SOC Prime Bias: Hoch

15 Jun 2026 15:57 UTC
newspaper icon picussecurity.com

Tengu Ransomware: Vom Erstzugang bis zur Verschlüsselung

Author Photo
SOC Prime Team linkedin icon Folgen
Tengu Ransomware: Vom Erstzugang bis zur Verschlüsselung
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Tengu ist eine Ransomware-as-a-Service-Operation, die einem Doppel-Erpressungsmodell folgt. Vor der Verschlüsselung verwenden die Angreifer Living Off the Land Binaries, um Nutzlasten auszuführen und sensible Daten an den MEGA-Cloudspeicher zu exfiltrieren. Die Kommunikation mit den Opfern und die Zahlungsgespräche werden über ein Portal auf Tor-Basis abgewickelt.

Untersuchung

Der Bericht beschreibt die vollständige Tengu-Einbruchskette, beginnend mit dem anfänglichen Zugang durch Phishing oder gestohlene Anmeldeinformationen und endend mit der Datenverschlüsselung. Er hebt die Verwendung legitimer administrativer Werkzeuge wie PowerShell und Rclone hervor, die den Angreifern helfen, sich in normale Aktivitäten einzufügen und somit die Chance auf Entdeckung zu verringern.

Minderung

Sicherheits-Teams sollten eine starke Multi-Faktor-Authentifizierung durchsetzen, um das Risiko des Missbrauchs von Anmeldeinformationen auf RDP- und VPN-Diensten zu verringern. Organisationen sollten auch verdächtige LOLBin-Aktivitäten überwachen, die unautorisierte Nutzung von Cloud-Speicherplattformen einschränken und regelmäßige Offline-Backups pflegen, die eine Wiederherstellung unterstützen können.

Antwort

Wenn Tengu-Aktivität festgestellt wird, sollten betroffene Systeme sofort isoliert werden, um seitliche Bewegungen und zusätzliche Datenexfiltration zu stoppen. Überprüfen Sie die Windows-Ereignisprotokolle und Dienstkonfigurationen auf unautorisierte Änderungen und aktivieren Sie Reaktionsprozeduren auf Vorfälle, um das Ausmaß der Datenexposition und der Verschlüsselungsaktivität zu ermitteln.

graph TB %% Klassendefinitionsbereich classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#fbb,stroke:#333,stroke-width:2px classDef exfiltration fill:#bfb,stroke:#333,stroke-width:2px classDef impact fill:#f96,stroke:#333,stroke-width:2px classDef tool fill:#ccc,stroke:#333,stroke-width:1px %% Knoten für den Initial Access access_phishing[„<b>Aktion</b> – <b>T1566.002 Phishing: Spearphishing-Link</b><br/>Beschreibung: Versand gezielter Links an Opfer, um Zugriff zu erhalten.“] class access_phishing initial_access access_exploit[„<b>Aktion</b> – <b>T1190 Ausnutzung öffentlich zugänglicher Anwendungen</b><br/>Beschreibung: Ausnutzung von Schwachstellen in internetexponierter Software.“] class access_exploit initial_access access_accounts[„<b>Aktion</b> – <b>T1078 Gültige Konten</b><br/>Beschreibung: Verwendung gestohlener Anmeldedaten für den Zugriff auf RDP- oder VPN-Endpunkte.“] class access_accounts initial_access op_initial_access((„AND“)) class op_initial_access operator %% Knoten für Ausführung und Rechteausweitung exec_powershell[„<b>Aktion</b> – <b>T1059.001 Befehls- und Skriptinterpreter: PowerShell</b><br/>Beschreibung: Ausführung schädlicher Payloads über PowerShell.“] class exec_powershell execution exec_cmd[„<b>Aktion</b> – <b>T1059.003 Befehls- und Skriptinterpreter: Windows-Befehlsshell</b><br/>Beschreibung: Ausführung von Befehlen über cmd.exe.“] class exec_cmd execution exec_rundll32[„<b>Aktion</b> – <b>T1218.011 Rundll32</b><br/>Beschreibung: Ausführung schädlichen Codes über Rundll32.exe.“] class exec_rundll32 execution priv_esc_lsass[„<b>Aktion</b> – <b>T1003.001 Betriebssystem-Anmeldedaten-Dumping: LSASS-Speicher</b><br/>Beschreibung: Erfassen administrativer Anmeldedaten aus dem LSASS-Speicher.“] class priv_esc_lsass execution %% Knoten zur Beeinträchtigung der Verteidigung def_disable_tools[„<b>Aktion</b> – <b>T1562.001 Abwehrmaßnahmen beeinträchtigen: Tools deaktivieren oder ändern</b><br/>Beschreibung: Deaktivierung von Windows Security Center und Windows Update über sc config.“] class def_disable_tools defense_impairment def_clear_logs[„<b>Aktion</b> – <b>T1070.001 Entfernung von Indikatoren: Windows-Ereignisprotokolle löschen</b><br/>Beschreibung: Beseitigung forensischer Spuren mit wevtutil cl *.“] class def_clear_logs defense_impairment %% Knoten für Exfiltration exfil_cloud[„<b>Aktion</b> – <b>T1567.002 Exfiltration in Cloud-Speicher</b><br/>Beschreibung: Verschieben sensibler Daten zu Cloud-Anbietern.“] class exfil_cloud exfiltration tool_rclone[„<b>Werkzeug</b> – <b>Name</b>: Rclone / WinSCP<br/>Beschreibung: Legitime Tools zur Übertragung von Daten zu MEGA.“] class tool_rclone tool %% Knoten für Auswirkungen impact_recovery[„<b>Aktion</b> – <b>T1490 Systemwiederherstellung verhindern</b><br/>Beschreibung: Löschen von Schattenkopien mit vssadmin delete shadows /all /quiet.“] class impact_recovery impact impact_encryption[„<b>Aktion</b> – <b>T1486 Datenverschlüsselung für Auswirkungen</b><br/>Beschreibung: Verschlüsselung von Dateien mit der Endung .tengu und Erstellung von TENGU_README.txt.“] class impact_encryption impact %% Verbindungen access_phishing –>|führt_zu| op_initial_access access_exploit –>|führt_zu| op_initial_access access_accounts –>|führt_zu| op_initial_access op_initial_access –>|führt_zu| exec_powershell op_initial_access –>|führt_zu| exec_cmd op_initial_access –>|führt_zu| exec_rundll32 exec_powershell –>|ermöglicht| priv_esc_lsass exec_cmd –>|ermöglicht| priv_esc_lsass priv_esc_lsass –>|führt_zu| def_disable_tools priv_esc_lsass –>|führt_zu| def_clear_logs def_disable_tools –>|geht_voraus| exfil_cloud def_clear_logs –>|geht_voraus| exfil_cloud exfil_cloud –>|verwendet| tool_rclone tool_rclone –>|führt_zu| impact_recovery impact_recovery –>|führt_zu| impact_encryption

