Irans Cyber-Paradoxon: Abgespeckte APTs, zunehmende Proxies und Bootkit-Wiper
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Die mit Iran verbundenen Cyberaktivitäten entfernen sich zunehmend von etablierten APT-Teams hin zu Proxy-Operatoren, die Wiper im Bootkit-Stil verwenden, eine wachsende Anzahl von CVEs ausnutzen und sogar Cyber-Operationen mit physischen Störungen der Cloud-Infrastruktur kombinieren. Neu verfolgte Cluster wie Rusty Boots und MoKhargosh haben Bootkit-Persistenz demonstriert, während HYDRO KITTEN sich auf Rockwell-PLCs und internetfähige Netzwerkgeräte durch authentifizierungsbasierte Einbruchsmethoden konzentriert hat. Physische Angriffe auf Cloud-Datenzentren im Golfgebiet erweitern das Risiko weiter zu einem hybriden Cyber-physikalischen Bereich. Der Bericht unterstreicht die Bedeutung der Validierung der Firmware-Integrität und verhaltensbasierter Erkennung in OT-Umgebungen.
Untersuchung
Der Bericht hebt drei wichtige Entwicklungen hervor. Erstens haben Rusty Boots und MoKhargosh die Fähigkeit gezeigt, Wiper mit Bootkit-artiger Persistenz bereitzustellen. Zweitens hat HYDRO KITTEN mehrere CVEs ausgenutzt, die Rockwell-Systeme, FortiGate, SonicWall, Ivanti, PAN-OS und OpenSSH betreffen. Drittens hat UNC6446 benutzerdefinierte C#- und Golang-Malware verwendet, einschließlich DUSTYPROXY und ERIESNAKE.GO, die über unverschlüsseltes HTTP kommuniziert, das durch Port 443 getunnelt wird. Der Bericht verweist auch auf physische Angriffe, die auf Cloud-Infrastrukturen in Bahrain und Dubai abzielen.
Abschwächung
Organisationen sollten alle referenzierten CVEs über Firewalls, OT-Anlagen und SSH-Dienste hinweg patchen, während sie Secure Boot und regelmäßige Firmware-Integritätsprüfungen durchsetzen. Defensive Teams sollten auf rohe Plattenschreibaktivitäten und Änderungen an MBR oder VBR achten, unverschlüsselten HTTP-Verkehr über Port 443 blockieren, Registrierungsschlüssel für unbekannte ausführbare Dateien überprüfen und ein verhaltensbasiertes OT-Monitoring implementieren, um Veränderungen der PLC-Sollwerte außerhalb der genehmigten Wartungszeiträume zu erkennen.
Antwort
Verteidiger sollten sofort alle offenbarten IP-Adressen, Domains und Dateihashes über DNS, Proxy und Endpunktschutzmaßnahmen blockieren. Erkennungskontent sollte für unverschlüsseltes HTTP über TCP/443, Integritätsfehler beim Secure Boot, neue Registrierungsschlüsseleinträge und verdächtiges PLC-Authentifizierungsverhalten bereitgestellt werden. Die Bedrohungsjagd sollte sich auf die aufgelisteten Malware-Signaturen konzentrieren sowie auf Anzeichen für vorpositionierten Zugang, einschließlich langer Inaktivitätsperioden gefolgt von abrupten OT-bezogenen Operationen.
Angriffsfluss
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Anzeigen
Mögliche Systemaufzählung (über cmdline)
Anzeigen
Verdächtiger Prozess, der einen Systemprozess nachahmt, wurde ausgeführt (über cmdline)
Anzeigen
Mögliche Entdeckung von Systeminformationen unter Verwendung des Wmi-PowerShell-Moduls (über PowerShell)
Anzeigen
IOCs (HashMd5) zur Erkennung: IRANS CYBERPARADOX: ABGEBAUTE APTS, BEFÄHIGTE PROXYS UND DER AUFSTIEG VON BOOTKIT WIPER
Anzeigen
IOCs (SourceIP) zur Erkennung: IRANS CYBERPARADOX: ABGEBAUTE APTS, BEFÄHIGTE PROXYS UND DER AUFSTIEG VON BOOTKIT WIPER
Anzeigen
IOCs (DestinationIP) zur Erkennung: IRANS CYBERPARADOX: ABGEBAUTE APTS, BEFÄHIGTE PROXYS UND DER AUFSTIEG VON BOOTKIT WIPER
Anzeigen
HYDRO KITTEN Ausnutzung von Rockwell RSLogix 5000 [Firewall]
Anzeigen
Erkennen von anomalem HTTP-Verkehr und Proxy-Relay-Verhalten, die auf ERIESNAKE.GO und DUSTYPROXY-Aktivität hinweisen [Proxy]
Anzeigen
Erkennung von ERIESNAKE.GO PowerShell-Ausführung durch spezifische Prozesse [Windows Powershell]
Anzeigen
DUSTYPROXY-Persistenz über Registrierungslaufschlüssel [Windows Registry Event]
Anzeigen
Simulation Ausführung
Voraussetzung: Der Telemetrie- und Basislinien-Pre-Flight-Check muss bestanden sein.
Begründung: In diesem Abschnitt werden die genauen Ausführungsdetails der Angreifertechnik (TTP) aufgeführt, die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genau erwartete Telemetrie gemäß der Erkennungslogik zu erzeugen. Abstrakte oder unzusammenhängende Beispiele führen zu Fehlinterpretationen.
-
Angriffs-Narrativ & Befehle:
- Anmeldeinformationen ernten (T1078) – Der Angreifer, der ein niedrig privilegiertes Servicekonto kompromittiert hat, erhält die „Rockwell“-Dienstanmeldedaten aus einem unsicheren Anmldedatenspeicher.
- Remote-Interaktive Anmeldung (T1078, LogonType 10) – Mit diesen Anmeldedaten verbindet sich der Angreifer über RDP mit der Ziel-PLC-Verwaltungsstation und erzeugt ein erfolgreiches Anmeldeereignis (EventID 4624, LogonType 10), das mit der Regel übereinstimmt
Auswahl1. - Ausnutzungsversuch (T1190 / T1542.003) – Während der Anmeldung führt der Angreifer eine kreierte HTTP-Anfrage gegen den RSLogix 5000-Webdienst aus, was die Authentifizierungsumgehung (CVE‑2021‑22681) auslöst. Der Dienst protokolliert ein fehlgeschlagenes Authentifizierungsereignis (EventID 4625) mit einer Fehlermeldung, die „CVE‑2021‑22681“ enthält, was
Auswahl2. - Post‑Exploitation (T1059.001, T1071.001, T1090.002) – Eine PowerShell-Reverse‑Shell wird durch einen externen Proxy eingerichtet, um die bösartige Nutzlast herunterzuladen, aber diese Schritte sind nicht erforderlich, damit die Regel ausgelöst wird.
-
Regressionstestscript: Das unten stehende Skript automatisiert die Schritte 2 und 3, um die genaue Telemetrie zu erzeugen.
# ============================== # Hydro Kitten Ausnutzungstest # ============================== # 1. Schritt - Variablen - ersetzen Sie sie durch Ihre Umgebungswerte $targetHost = "10.0.0.50" # IP des RSLogix-Servers $rockwellUser = "Rockwell" $rockwellPwd = "P@ssw0rd!" # Bekanntes (oder erfasstes) Passwort $proxyUrl = "http://proxy.example.com:8080" # 2. Schritt - Eine remote interaktive Sitzung (RDP) unter Verwendung der Rockwell-Anmeldedaten herstellen $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd) Write-Host "[*] RDP-Sitzung zu $targetHost mit $rockwellUser wird gestartet..." # Start-Process erstellt eine neue Anmeldesitzung - dies erzeugt EventID 4624 mit LogonType 10 Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred Start-Sleep -Seconds 10 # Zeit geben, damit die Anmeldung aufgezeichnet wird # 3. Schritt - Versuchen, die CVE‑2021‑22681 Authentifizierungsumgehung auszulösen $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1" Write-Host "[*] Senden einer fehlerhaften Anfrage zur Auslösung der CVE-Erkennung..." Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue Write-Host "[+] Exploit-Anfrage gesendet. Überprüfen Sie das SIEM auf EventID 4625, die 'CVE-2021-22681' enthält." -
Bereinigungskommandos: Beenden Sie die RDP-Sitzung und entfernen Sie alle temporären Artefakte.
# Beenden Sie den RDP-Client-Prozess Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force # (Optional) Löschen Sie die PowerShell-Historie, um den forensischen Fußabdruck zu reduzieren Clear-History