Ransom-Geschichten: Band V — Emulierung von REvil-, DarkSide- und BlackMatter-Ransomware
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Dieser Artikel behandelt den fünften Band der AttackIQ Ransom Tales-Serie, die die Taktiken, Techniken und Verfahren von drei berüchtigten Ransomware-Familien – REvil, DarkSide und BlackMatter – nachstellt. Jedes Szenario führt durch Ausführungs-, Persistenz-, Entdeckungs-, Abwehrvermeidungs- und Auswirkungsphasen, um Verteidiger in die Lage zu versetzen, Erkennungs- und Reaktionsdrehbücher zu validieren. Die Emulationen reproduzieren markante Verhaltensweisen, wie beispielsweise DLL-Suchreihenfolgeentführung, Registry-Missbrauch, geplante Aufgaben zur Persistenz, VSS-Schattenkopielöschung und starke kryptografische Dateiverschlüsselung. Der Beitrag beleuchtet auch große Lieferkettenintrusionen und verfolgt, wie sich Ransomware-as-a-Service im Laufe der Zeit entwickelt hat.
Ransomware Attack Analysis
Das Adversary Research Team von AttackIQ griff auf öffentliche Bedrohungs-Intelligenzberichte und Malware-Proben zurück, um realistische Angriffsgrafiken für jede Ransomware-Familie zu erstellen. Forscher ordneten einzelne Schritte MITRE ATT&CK Technik-IDs zu und entwarfen Ausführungspfade, die Nutzdaten abrufen, Persistenz einrichten, Host- und Domain-Informationen auflisten und Dateien verschlüsseln. Das Team modellierte auch die Verwendung bekannter CVE-Exploits, die von DarkSide für den ersten Zugriff genutzt wurden. Die Untersuchung unterstreicht gemeinsam genutzte Werkzeuge, überlagernde Infrastrukturen und Code-Wiederverwendung durch die REvil-, DarkSide- und BlackMatter-Ransomware-Familien.
Minderung
Empfohlene Minderungsmaßnahmen konzentrieren sich auf die Durchsetzung des Prinzips der geringsten Privilegien, das Deaktivieren nicht essenzieller Dienste und das schnelle Patchen exponierter Systeme, einschließlich bekannter VMware-ESXi-Schwachstellen. Es wird empfohlen, den Remote-Desktop-Zugang einzuschränken, verdächtige Registrierungsänderungen und neu erstellte geplante Aufgaben genau zu überwachen und robuste Anwendungssteuerung einzusetzen. Die Anleitung betont weiter die Rolle von Endpunkterkennungstechnologien und die routinemäßige Überprüfung von Backups zur Eindämmung des Schadensradius von Ransomware-Vorfällen.
Reaktion
Wenn Aktivitäten im Ransomware-Stil erkannt werden, sollten die Reaktionskräfte die betroffenen Systeme sofort isolieren, flüchtigen Speicher erfassen, relevante Registrierungszweige sammeln und Protokollquellen bewahren. Die forensische Überprüfung sollte Schattenkopien, geplante Aufgaben und Registrierungsschlüssel auf Anzeichen von REvil-, DarkSide- oder BlackMatter-Verfahren untersuchen. Die Wiederherstellung umfasst die Datenwiederherstellung aus sauberen, validierten Backups und die Suche nach späteralen Bewegungsversuchen mit SMB- und LDAP-Anmeldeinformationen. Schließlich sollten Teams Stakeholder informieren, den Vorfall dokumentieren und die Erkenntnisse mit Bedrohungs-Intelligenz anreichern, um die Attribution und zukünftige Verteidigungsverbesserungen zu unterstützen.
Angriffsfluss
Erkennungen
Erkennung der REvil- und DarkSide-Ransomware-Schattenkopielöschung [Windows-Prozesserstellung]
Ansehen
Erkennung der REvil-Ransomware-Registry-Manipulation für Ausführung und Persistenz [Windows Registry Event]
Ansehen
IOCs (HashSha256) zur Erkennung: Ransom Tales: Band V — Throwback Edition! Nachstellung der REvil-, DarkSide- und BlackMatter-Ransomware
Ansehen
Verdächtige VSSADMIN-Aktivität (via cmdline)
Ansehen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (via registry_event)
Ansehen
Simulationen
Simulationsexekution
Voraussetzung: Der Telemetrie- & Basislinien-Vorkontrolltest muss bestanden sein.
Begründung: In diesem Abschnitt wird die präzise Ausführung der gegnerischen Technik (TTP) beschrieben, die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Der REvil-Betreiber zielt auf die Zielmaschine ab, um sicherzustellen, dass die Ransomware-Nutzlast nach einem Neustart automatisch startet. Mit einem PowerShell-Dropper erstellt der Angreifer drei Registry-Änderungen, die die Regel überwacht:- Erstellt einen täuschenden „BlackLivesMatter“-Schlüssel unter dem Wow6432Node-Zweig – ein bekannter REvil-Indikator.
- Aktiviert AutoAdminLogon um die automatische Anmeldung eines privilegierten Kontos nach einem Neustart zu erzwingen, was die Ausführung von Ransomware erleichtert.
- Fügt der RunOnce-Schlüssel eine Nutzlast hinzu damit die bösartige ausführbare Datei einmal beim Systemstart ausgeführt wird.
Alle drei Aktionen werden mit erhöhten Rechten durchgeführt, wodurch Sicherheitsevents ID 13-Einträge generiert werden, die den Sigma-Rules
AuswahlFilter entsprechen. -
Regressionstest-Skript:
# ------------------------------------------------- # Simulation der REvil-Registry-Manipulation (TC-20251114-3Z7XQ) # ------------------------------------------------- # 1. BlackLivesMatter-Schlüssel (HKLMSOFTWAREWOW6432NodeBlackLivesMatter) $blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' New-Item -Path $blmKey -Force | Out-Null New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force # 2. Aktivierung des AutoAdminLogon $autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force # 3. RunOnce Persistenz für die Nutzlast $runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' New-Item -Path $runOnceKey -Force | Out-Null New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force Write-Host "REvil-Registry-Simulation abgeschlossen. Überprüfen Sie die Warnungen im SIEM." -
Bereinigungskommandos:
# ------------------------------------------------- # Bereinigen von REvil-Registry-Simulationsartefakten # ------------------------------------------------- # Entfernen des BlackLivesMatter-Schlüssels Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue # Zurücksetzen des AutoAdminLogon (auf 0 setzen oder entfernen) Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' ` -Name 'AutoAdminLogon' -Value '0' -Force # Entfernen des RunOnce-Eintrags Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' ` -Name 'RevilStart' -Force -ErrorAction SilentlyContinue Write-Host "Bereinigung abgeschlossen."