Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Avaddon ist ein Ransomware-as-a-Service (RaaS) Betrieb, der von der kriminellen Gruppe Riddle Spider geführt wird. Die auf C++ basierende Malware verschlüsselt lokale und netzwerkzugängliche Daten, entfernt Schattenkopien und nutzt ein Doppel-Erpressungsmodell, indem sie damit droht, exfiltrierte Informationen zu leaken. Sie wird über gestohlene Anmeldedaten, exponierte RDP-Dienste und benutzerdefinierte Web-Shells bereitgestellt und verwendet weitläufig mehrere Techniken zur Anti-Analyse.
Analyse der Avaddon-Ransomware
Die Analyse beschreibt Avaddons Codebasis, wie sie ihre Konfiguration speichert, geografische Überprüfungen durchführt, Dienste stoppt, Prozesse beendet und die Verschlüsselung mit AES-256 unter Verwendung eindeutiger Schlüssel pro Datei durchführt. Sie zählt auch die für die Beendigung ausgewählten Dienste und Prozesse sowie die spezifischen Befehle auf, die zur Deaktivierung von Wiederherstellungsmechanismen verwendet werden.
Minderung
Verteidiger sollten eine robuste Anmeldeinformationen-Hygiene durchsetzen, RDP-Exposition begrenzen oder härten, nach Mustern bekannter Web-Shells überwachen und die Ausführung von Befehlen zur Entfernung von Schattenkopien erkennen. Die Whitelistung von Anwendungen und die Aufrechterhaltung regelmäßiger, offline Backups können die Auswirkungen der Ransomware erheblich reduzieren.
Reaktion
Wenn Avaddon-Aktivität erkannt wird, isolieren Sie das kompromittierte System, erfassen Sie flüchtige Beweise, blockieren Sie assoziierte Befehlszeilenverhalten und leiten Sie die Incident Response mit vollständiger forensischer Abbildung ein. Stellen Sie Daten aus vertrauenswürdigen Offline-Backups wieder her und ziehen Sie in Betracht, Strafverfolgungsbehörden aufgrund der Doppel-Erpressungstaktiken zu involvieren.
mermaid graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc %% Nodes action_valid_accounts[„<b>Aktion</b> – <b>T1078 Gültige Konten</b><br />Der Angreifer verwendet gestohlene oder erratene Anmeldedaten, um sich ersten Zugang zu verschaffen, oft über kompromittierte RDP-Anmeldedaten.“] class action_valid_accounts action action_rdp[„<b>Aktion</b> – <b>T1021.001 Ferndienste: Remote Desktop-Protokoll</b><br />Verwendung von RDP für laterale Bewegungen und Remote-Befehlsausführung nach Erhalt gültiger Anmeldedaten.“] class action_rdp action malware_web_shell[„<b>Malware</b> – <b>T1505.003 Serversoftware-Komponente: Web-Shell</b><br />Bereitstellung benutzerdefinierter Web-Shells (z.B. BLACKCROW, DARKRAVEN), um persistenten Zugriff zu halten und Befehle auf kompromittierten Servern auszuführen.“] class malware_web_shell malware action_c2_comm[„<b>Aktion</b> – <b>T1102.002 Webdienst: bidirektionale Kommunikation</b><br />Web-Shells bieten einen bidirektionalen Kommando- und Kontrollkommunikationskanal.“] class action_c2_comm action tool_powershell[„<b>Werkzeug</b> – <b>T1059.001 Befehls- und Skriptinterpreter: PowerShell</b><br />Ausführung von PowerShell-Skripten über Post-Exploitation-Frameworks wie Empire oder PowerSploit.“] class tool_powershell tool action_auto_collection[„<b>Aktion</b> – <b>T1119 Automatisierte Sammlung</b><br />Automatisierte Sammlung von Dateien und Daten vor der Exfiltration.“] class action_auto_collection action tool_7zip[„<b>Werkzeug</b> – <b>T1560.001 Archivierte Daten: Archiv über Dienstprogramm</b><br />Komprimierung der gesammelten Daten mit 7Zip.“] class tool_7zip tool action_exfil_cloud[„<b>Aktion</b> – <b>T1567.002 Exfiltration über Webdienst: Exfiltration zu Cloud-Speicher</b><br />Hochladen archivierter Daten auf Cloud-Dienste wie MEGAsync.“] class action_exfil_cloud action action_gather_info[„<b>Aktion</b> – <b>T1592 Hostinformationen Sammlung</b><br />Sammeln von Hardware-, Software-, Firmware- und Clientkonfigurationsdetails für die Vorbereitung der Lösegeldforderung.“] class action_gather_info action action_service_stop[„<b>Aktion</b> – <b>T1489 Dienststop</b><br />Stoppen und Löschen sicherheitsrelevanter Dienste und Prozesse, um Störungen während der Verschlüsselung zu vermeiden.“] class action_service_stop action action_exclusive_control[„<b>Aktion</b> – <b>T1668 Exklusive Kontrolle</b><br />Gewinnung exklusiver Kontrolle, um Schattenkopien zu löschen und die Wiederherstellung zu verhindern.“] class action_exclusive_control action action_inhibit_recovery[„<b>Aktion</b> – <b>T1490 Systemwiederherstellung hemmen</b><br />Deaktivierung von Wiederherstellungsmechanismen (vssadmin, wbadmin, bcdedit) und Löschung von Schattenkopien.“] class action_inhibit_recovery action action_obfuscation[„<b>Aktion</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br />Konfigurationsstrings sind Base64-codiert und weiter durch arithmetische Operationen verschleiert.“] class action_obfuscation action action_data_encryption[„<b>Aktion</b> – <b>T1486 Datenverschlüsselung zur Beeinflussung</b><br />Verschlüsselung von Dateien des Opfers mit AES-256, unter Verwendung eindeutiger Schlüssel pro Datei und Ausschluss kritischer Systemverzeichnisse.“] class action_data_encryption action action_hide_artifacts[„<b>Aktion</b> – <b>T1564.012 Artefakte verbergen: Datei/Pfad-Ausschlüsse</b><br />Ausschluss bestimmter Verzeichnisse und Erweiterungen von der Verschlüsselung, um die Systemstabilität zu erhalten.“] class action_hide_artifacts action %% Flow connections action_valid_accounts u002du002d>|führt zu| action_rdp action_rdp u002du002d>|ermöglicht| malware_web_shell malware_web_shell u002du002d>|bietet| action_c2_comm action_c2_comm u002du002d>|verwendet| tool_powershell tool_powershell u002du002d>|führt aus| action_auto_collection action_auto_collection u002du002d>|speist| tool_7zip tool_7zip u002du002d>|produziert Archiv für| action_exfil_cloud action_exfil_cloud u002du002d>|vollendet| action_gather_info action_gather_info u002du002d>|geht voraus| action_service_stop action_service_stop u002du002d>|ermöglicht| action_exclusive_control action_exclusive_control u002du002d>|führt zu| action_inhibit_recovery action_inhibit_recovery u002du002d>|bereitet die Bühne für| action_obfuscation action_obfuscation u002du002d>|geht voraus| action_data_encryption action_data_encryption u002du002d>|erfolgt mit| action_hide_artifacts %% Styling class action_valid_accounts,action_rdp,action_c2_comm,action_auto_collection,action_exfil_cloud,action_gather_info,action_service_stop,action_exclusive_control,action_inhibit_recovery,action_obfuscation,action_data_encryption,action_hide_artifacts action class tool_powershell,tool_7zip tool class malware_web_shell malware
Angriffsablauf
Erkennungen
Erkennung von RDP-Nutzung für laterale Bewegungen über kompromittierte Anmeldedaten [Windows Netzwerkverbindung]
Ansehen
Erkennung von Anti-Wiederherstellungsbefehlen, die von Avaddon-Ransomware verwendet werden [Windows Prozess Erstellung]
Ansehen
Erkennung der BLACKCROW und DARKRAVEN Web-Shells oder SystemBC RAT [Windows Prozess Erstellung]
Ansehen
IOCs (Emails) zum Erkennen: Riddle Spider Avaddon Ransomware Analyse und technische Übersicht
Ansehen
Verdächtige Wbadmin-Tool-Aktivität (über cmdline)
Ansehen
Simulationen
Zusammenfassung für Führungskräfte
Testfall-ID: TC-20251104-A7B9Z
TTPs: T1219, T1566.001
Zusammenfassung der Erkennungsregel-Logik: Erkennt jede E-Mail, deren Betreff das Wort „load“ enthält und deren Inhalt sowohl die Zeichenfolgen „.exe“ als auch „.msi“ umfasst, was auf einen bösartigen Download-Link hinweist.
Sprache/Format der Erkennungsregel: sigma
Ziel-Sicherheitsumgebung: Windows OS – Netzwerkverbindungsprotokolle (z.B. Windows Firewall, Proxy, DNS-Logs) – SIEM-Plattform, die Sigma-Regeln konsumiert (z.B. Splunk, Elastic, Azure Sentinel)
Resilienz-Bewertung (1-5): 2
Begründung: Die Regel beruht auf…
Vollständige Simulationen ansehen