Prinz Eugen Ransomware: Ein tiefgehender Einblick in einen neuen Go-basierten Verschlüsseler
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Prinz Eugen ist eine neu identifizierte Ransomware-Familie auf Go-Basis, die rekursive Verschlüsselung verwendet und kürzlich geänderte Dateien priorisiert, um den Druck auf die Opfer zu erhöhen. Sie verlässt sich auf ChaCha20-Poly1305 zur Dateiverschlüsselung und beinhaltet antiforensische Funktionen wie das Löschen von Verschlüsselungsschlüsseln aus dem Speicher und das Selbstlöschen nach der Ausführung. Die Operation folgt einem Out-of-Band-Erpressungsmodell und hinterlässt keine Lösegeldforderung auf dem lokalen System.
Untersuchung
Die Untersuchung legt nahe, dass der Einbruch wahrscheinlich mit kompromittierten RDP-Anmeldeinformationen begann, gefolgt von der Übergabe des servertool.exe Payloads über Chrome. Forscher beobachteten auch die Verwendung des RemotePC RMM-Tools für laterale Bewegungen und auf PowerShell basierende Staging. Die Zuschreibung erfolgte auf den Akteur ROOTBOY basierend auf geteilten Erpressungsidentitäten und zuvor beobachteten Einbruchsaktivitäten.
Abmilderung
Organisationen sollten den RDP-Zugang mit Multi-Faktor-Authentifizierung sichern und die unautorisierte Nutzung von Remote-Management-Tools überwachen. Ein starker Endpunktschutz, der in der Lage ist, unbekannte Go-basierte Exe-Dateien zu blockieren und verdächtiges PowerShell-Verhalten zu erkennen, ist ebenfalls unerlässlich. Regelmäßige Offline-Backups und Schutz häufig modifizierter Daten können helfen, die Auswirkungen dieses Hochdruckverschlüsselungsansatzes zu mindern.
Antwort
Wenn Aktivitäten von Prinz Eugen festgestellt werden, isolieren Sie betroffene Systeme sofort, um weitere Bewegungen durch RMM-Tools oder RDP-Sitzungen zu stoppen. Führen Sie Speicherforensik durch, bevor Sie den Host neu starten oder dem Malware erlauben, sich selbst zu entfernen, da dies die beste Chance bieten kann, das Verschlüsselungsmaterial wiederherzustellen. Die Vorfallreaktion sollte sich auch darauf konzentrieren, mögliche Datenexfiltration und jegliche vom Angreifer genutzten Out-of-Band-Kommunikationskanäle zu verfolgen.
"graph TB %% Class Definitions Section classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef persistence fill:#f66,stroke:#333,stroke-width:2px classDef lateral_movement fill:#6cf,stroke:#333,stroke-width:2px classDef collection fill:#9f9,stroke:#333,stroke-width:2px classDef impact fill:#f33,stroke:#333,stroke-width:2px classDef evasion fill:#ccc,stroke:#333,stroke-width:2px classDef tool fill:#eee,stroke:#333,stroke-width:2px %% Initial Access and Execution access_rdp["<b>Action</b> – <b id='T1133'>External Remote Services</b><br/><b>Description</b>: Access via compromised RDP credentials."] class access_rdp initial_access exec_chrome["<b id='T1204.002'>User Execution: Malicious File</b><br/><b>Action</b>: Downloaded via Chrome browser<br/><b>File</b>: servertool.exe<br/><b>Path</b>: User Music folder"] class exec_chrome initial_access %% Persistence and Privilege Escalation persist_user["<b id='T1136.001'>Create Account: Local Account</b><br/><b>Action</b>: Created new local administrator<br/><b>Command</b>: net user admin germania /add"] class persist_user persistence priv_esc_rmm["<b id='T1543'>Persistence: Create or Modify System Process</b><br/><b>Tool</b>: RemotePC RMM<br/><b>Action</b>: Launching PowerShell stagers to deploy payloads"] class priv_esc_rmm persistence %% Lateral Movement lat_move_rmm["<b id='T1021'>Remote Services</b><br/><b>Action</b>: Hands-on-keyboard activity<br/><b>Tool</b>: RemotePC RMM<br/><b>Description</b>: Facilitating lateral movement within the environment"] class lat_move_rmm lateral_movement %% Collection and Exfiltration coll_data["<b id='T1213'>Data from Information Repositories</b><br/><b>Action</b>: Large scale data collection<br/><b>Details</b>: Approximately 1.2 TB collected from Standard Bank"] class coll_data collection exfil_leak["<b id='T1041'>Exfiltration