SOC Prime Bias: Hoch

27 März 2026 17:11
newspaper icon Derp

InterLock: Vollständige Werkzeuganalyse einer Ransomware-Operation

Author Photo
Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime linkedin icon Folgen
InterLock: Vollständige Werkzeuganalyse einer Ransomware-Operation
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

InterLock ist eine doppelte Erpressungs-Ransomware-Operation, die seit Oktober 2024 aktiv ist und Daten stiehlt, eine auf Tor basierende Leak-Site betreibt sowie Dateien in FreeBSD/ESXi- und Windows-Umgebungen verschlüsselt. Die Angriffs-Kette verwendet ScreenConnect MSI-Installationsprogramme für den ersten Zugriff, eine mehrsprachige NodeSnake-Backdoor für die Persistenz, einen NTLM-Zugangsdaten-Dieb und ein benutzerdefiniertes Crypter-Framework, das die Ransomware-Payloads verpackt. Für den Befehl- und Steuerverkehr wird auf eine WebSocket-Kommunikation zurückgegriffen, die mit RC4 geschützt ist, unterstützt durch statische Fallback-IP-Adressen und zusätzliche Cloudflare Tunnel-Endpunkte. Die Ransomware fügt die Erweiterung .interlock hinzu, hinterlässt eine Lösegeldforderung, die eine .onion-Verhandlungs-URL enthält, und verwendet schwache PRNG-abgeleitete Schlüssel, die zu einer Wiederherstellung führen könnten.

Untersuchung

Der Bericht analysiert 15 Proben, darunter vier ScreenConnect MSI-Installationsprogramme, drei NodeSnake-Injekte (JavaScript, Java und native C++), eine NTLM-Dieb-DLL und vier Ransomware-Ausführungsdateien. Alle Artefakte teilen sich drei fest codierte C2-IP-Adressen und die gleiche Crypter-Entschleifungsschleife, gekennzeichnet durch das Byte-Muster 488b041f483345f04889041e. In seiner nativen Form fügt NodeSnake TCP-Tunneling, Thread-Entführung und Anti-Debugging hinzu. Die Windows-Ransomware-Variante erstellt eine tägliche geplante Aufgabe und lehrt Windows-Ereignisprotokolle über wevtapi.dll. Die Infrastruktur umfasst auch zwei Let’s Encrypt-geschützte Domains und mehrere kostenlose Cloudflare Tunnel-Subdomains.

Minderung

Verteidiger sollten die bekannten C2-IP-Adressen und die Cloudflare Tunnel-Domains am Netzwerk-Perimeter blockieren. Wenn ConnectWise ScreenConnect nicht benötigt wird, sollte es entfernt oder deaktiviert werden. Sicherheitskontrollen sollten das Byte-Muster des Crypters und das RC4-verschlüsselte WebSocket-Handshake-Präfix erkennen 92 01 88 fe. Überwachungen sollten auch die geplante Aufgabe mit dem Namen TaskSystem und jede Erstellung von Dateien mit der .interlock-Erweiterung umfassen. Zugriffssteuerungen mit minimalen Rechten können das Risiko der NTLM-Zugangsdaten-Erfassung und den Missbrauch von rundll32 weiter reduzieren.

Reaktion

Wenn InterLock entdeckt wird, isolieren Sie den betroffenen Host, bewahren Sie das vollständige Binärsystem zur forensischen Analyse auf und extrahieren Sie den eingebetteten RSA-4096-Öffentlichkeits-Schlüssel sowie die verschlüsselten per-Datei-Schlüssel. Wo möglich, versuchen Sie die Schlüsselwiederherstellung mit dem schwachen rand() plus clock() PRNG, wenn zuverlässige Zeitstempel verfügbar sind. Entfernen Sie die TaskSystem-Persistenzaufgabe, löschen Sie die .interlock-Artefakte und stellen Sie die betroffenen Daten aus Backups wieder her. Betroffene Benutzer sollten benachrichtigt werden, und der Doppelerpressungs-Vorfall sollte den Strafverfolgungsbehörden gemeldet werden.

"Graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc classDef operator fill:#ff9900 %% Erstzugriff initial_access["<b>Aktion</b> – <b>T1204.004 Benutzer Ausführung</b>: Bösartiger MSI-Installer ausgeliefert"] class initial_access action msiexec_tool["<b>Werkzeug</b> – <b>Name</b>: Msiexec<br/><b>Technik</b>: T1218.007 System Binary Proxy Execution"] class msiexec_tool tool screenconnect_client["<b>Malware</b> – <b>Name</b>: ScreenConnect Client<br/><b>Zweck</b>: Fernzugriffskomponente"] class screenconnect_client malware nodesnake_backdoor["<b>Malware</b> – <b>Name</b>: NodeSnake Backdoor<br/><b>Fähigkeiten</b>: Interaktive Windows-Shell und einmalige Befehle"] class nodesnake_backdoor malware %% Persistenz persistence_task["<b>Aktion</b> – <b>T1546 Ereignisgesteuerte Ausführung</b>: Geplante Aufgabe erstellt"] class persistence_task action scheduled_task["<b>Prozess</b> – <b>Name</b>: TaskSystem<br/><b>Zeitplan</b>: Täglich um 20:00"] class scheduled_task process self_delete["<b>Aktion</b> – <b>T1070.009 Indikatoren-Entfernung</b>: Selbstlöschung nach Ausführung"] class self_delete action %% Credential Zugriff credential_access["<b>Aktion</b> – <b>T1556.008 Authentifizierungsprozess ändern</b>: NTLM-Hash-Erfassung"] class credential_access action ntlmthief_dll["<b>Werkzeug</b> – <b>Name</b>: NtlmThief DLL<br/><b>Funktion</b>: NTLM-Hashes erfassen und NTLMv1 erzwingen"] class ntlmthief_dll tool %% Abwehr Umgehung fefense_evasion["<b>Aktion</b> – <b>T1027 Verschleierung von Dateien oder Informationen</b>: Payloads, die mit benutzerdefinierter Crypter verpackt sind"] class defense_evasion action custom_crypter["<b>Werkzeug</b> – <b>Name</b>: Benutzerdefinierter Crypter<br/><b>Techniken</b>: XOR, Junk-Code, Kompilierung nach Lieferung, Komprimierung, reduzierte Binärdateien"] class custom_crypter tool %% Befehl und Kontrolle c2_communication["<b>Aktion</b> – <b>T1071.001 Anwendungsschicht-Protokoll</b>: WebSocket-Kanal (RC4-verschlüsselt)"] class c2_communication action websocket_impl["<b>Werkzeug</b> – <b>Name</b>: WebSocket-Client<br/><b>Merkmale</b>: Dynamische URLs über Cloudflare-Tunnel"] class websocket_impl tool %% Proxy-Dienste proxy_service["<b>Aktion</b> – <b>T1090 Proxy</b>: Interne und mehrstufige Proxying"] class proxy_service action cloudflare_tunnel["<b>Werkzeug</b> – <b>Name</b>: Cloudflare Tunnel<br/><b>Zweck</b>: Dynamische Auflösung von C2-URLs"] class cloudflare_tunnel tool protocol_tunneling["<b>Aktion</b> – <b>T1572 Protokoll-Tunneling</b>: TCP-Tunnel-Relais"] class protocol_tunneling action %% Privilegieneskalation / Abwehr Umgehung priv_esc["<b>Aktion</b> – <b>T1055.003 Prozessinjektion</b>: Thread-Ausführungs-Entführung"] class priv_esc action tls_injection["<b>Aktion</b> – <b>T1055.005 Prozessinjektion</b>: Thread-Lokale Storage-Injektion"] class tls_injection action process_injection_tool["<b>Werkzeug</b> – <b>Name</b>: Prozessinjektionsroutine"] class process_injection_tool tool %% Entdeckung discovery["<b>Aktion</b> – <b>T1016 Systemnetzwerk-Konfigurationsentdeckung</b>: System- und Netzwerkinfo sammeln"] class discovery action %% Sammlung collection["<b>Aktion</b> – <b>T1560.001 Archivierung über Utility</b> und <b>T1560.003 Archivierung über benutzerdefinierte Methode</b>: Exfiltrierte Daten verpacken"] class collection action %% Exfiltration exfiltration["<b>Aktion</b> – <b>T1020 Automatisierte Exfiltration</b> und <b>T1048.002 Exfiltration über asymmetrisch verschlüsseltes nicht-C2-Protokoll</b>"] class exfiltration action %% Auswirkungen impact["<b>Aktion</b> – <b>T1486 Daten verschlüsselt für Auswirkungen</b>: InterLock-Ransomware verschlüsselt Dateien"] class impact action ransomware["<b>Malware</b> – <b>Name</b>: InterLock-Ransomware<br/><b>Verschlüsselung</b>: AESu2011256u2011CBC und RSAu20114096 OAEP<br/><b>Erweiterung</b>: .interlock"] class ransomware malware ransom_note["<b>Aktion</b> – <b>T1490 Systemwiederherstellung hemmen</b>: Ereignisprotokolle löschen und Lösegeldforderung hinterlegen"] class ransom_note action artifact_cleanup["<b>Aktion</b> – <b>T1070 Indikatoren-Entfernung</b>: Artefakte und Dateien löschen"] class artifact_cleanup action %% Verbindungen initial_access –>|verwendet| msiexec_tool msiexec_tool –>|installiert| screenconnect_client screenconnect_client –>|legt ab| nodesnake_backdoor nodesnake_backdoor –>|erstellt| persistence_task persistence_task –>|erstellt| scheduled_task scheduled_task –>|führt aus| self_delete nodesnake_backdoor –>|ermöglicht| credential_access credential_access –>|verwendet| ntlmthief_dll nodesnake_backdoor –>|verweigert| defense_evasion defense_evasion –>|wendet an| custom_crypter nodesnake_backdoor –>|kommuniziert über| c2_communication c2_communication –>|verwendet| websocket_impl websocket_impl –>|routen über| cloudflare_tunnel cloudflare_tunnel –>|unterstützt| proxy_service proxy_service –>|umfasst| protocol_tunneling nodesnake_backdoor –>|durchführt| priv_esc priv_esc –>|verwendet| process_injection_tool process_injection_tool –>|führt auch durch| tls_injection nodesnake_backdoor –>|durchführt| discovery nodesnake_backdoor –>|verpackt Daten mit| collection collection –>|exfiltriert über| exfiltration exfiltration –>|liefert Nutzlast an| impact impact –>|verwendet| ransomware ransomware –>|hinterlässt| ransom_note ransom_note –>|löst aus| artifact_cleanup %% Klassen-Zuordnungen class msiexec_tool tool class screenconnect_client malware class nodesnake_backdoor malware class ntlmthief_dll tool class custom_crypter tool class websocket_impl tool class cloudflare_tunnel tool class process_injection_tool tool class ransomware malware "

