SQL-Brute-Force öffnet die Tür für BlueSky-Ransomware
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein Bedrohungsakteur nutzte SEO Poisoning, um die BumbleBee-Malware durch einen trojanisierten ManageEngine OpManager-Installer zu verbreiten. Nach dem ersten Zugriff setzte der Angreifer AdaptixC2 für Befehls- und Kontrollzwecke ein, bewegte sich seitlich über RDP- und SSH-Tunneling und exfiltrierte mehr als 75 GB an sensiblen Daten. Der Einbruch endete mit der Bereitstellung der Akira-Ransomware zur Verschlüsselung der Domäneninfrastruktur.
Untersuchung
Die forensische Analyse identifizierte die anfängliche Infektionsquelle als eine ähnlich aussehende Domain, opmanager.pro, die einen bösartigen MSI-Installer bereitstellte. Ermittler verfolgten die Ausführungskette von DLL-Sideloading von msimg32.dll zur Injektion von AdaptixC2-Shellcode in das Windows-Adressbuch-Dienstprogramm. Die Überprüfung von Netzwerk-Telemetrie und Dateisystem-Artefakten offenbarte auch eine großangelegte Datenexfiltration über FileZilla und den Einsatz von Reverse-SSH-Tunneln zur Proxy-RDP-Zugriff.
Abschwächung
Organisationen sollten strikte Webfilterung durchsetzen, um neu registrierte oder ähnlich aussehende Domains zu blockieren und verdächtiges DLL-Sideloading-Verhalten zu überwachen. Die Begrenzung administrativer Rechte und das Erkennen unautorisierter Erstellungen von Domänenkonten oder Diensten ist ebenfalls entscheidend. Darüber hinaus können starke Ausgangsfilterung und die Überwachung auf unautorisierte SSH- oder RDP-Tunneling dazu beitragen, sowohl seitliche Bewegungen als auch Datenexfiltration zu verhindern.
Reaktion
Wenn diese Aktivität erkannt wird, isolieren Sie sofort betroffene Systeme, insbesondere Domänencontroller und Backup-Server, um eine weitere Ransomware-Ausbreitung zu stoppen. Beenden Sie alle unautorisierten Fernzugriffssitzungen, einschließlich SSH-Tunneln und RustDesk-Instanzen. Führen Sie einen vollständigen Anmeldeinformationen-Reset für alle Domänenkonten durch, mit besonderem Augenmerk auf Enterprise-Administratoren, und beginnen Sie die Wiederherstellung mit Offline- und unveränderlichen Backups.
Angriffsablauf
Erkennungen
Verdächtige WMIC-Nutzung (via cmdline)
Anzeigen
Verdächtiger Powershell-Schattenkopierverweis (via cmdline)
Anzeigen
Mögliche Schattenkopienlöschung über WMI (via Powershell)
Anzeigen
Verdächtige ausgehende Verbindung durch ungewöhnlichen Prozess (via Netzwerkverbindung)
Anzeigen
DNS-Anfrage durch ungewöhnlichen Prozess (via dns_query)
Anzeigen
Verdächtiges SSH-Port-Forwarding [Windows] (via cmdline)
Anzeigen
Mögliche Systemaufzählung (via cmdline)
Anzeigen
Verdächtige Entdeckung von Domänenverweisen (via cmdline)
Anzeigen
Mögliches Anmeldeinformations-Dumping mit Comsvcs.dll (via cmdline)
Anzeigen
Verdächtige PSQL-Ausführung (via cmdline)
Anzeigen
Verdächtige Wbadmin-Tool-Aktivität (via cmdline)
Anzeigen
Möglicher BYOVD – Bring Your Own Vulnerable Driver-Angriff (via Audit)
Anzeigen
Mögliche Bits-Transfer-Aktivität (via Powershell)
Anzeigen
Mögliche Ausführung durch Verwendung eines kurzen Skriptnamens (via cmdline)
Anzeigen
Mögliches Powershell-Skript mit Lolbin (via Powershell)
Anzeigen
Erstellung von Remotezugriffs- / Verwaltungssoftwarediensten (via System)
Anzeigen
Alternative Remotezugriffs-/Verwaltungssoftware (via Prozess-Erstellung)
Anzeigen