Over C2 Channel</b><br/><b>Action</b>: Double extortion via dedicated leak portal<br/><b>Description</b>: Moving stolen data to external portal"] class exfil_leak collection %% Impact impact_enc["<b id='T1486'>Data Encrypted for Impact</b><br/><b>Malware</b>: servertool.exe<br/><b>Type</b>: Go-based encryptor<br/><b>Method</b>: Recursive ChaCha20-Poly1305 encryption<br/><b>Extension</b>: .prinzeugen"] class impact_enc impact %% Defense Evasion evasion_mem["<b id='T1027'>Obfuscated Files or Information</b><br/><b>Action</b>: Anti-forensic memory wiping<br/><b>Description</b>: Zeroes out hardcoded encryption key and runs garbage collector"] class evasion_mem evasion evasion_del["<b id='T1070.004'>Indicator Removal: File Deletion</b><br/><b>Action</b>: Self-deletion via cmd.exe<br/><b>Technique</b>: Uses a ping-delay trick to ensure file removal from disk"] class evasion_del evasion %% Connections access_rdp –>|leads_to| exec_chrome exec_chrome –>|triggers| persist_user persist_user –>|enables| priv_esc_rmm priv_esc_rmm –>|facilitates| lat_move_rmm lat_move_rmm –>|leads_to| coll_data coll_data –>|leads_to| exfil_leak coll_data –>|leads_to| impact_enc impact_enc –>|triggers| evasion_mem impact_enc –>|triggers| evasion_del "
Angriffsverlauf
Erkennungen
Die Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (über cmdline)
Ansehen
Download oder Upload über PowerShell (über cmdline)
Ansehen
Mögliches Konto für Persistenz [Windows] (über cmdline)
Ansehen
Mögliche PING-Nutzung zur Verzögerung der Ausführung (über cmdline)
Ansehen
Aufruf verdächtiger .NET-Methoden aus PowerShell (über PowerShell)
Ansehen
Verdächtiger Datei-Download direkte IP (über Proxy)
Ansehen
Potentieller PowerShell-Stager über RemotePC entdeckt [Windows PowerShell]
Ansehen
Erkennung des Verschlüsselungs- und Selbstlöschverhaltens der Prinz Eugen Ransomware [Windows Prozess-Erstellung]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Anforderungsabgleich-Prüfungsflug muss bestanden sein.
Begründung: In diesem Abschnitt wird die genaue Ausführung der Angreifertechnik (TTP) beschrieben, die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.
-
Angriffs-Narrativ & Befehle: Der Gegner hat die Prinz Eugen Ransomware eingesetzt. Um den maximalen Effekt zu erzielen und die forensische Spur zu minimieren, ist die Malware so konfiguriert, dass die Originaldateien einmal verschlüsselt mit dem
--deleteFlag gelöscht werden. Um zu verhindern, dass die Datei während ihrer eigenen Löschung „in Verwendung“ ist, ruft die Malware eine Befehlszeile auf, um eine kurze Verzögerung durchpingzu erstellen, bevor derdelBefehl auf seinem eigenen Binary ausgeführt wird. Diese spezifische Sequenz vonservertool --deletein Kombination mitcmd.exe /C ping -n 2 > nul & del /F /Qist der primäre Indikator, den wir simulieren. -
Regressionstest-Skript:
# Simulation des Kommandobefehlsverhaltens von Prinz Eugen Ransomware # Dieses Skript simuliert die genaue Befehlszeilenzeichenfolge, die von der Erkennungsregel erwartet wird. # 1. Erstellen eines Dummy-'servertool.exe', um die Malware darzustellen $dummyExe = "$env:TEMPservertool.exe" New-Item -Path $dummyExe -ItemType File -Force # 2. Simulation der Ausführung der Ransomware mit den spezifischen Befehlszeilenargumenten # Hinweis: In einer realen Umgebung wäre dies die tatsächliche Prozessausführung. # Wir verwenden Start-Process, um die Erstellung eines neuen Prozesses mit der Zielbefehlszeile zu simulieren. $ransomwareCommand = "servertool --delete" $selfDeleteCommand = "cmd.exe /C ping -n 2 > nul & del /F /Q `"$dummyExe`"" Write-Host "Simulierung der Ransomware-Prozesserstellung..." # Auslösen der Erkennung durch Simulation des Prozess-Erstellungs-Ereignisses # Wir rufen cmd auf, um das genaue Zeichenfolgenmuster nachzubilden, das erforderlich ist Start-Process "cmd.exe" -ArgumentList "/C `"$ransomwareCommand & $selfDeleteCommand`"" -
Bereinigungsbefehle:
# Bereinigung der Simulationsartefakte Remove-Item -Path "$env:TEMPservertool.exe" -ErrorAction SilentlyContinue