Angriffsfluss

Simulation der Ausführung

Voraussetzung: Die Telemetrie- & Baseline-Vorabprüfung muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.

  • Angriffs-Narrativ & Befehle: Der Angreifer beabsichtigt, die Bereitstellungsphase der Tengu-Ransomware zu initiieren. Um eine Erkennung durch einfache Antivirus-Signaturen zu vermeiden, nutzen sie „Living-off-the-Land“ (LotL) Techniken. Der Angreifer wird zuerst verwenden powershell.exe um eine Staging-Nutzlast herunterzuladen und dann verwenden rundll32.exe um eine bösartige DLL auszuführen. Dies ahmt das Verhalten nach, das in der Tengu-Angriffskette beschrieben wird, bei dem legitime Windows-Binaries missbraucht werden, um bösartige Aktionen durchzuführen, wodurch versucht wird, sich in routinemäßige administrative Aktivitäten einzufügen.

  • Regressionstest-Skript:

    # Tengu-Ransomware-Ausführungssimulation-Skript
# Dieses Skript simuliert die Verwendung von LOLBins, um die Erkennungsregel auszulösen.

Write-Host "[*] Starten der Tengu-Ransomware-Ausführungssimulation..." -ForegroundColor Cyan

# 1. Simuliere PowerShell-basierte Nutzlaststaging (T1059.001)
Write-Host "[*] Simuliere PowerShell-Nutzlaststaging..." -ForegroundColor Yellow
powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Download der bösartigen Nutzlast simulieren...'"

# 2. Simuliere CMD-basierte Aufklärung (T1059.003)
Write-Host "[*] Simuliere CMD-basierte Aufklärung..." -ForegroundColor Yellow
cmd.exe /c "whoami /all"

# 3. Simuliere Rundll32-Ausführung (T1218.011)
Write-Host "[*] Simuliere Rundll32-bösartige DLL-Ausführung..." -ForegroundColor Yellow
rundll32.exe javascript:"alert('Simulierte Tengu-Nutzlastausführung');"

Write-Host "[+] Simulation abgeschlossen. SIEM auf Alarmmeldungen überprüfen." -ForegroundColor Green

  • Clean-Befehle:

    # In dieser Simulation wurden keine permanenten Dateien oder Registrierungsschlüssel verändert.
# Die ausgeführten Befehle sind flüchtige Prozessausführungen.
Write-Host "[*] Bereinigung nicht erforderlich, da keine persistenten Artefakte erstellt wurden." -ForegroundColor Cyan

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten