Everest-Ransomware kombiniert Verschlüsselung, Zugang und Insider-Bedrohungen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Everest ist eine Windows-basierte Ransomware-Operation, die seit Dezember 2020 aktiv ist und ein Multi-Revenue-Modell verfolgt, das auf Verschlüsselung, initialem Zugangshandel und Insider-Rekrutierung basiert. Die Gruppe verwendet AES-128-CBC zur Verschlüsselung und wendet eine Doppel-Erpressungsstrategie an, indem sie droht, gestohlene Daten auf einer Tor-basierten Leak-Website zu veröffentlichen. Sie zeigt auch technische Überschneidungen mit der BlackByte-Ransomware, insbesondere durch ihr Verhalten bei der lokalen Schlüsselgenerierung.
Untersuchung
Der Bericht beschreibt die Everest-Ausführungskette vom initialen Zugang über RDP oder VPN zur Verteidigungsevasion und endgültigen Verschlüsselung. Er analysiert die Verwendung von .NET-Obfuskation mit ConfuserEx durch die Malware und ihre Methoden zur Deaktivierung von Wiederherstellungsoptionen wie Schattenkopien und Systemwiederherstellungspunkten. Die technische Überprüfung untersucht auch ihre Netzwerkentdeckungsaktivität, einschließlich der Verwendung von SoftPerfect Network Scanner.
Minderung
Organisationen sollten eine Multi-Faktor-Authentifizierung an allen RDP- und VPN-Eingängen durchsetzen, um das Risiko eines initialen Kompromisses zu verringern. Sicherheitsteams sollten auf unautorisierte Änderungen am Windows Defender Kontrollierten Ordnerzugriff und Versuche zur Deaktivierung von Schattenkopien überwachen. Die Begrenzung von administrativen Privilegien und das Erkennen der Ausführung von Netzwerkscan-Tools wie netscan.exe kann ebenfalls helfen, das Expositionsrisiko zu verringern.
Antwort
Wenn Everest-Aktivität erkannt wird, sollten betroffene Systeme sofort isoliert werden, um die laterale Bewegung und weitere Verschlüsselung zu stoppen. Responder sollten Prozesse identifizieren und beenden, die versuchen, Sicherheitsdeskriptoren zu ändern oder Backup-Daten in großem Maßstab zu löschen. Incident-Response-Teams sollten auch feststellen, ob eine Datenexfiltration über Tor-basierte Kanäle erfolgt ist, bevor Eindämmung und Wiederherstellung fortschreiten.
Angriffsfluss
Erkennungen
Mögliche Netzwerkfreigabe-Erkennung (über cmdline)
Ansehen
Verdächtige VSSADMIN-Aktivität (über cmdline)
Ansehen
Mögliche Schattenkopie-Löschung über WMI (via PowerShell)
Ansehen
Verdächtige Änderungen an den Windows Defender Einstellungen (via PowerShell)
Ansehen
Erkennung von Everest Ransomware Pre-Verschlüsselung Verteidigungsevasionstechniken [Windows PowerShell]
Ansehen
Everest Ransomware Netzwerkentdeckung und Verteidigungsevasion [Windows Prozess-Erstellung]
Ansehen
Ausführung der Simulation
Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flug-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die entworfen wurde, um die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN die identifizierten TTPs direkt widerspiegeln und zielen darauf ab, die genau erwartete Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht bezogene Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Ein Angreifer hat initialen Zugang zu einem Windows-Arbeitsplatz erlangt. Um sich auf die Ransomware-Einsatzphase vorzubereiten, muss er das lokale Netzwerk abbilden, um hochrangige Ziele zu identifizieren und sicherzustellen, dass keine Anti-Ransomware-Tools aktiv sind. Der Angreifer versucht,
netscan.exe(SoftPerfect Network Scanner) auszuführen, um aktive Hosts zu entdecken und verwendetmountvol.exeum alle verfügbaren Volumes, einschließlich der derzeit nicht einem Laufwerksbuchstaben zugewiesenen, aufzulisten, um potenzielle Backups oder Schattenkopien zu identifizieren. -
Regressionstest-Skript:
# Simulationsskript, um die Everrest Ransomware-Erkennungsregel-Logik auszulösen. # Hinweis: Diese Befehle setzen voraus, dass die Dateien im aktuellen Verzeichnis oder im Systempfad existieren. # Für Simulationszwecke verwenden wir 'echo', um die Ausführung zu simulieren, wenn die Dateien nicht vorhanden sind, # aber um die TATSÄCHLICHE Regel auszulösen, müssen die Dateien vorhanden sein. Write-Host "[+] Everest Ransomware TTP-Simulation wird gestartet ..." -ForegroundColor Cyan # 1. Verwendung von mountvol.exe simulieren (Standard-Windows-Tool) Write-Host "[*] mountvol.exe wird ausgeführt ..." -ForegroundColor Yellow mountvol.exe # 2. NetScan simulieren (erfordert netscan.exe im Pfad/Verzeichnis) # Für die Validierung dieses Schritts erstellen wir eine Dummy-Datei, um den Namen zu imitieren, # wenn das echte Tool nicht verfügbar ist, obwohl die Regel nach der Prozessa usführung sucht. Write-Host "[*] netscan.exe-Ausführung wird simuliert ..." -ForegroundColor Yellow if (Test-Path ".netscan.exe") { Start-Process ".netscan.exe" } else { Write-Host "[!] netscan.exe nicht gefunden. Bitte platzieren Sie ein Dummy netscan.exe in diesem Ordner, um die Erkennung auszulösen." -ForegroundColor Red } # 3. Entfernung von Raccine simulieren Write-Host "[*] Raccine.exe-Ausführung wird simuliert ..." -ForegroundColor Yellow if (Test-Path ".Raccine.exe") { Start-Process ".Raccine.exe" } else { Write-Host "[!] Raccine.exe nicht gefunden. Bitte platzieren Sie ein Dummy Raccine.exe in diesem Ordner, um die Erkennung auszulösen." -ForegroundColor Red } Write-Host "[+] Simulation abgeschlossen." -ForegroundColor Cyan -
Bereinigungskommandos:
# Entfernen Sie alle während der Simulation erstellten Dummy-Dateien. Remove-Item ".netscan.exe" -ErrorAction SilentlyContinue Remove-Item ".netscanpack.exe" -ErrorAction SilentlyContinue Remove-Item ".Raccine.exe" -ErrorAction SilentlyContinue Write-Host "[+] Bereinigung abgeschlossen." -ForegroundColor Green