Angriffsfluss

Erkennungen

Verdächtige Trycloudflare-Domänenkommunikation (via DNS)

SOC Prime Team
27. März 2026

Anzeigen

Verdächtige Ausführung vom öffentlichen Benutzerprofil (via Prozess-Erstellung)

SOC Prime Team
27. März 2026

Anzeigen

Mögliche Schtasks- oder AT-Nutzung für Persistenz (via cmdline)

SOC Prime Team
27. März 2026

Anzeigen

Mögliche PING-Nutzung zur verzögerten Ausführung (via cmdline)

SOC Prime Team
27. März 2026

Anzeigen

Verdächtiges Kommando und Kontrolle durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (via DNS)

SOC Prime Team
27. März 2026

Anzeigen

Mögliche Systemabfrage (via cmdline)

SOC Prime Team
27. März 2026

Anzeigen

Mögliche Konto- oder Gruppenabfrage / -manipulation (via cmdline)

SOC Prime Team
27. März 2026

Anzeigen

IOCs (E-Mails) zur Erkennung: InterLock: vollständige Werkzeug-Teardown einer Ransomware-Operation

SOC Prime AI-Regeln
27. März 2026

Anzeigen

IOCs (SourceIP) zur Erkennung: InterLock: vollständige Werkzeug-Teardown einer Ransomware-Operation