Mögliche Konto- oder Gruppenumgehung /-manipulation (via cmdline)
Anzeigen
Ausführung von Systemprozessen aus untypischen Pfaden (via Prozess-Erstellung)
Anzeigen
Mögliche Msiexec-Ausführung von Dateien in untypischem Verzeichnis (via cmdline)
Anzeigen
Erkennung von RustDesk- und Akira-Ransomware-Aktivitäten [Windows System]
Anzeigen
Erkennung und Injektion von BumbleBee und AdaptixC2 [Windows Prozess-Erstellung]
Anzeigen
Management-Zusammenfassung
- Testfall-ID: TC-20250522-K9L2P
- TTPs: T1003.001, T1003.003, T1018, T1021.001, T1021.003, T1027.010, T1033, T1036, T1039, T1041, T1046, T1047, T1048.001, T1055, T1059.001, T1059.003, T1069.001, T1069.002, T1070.004, T1071.001, T1082, T1083, T1087.001, T1087.002, T1090, T1135, T1136, T1189, T1204.002, T1219, T1482, T1486, T1490, T1543.003, T1555, T1568.002, T1569.002, T1574.001
-
Zusammenfassung der Erkennungsregel-Logik: Die Regel wird ausgelöst, wenn
rustdesk.exedurchservices.exegestartet wird oder wennlocker.exemit einer Befehlszeile ausgeführt wird, die „Volume Shadow Copies“ enthält. - Sprache/Format der Erkennungsregel: yaml
- Ziel-Sicherheitsumgebung: Windows OS mit aktiviertem Sysmon, targeting eines SIEM, das Sysmon Event ID 1 (Prozess-Erstellung) Telemetrie verarbeiten kann.
- Resilienzbewertung (1-5): 2
-
Begründung: Die Regel stützt sich stark auf spezifische, fest kodierte Dateinamen (
rustdesk.exeandlocker.exe). Ein Angreifer kann dies leicht umgehen, indem er seine Binärdateien umbenennt. Außerdem ist die Akira-Erkennung auf einen bestimmten String in der Befehlszeile beschränkt, der verschleiert werden kann. - Schlüsselerkenntnisse: Die Regel erkennt effektiv den „Out-of-the-Box“-Einsatz dieser Tools, versagt jedoch bei grundlegenden Umgehungstechniken wie der Umbenennung von Binärdateien oder der Manipulation von Befehlszeilenargumenten.
-
Empfehlung: Wechseln Sie von dateinamenbasierter Erkennung zu Verhaltensindikatoren, wie z. B. die Überwachung nicht autorisierter Dienstinstallationen, unerwarteter Netzwerkverbindungen von Remote-Desktop-Tools und der Löschung von Schattenkopien via
vssadminorwmicunabhängig vom Namen des übergeordneten Prozesses.
## Simulationsumgebung & Kontext
-
TTPs im Test:
- T1003.001: OS-Anmeldeinformations-Dumping: LSASS-Speicher
- T1059.001: Kommando- und Skript-Interpreter: PowerShell
- T1490: Systemwiederherstellung verhindern (Löschen von Schattenkopien)
- T1543.003: Erstellen oder Ändern des Systemprozesses: Windows-Dienst
- TTP-Kontext & Relevanz: Die Simulation zielt darauf ab, das Doppelbedrohungsprofil zu replizieren: Die Nutzung von RustDesk für dauerhaften Fernzugriff (installiert als Dienst) und die Ausführung von Akira-Ransomware-artigen Befehlen, um die Systemwiederherstellung durch Anpeilen der Volume-Schattenkopien zu verhindern.
-
Zielumgebung:
- OS: Windows 10/11 oder Windows Server
- Protokollierung: Sysmon (insbesondere Event ID 1: Prozess-Erstellung)
- Sicherheitsstack: SIEM (z.B. Splunk, Sentinel oder ELK)
## Telemetrie- & Basislinien-Vorflugprüfung
Begründung: Bevor der Angriff simuliert wird, müssen wir bestätigen, dass der Zielhost konfiguriert ist, um die erforderlichen Protokolle zu generieren, dass diese Protokolle vom SIEM erfasst werden und dass die Erkennungsregel nicht bei harmloser Aktivität ausgelöst wird. Ohne diese Validierung ist jedes Testergebnis unzuverlässig.
-
1. Telemetrie-Konfigurationsanleitungen:
-
- Installiere Sysmon auf dem Ziel-Windows-Computer.
-
- Wende eine Konfigurationsdatei an (z.B. SwiftOnSecuritys Konfiguration), die sicherstellt, dass Prozess-Erstellung (Ereignis-ID 1) mit vollständigen Befehlszeilenargumenten erfasst wird.
-
- Stelle sicher, dass das Sysmon-Ereignisprotokoll über Winlogbeat, Splunk Universal Forwarder oder einen ähnlichen Agenten an dein SIEM weitergeleitet wird.
-
-
2. Validierung von Erfassung & Basislinie:
-
Aktion (harmloser Telemetrie): Führe einen Standard-PowerShell-Befehl aus, um Systeminformationen zu überprüfen, der Prozess-Erstellungs-Telemetrie generiert, ohne ransomware-bezogene Muster auszulösen.
Get-ComputerInfo | Select-Object CsName, OsArchitecture -
Validierungsabfrage (Erfassung):
// KQL-Abfrage zur Überprüfung der Erfassung von Sysmon-Ereignis-ID 1 Sysmon | where EventID == 1 and Image contains "powershell.exe" | take 10
-
## Simulationsdurchführung
Voraussetzung: Die Telemetrie- & Basislinien-Vorflugprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.
-
Angriffserzählung & Befehle: Der Gegner beginnt damit, Persistenz und Fernzugriff durch RustDesk zu etablieren. Um eine Dienstinstallation zu simulieren, wird der Angreifer das Verhalten nachahmen, bei dem ein Dienstmanager (
services.exe) die Fernzugriffs-Binärdatei hervorruft. Nachfolgend führt der Gegner die Akira-Ransomware-Nutzlast aus. Das Ziel dieser Nutzlast ist es, System-Backups zu zerstören, um eine Wiederherstellung zu verhindern; dies erfolgt durch einen Aufruf einer Binärdatei namenslocker.exemit einer spezifischen Befehlszeilenanweisung, um ‚Volume Shadow Copies‘ zu löschen. Dies ahmt die hochwirksame Phase eines Erpressungsangriffs nach. -
Regressionstestskript:
# --- SIMULATION START --- # Teil 1: Simulation der RustDesk-Dienstausführung # Wir simulieren das Verhalten, bei dem services.exe rustdesk.exe hervorruft. # Da wir die Elterprozess-ID von services.exe nicht ohne Kerneltreiber vortäuschen können, # werden wir die Artefakterstellung simulieren und dann ein Werkzeug wie 'Process Hacker' # oder ein Skript verwenden, um die spezifische Telemetrie zu simulieren, wenn möglich, # aber für dieses Skript werden wir die Datei erstellen und einen Prozess auslösen. $rustdeskPath = "$env:TEMPrustdesk.exe" New-Item -Path $rustdeskPath -ItemType File -Force # Hinweis: Um die GENAU 'ParentImage|endswith: services.exe'-Regel auszulösen, # ist eine echte Dienstinstallation erforderlich. Write-Host "[+] Simuliertes RustDesk-Binärdatei bei $rustdeskPath erstellen" # Teil 2: Simulation der Akira-Ransomware-Aktivität $lockerPath = "$env:TEMPlocker.exe" New-Item -Path $lockerPath -ItemType File -Force Write-Host "[+] Simulierte Akira 'locker.exe' bei $lockerPath erstellen" # Die Akira-Erkennung über CommandLine-Ausdrag enthält 'Volume Shadow Copies' auslösen # Wir verwenden Start-Process, um sicherzustellen, dass die Befehlszeile von Sysmon erfasst wird Start-Process -FilePath $lockerPath -ArgumentList "/delete Volume Shadow Copies" -NoNewWindow Write-Host "[!] Simulationsbefehle ausgeführt. Prüfen Sie SIEM auf 'locker.exe'-Alarme." # --- SIMULATION END --- -
Bereinigungskommandos:
# --- CLEANUP START --- Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlocker.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Bereinigung abgeschlossen." # --- CLEANUP END ---