Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Handala ist eine Iran-verbundene Hacktivistengruppe, die destruktive Cyber-Operationen durchführt. Die Gruppe verwendet mehrstufige Angriffsvektoren, die Phishing, AutoIT-basierte Loader und Wiper-Malware kombinieren. Ihre Kampagnen zielen hauptsächlich darauf ab, Störungen zu verursachen und Daten in israelischen, US-amerikanischen und regionalen Infrastrukturzielen zu zerstören.
Ermittlung
Der Bericht beschreibt Handalas Wandel von traditioneller Hacktivistenaktivität hin zu fortgeschritteneren destruktiven Operationen. Er untersucht die Nutzung von BYOVD-Techniken der Gruppe zur Privilegieneskalation und den Einsatz von Wiper-Payloads in sowohl Windows- als auch Linux-Umgebungen. Die technische Analyse umfasst auch die Command-and-Control-Aktivität über Telegram und die in Batch-Skripts eingebetteten Verschleierungsmethoden.
Abschwächung
Organisationen sollten strenge E-Mail-Filter anwenden, um bösartige Anhänge und verdächtige ZIP-basierte Downloads zu blockieren. Die Begrenzung der Verwendung von anfälligen oder nicht autorisierten Treibern kann das Risiko eines BYOVD-Missbrauchs verringern, während die Überwachung auf nicht autorisierte AutoIT-Ausführungen helfen kann, frühe Aktivitäten zu erkennen. Endpoint-Verteidigungen sollten ebenfalls abgestimmt werden, um schnelle Dateiüberschreibungen und nicht autorisiertes Festplattenformatierungsverhalten zu identifizieren.
Reaktion
Wenn Aktivitäten im Zusammenhang mit Handala erkannt werden, sollten betroffene Hosts sofort isoliert werden, um die Ausbreitung von Wiper-Malware zu stoppen. Ermittler sollten Speicherforensik durchführen, um injizierten Shellcode zu identifizieren und Systeme auf nicht autorisierte Treiberladungen zu überprüfen. E-Mail-Protokolle sollten ebenfalls analysiert werden, um den Umfang der Phishing-Kampagne zu bestimmen, und kompromittierte Anmeldeinformationen sollten unverzüglich geändert werden.
"graph TB %% Klassendefinitionen classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef privilege_escalation fill:#fbb,stroke:#333,stroke-width:2px classDef defense_evasion fill:#bfb,stroke:#333,stroke-width:2px classDef discovery fill:#fff4dd,stroke:#333,stroke-width:2px classDef command_and_control fill:#d4f1f9,stroke:#333,stroke-width:2px classDef impact fill:#ffcccb,stroke:#333,stroke-width:2px %% Einstiegsphase action_phishing["<b>Aktion</b> – <b idea='T1566.001'>Phishing: Spearphishing-Anhang</b><br/><b>Beschreibung</b>: Täuschende E-Mails, die<br/>bösartige PDF-Anhänge oder ZIP-Archive enthalten.<br/><b>Beispiele</b>: update.zip, F5UPDATER.EXE"] class action_phishing initial_access %% Ausführungsphase action_execution["<b>Aktion</b> – <b idea='T1059'>Befehls- und Skriptausführungsinterpreter</b><br/><b>Beschreibung</b>: Nutzung von NSIS-Executables und<br/>kompilierten AutoIT-Skripten, um Shellcode zu laden."] class action_execution execution %% Privilegieneskalationsphase action_priv_esc["<b>Aktion</b> – <b idea='T1068'>Ausnutzung zur Privilegieneskalation</b><br/><b>Beschreibung</b>: Nutzung des Bring Your Own Vulnerable Driver (BYOVD)<br/>Mechanismus, um auf Kernel-Speicher zuzugreifen."] tool_vulnerable_driver["<b>Werkzeug</b> – <b idea='BYOVD'>ListOpenedFileDrv_32.sys</b><br/><b>Beschreibung</b>: Ein Treiber, der verwendet wird, um höhere<br/>Kontrolle über das System zu erlangen."] class action_priv_esc privilege_escalation class tool_vulnerable_driver privilege_escalation %% Verteidigungsvermeidungsphase action_evasion["<b>Aktion</b> – <b idea='T1027.016'>Verschleierte Dateien oder Informationen: Junk-Code-Einfügungen</b><br/><b>Beschreibung</b>: Einfügen ungültiger Kodebefehle in<br/>Batch-Skripte, um Analysten zu verwirren."] class action_evasion defense_evasion %% Entdeckungsphase action_discovery["<b>Aktion</b> – <b idea='T1082'>Systeminformationsentdeckung</b><br/><b>Beschreibung</b>: Sammlung von Hostnamen, Domäneninformationen<br/>und Nutzerdaten."] class action_discovery discovery %% Command-and-Control-Phase action_cnc["<b>Aktion</b> – <b idea='T1102.002'>Webdienst: Telegram</b><br/><b>Beschreibung</b>: Nutzung von Telegram-Kanälen mit festcodierten<br/>Bot- und Kanal-IDs zur Kommunikation."] class action_cnc command_and_control %% Auswirkungsphase action_impact["<b>Aktion</b> – <b idea='T1561.001'>Festplattenlöschung: Inhalte löschen</b><br/><b>Beschreibung</b>: Aggressives Überschreiben von Zieldateien<br/>mit zufälligen 4096-Byte-Blöcken oder Nullen."] class action_impact impact %% Verbindungen action_phishing –>|führt_zu| action_execution action_execution –>|löst_aus| action_priv_esc action_priv_esc –>|verwendet| tool_vulnerable_driver action_execution –>|setzt_ein| action_evasion action_execution –>|führt_aus| action_discovery action_discovery –>|etabliert| action_cnc action_cnc –>|ermöglicht| action_impact "
Angriffsablauf
Erkennungen
Herunterladen oder Hochladen via Powershell (über Befehlszeile)
Anzeigen
Mögliche PING-Nutzung zur Verzögerung der Ausführung (über Befehlszeile)
Anzeigen
Remote-Datei-Upload/Download via Standard-Tools (über Befehlszeile)
Anzeigen
Erkennung bösartiger Befehlsausführung von NSIS-Executable [Windows-Prozesserstellung]
Anzeigen
Erkennung der Handala-Wiper Linux-Partition-Zerstörung [Linux-Prozesserstellung]
Anzeigen
Handala-Wiper-Malware-Dateizerstörung [Windows-Datei-Ereignis]
Anzeigen
Simulationausführung
Voraussetzung: Der Telemetrie- & Basislinien-Vorab-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Gegnertechnik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählmittel müssen die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffsnarrative & Befehle: Der Angreifer hat erfolgreich einen bösartigen NSIS-Installer über einen Spearphishing-Anhang ausgeliefert. Bei der Ausführung wird die NSIS-Engine verwendet, um eine versteckte Befehlszeile auszuführen. Das Ziel ist es, ein sekundäres Skript (
Carroll.cmd) in das Arbeitsverzeichnis abzulegen und es sofort ohne Benutzerinteraktion auszuführen. Um unentdeckt zu bleiben, nutzt der AngreiferSW_HIDEum zu verhindern, dass ein Befehlszeilenfenster auf dem Desktop des Benutzers erscheint. Diese Technik nutzt legitime Installationssoftware, um beliebige Befehle auszuführen. -
Regression Test-Skript:
# Simulationsskript: Nachahmung der NSIS-Befehlszeilenausführung # Hinweis: Da wir die 'Befehlszeile' simulieren, die von der Regel erfasst wird, # werden wir eine Prozesserstellung auslösen, die den spezifisch erkannten String imitiert. $MaliciousCommand = 'ExecShell open cmd "/k copy Carroll Carroll.cmd & Carroll.cmd & exit" SW_HIDE' # Um die NSIS-Prozesserstellung genau zu simulieren, rufen wir cmd.exe mit dem String als Argument auf, # um sicherzustellen, dass er in der Befehlszeilentelemetrie erscheint. Start-Process "cmd.exe" -ArgumentList "/c echo $MaliciousCommand" Write-Host "Simulationsbefehl ausgeführt. Prüfen Sie SIEM auf: $MaliciousCommand" -
Bereinigungskommandos:
# Entfernen Sie alle während der Simulation erstellten Dateien Remove-Item -Path "$env:TEMPCarroll.cmd" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPCarroll" -ErrorAction SilentlyContinue