SOC Prime AI-Regeln
27. März 2026

Anzeigen

IOCs (HashSha256) zur Erkennung: InterLock: vollständige Werkzeug-Teardown einer Ransomware-Operation

SOC Prime AI-Regeln
27. März 2026

Anzeigen

IOCs (DestinationIP) zur Erkennung: InterLock: vollständige Werkzeug-Teardown einer Ransomware-Operation

SOC Prime AI-Regeln
27. März 2026

Anzeigen

IOCs (HashMd5) zur Erkennung: InterLock: vollständige Werkzeug-Teardown einer Ransomware-Operation

SOC Prime AI-Regeln
27. März 2026

Anzeigen

NodeSnake WebSocket-Handshake und URL-Muster-Erkennung [Windows-Netzwerkverbindung]

SOC Prime AI-Regeln
27. März 2026

Anzeigen

InterLock ELF-Variante mittels Sysconf für CPU-Zählung erkennen [Linux Prozess-Erstellung]

SOC Prime AI-Regeln
27. März 2026

Anzeigen

NodeSnake JS-Implantat und InterLock-DLL-Ausführungsmethoden erkennen [Windows-Prozess-Erstellung]

SOC Prime AI-Regeln
27. März 2026

Anzeigen

Erkennung von InterLock-Ransomware und NodeSnake-Befehls-Ausgabe-Staging [Windows-Datei-Ereignis]

SOC Prime AI-Regeln
27. März 2026

Anzeigen

Simulation-Ausführung

Voraussetzung: Der Telemetrie- & Baseline-Vorab-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffs-Narrativ & Befehle:
    Der Gegner hat eine niedrig privilegierte Workstation kompromittiert und führt ein NodeSnake JavaScript-Implantat aus, das zwei Aktionen ausführt:

    1. Ermittlung der Privilegienstufe – es wird cmd.exe /c net1 session ausgeführt, um aktive Netzwerksitzungen aufzulisten, eine bekannte Methode, um herauszufinden, ob der Prozess als SYSTEM- oder regulärer Benutzer läuft.
    2. DLL-basierte Nutzlastausführung – es platziert eine bösartige DLL (evilpayload.dll) in %TEMP% und startet sie über rundll32.exe %TEMP%evilpayload.dll,run %TEMP%evilpayload.dll. Dies imitiert die InterLock-Technik, rundll32 als Loader für eine zweite Nutzlaststufe zu verwenden.

    Beide Befehle werden direkt ausgeführt, um die spezifischen Befehlszeilen zu erzeugen, die der Sigma-Regel entsprechen.

  • Regressionstest-Skript:

    # -------------------------------------------------
# NodeSnake/InterLock-Simulation – löst Sigma-Regel aus
# -------------------------------------------------

# 1. Erstellen Sie eine Dummy-bösartige DLL (Binärdatei nicht erforderlich für Erkennung)
$dllPath = "$env:TEMPevilpayload.dll"
Set-Content -Path $dllPath -Value "MZ" -Encoding ASCII   # Minimaler PE-Header-Platzhalter

# 2. Führen Sie den Privilegienstufen-Ermittlungsbefehl aus (exakte Übereinstimmung)
Write-Host "[*] Führt Privilegienstufen-Ermittlung aus (cmd.exe /c net1 session)"
cmd.exe /c net1 session

# 3. Führen Sie den rundll32 Nutzlast-Loader aus (exakte Übereinstimmung)
Write-Host "[*] Startet bösartige DLL über rundll32.exe"
rundll32.exe "$dllPath,run $dllPath"

# 4. Pause für SIEM-Ingestion
Start-Sleep -Seconds 10

  • Befehle zur Bereinigung:

    # -------------------------------------------------
# Bereinigung der Simulation
# -------------------------------------------------
$dllPath = "$env:TEMPevilpayload.dll"

if (Test-Path $dllPath) {
    Remove-Item -Path $dllPath -Force
    Write-Host "[+] Entfernt $dllPath"
} else {
    Write-Host "[-] Keine DLL gefunden zum Entfernen."
}

# Optional: Löschen Sie die PowerShell-Historie, um die forensischen Spuren zu reduzieren
Clear-History

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten