externen Proxy eingerichtet, um die bösartige Nutzlast herunterzuladen, aber diese Schritte sind nicht erforderlich, damit die Regel ausgelöst wird.
-
Regressionstestscript: Das unten stehende Skript automatisiert die Schritte 2 und 3, um die genaue Telemetrie zu erzeugen.
# ============================== # Hydro Kitten Ausnutzungstest # ============================== # 1. Schritt - Variablen - ersetzen Sie sie durch Ihre Umgebungswerte $targetHost = "10.0.0.50" # IP des RSLogix-Servers $rockwellUser = "Rockwell" $rockwellPwd = "P@ssw0rd!" # Bekanntes (oder erfasstes) Passwort $proxyUrl = "http://proxy.example.com:8080" # 2. Schritt - Eine remote interaktive Sitzung (RDP) unter Verwendung der Rockwell-Anmeldedaten herstellen $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd) Write-Host "[*] RDP-Sitzung zu $targetHost mit $rockwellUser wird gestartet..." # Start-Process erstellt eine neue Anmeldesitzung - dies erzeugt EventID 4624 mit LogonType 10 Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred Start-Sleep -Seconds 10 # Zeit geben, damit die Anmeldung aufgezeichnet wird # 3. Schritt - Versuchen, die CVE‑2021‑22681 Authentifizierungsumgehung auszulösen $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1" Write-Host "[*] Senden einer fehlerhaften Anfrage zur Auslösung der CVE-Erkennung..." Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue Write-Host "[+] Exploit-Anfrage gesendet. Überprüfen Sie das SIEM auf EventID 4625, die 'CVE-2021-22681' enthält." -
Bereinigungskommandos: Beenden Sie die RDP-Sitzung und entfernen Sie alle temporären Artefakte.
# Beenden Sie den RDP-Client-Prozess Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force # (Optional) Löschen Sie die PowerShell-Historie, um den forensischen Fußabdruck zu reduzieren Clear-History