SOC Prime Bias: Kritisch

01 Jul 2026 09:43 UTC

SQL-Brute-Force öffnet die Tür für BlueSky-Ransomware

Author Photo
SOC Prime Team linkedin icon Folgen
SQL-Brute-Force öffnet die Tür für BlueSky-Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Ein Bedrohungsakteur nutzte SEO Poisoning, um die BumbleBee-Malware durch einen trojanisierten ManageEngine OpManager-Installer zu verbreiten. Nach dem ersten Zugriff setzte der Angreifer AdaptixC2 für Befehls- und Kontrollzwecke ein, bewegte sich seitlich über RDP- und SSH-Tunneling und exfiltrierte mehr als 75 GB an sensiblen Daten. Der Einbruch endete mit der Bereitstellung der Akira-Ransomware zur Verschlüsselung der Domäneninfrastruktur.

Untersuchung

Die forensische Analyse identifizierte die anfängliche Infektionsquelle als eine ähnlich aussehende Domain, opmanager.pro, die einen bösartigen MSI-Installer bereitstellte. Ermittler verfolgten die Ausführungskette von DLL-Sideloading von msimg32.dll zur Injektion von AdaptixC2-Shellcode in das Windows-Adressbuch-Dienstprogramm. Die Überprüfung von Netzwerk-Telemetrie und Dateisystem-Artefakten offenbarte auch eine großangelegte Datenexfiltration über FileZilla und den Einsatz von Reverse-SSH-Tunneln zur Proxy-RDP-Zugriff.

Abschwächung

Organisationen sollten strikte Webfilterung durchsetzen, um neu registrierte oder ähnlich aussehende Domains zu blockieren und verdächtiges DLL-Sideloading-Verhalten zu überwachen. Die Begrenzung administrativer Rechte und das Erkennen unautorisierter Erstellungen von Domänenkonten oder Diensten ist ebenfalls entscheidend. Darüber hinaus können starke Ausgangsfilterung und die Überwachung auf unautorisierte SSH- oder RDP-Tunneling dazu beitragen, sowohl seitliche Bewegungen als auch Datenexfiltration zu verhindern.

Reaktion

Wenn diese Aktivität erkannt wird, isolieren Sie sofort betroffene Systeme, insbesondere Domänencontroller und Backup-Server, um eine weitere Ransomware-Ausbreitung zu stoppen. Beenden Sie alle unautorisierten Fernzugriffssitzungen, einschließlich SSH-Tunneln und RustDesk-Instanzen. Führen Sie einen vollständigen Anmeldeinformationen-Reset für alle Domänenkonten durch, mit besonderem Augenmerk auf Enterprise-Administratoren, und beginnen Sie die Wiederherstellung mit Offline- und unveränderlichen Backups.

Angriffsablauf

Erkennungen

Verdächtige WMIC-Nutzung (via cmdline)

SOC Prime Team
01 Jul 2026

Verdächtiger Powershell-Schattenkopierverweis (via cmdline)

SOC Prime Team
01 Jul 2026

Mögliche Schattenkopienlöschung über WMI (via Powershell)

SOC Prime Team
01 Jul 2026

Verdächtige ausgehende Verbindung durch ungewöhnlichen Prozess (via Netzwerkverbindung)

SOC Prime Team
01 Jul 2026

DNS-Anfrage durch ungewöhnlichen Prozess (via dns_query)

SOC Prime Team
01 Jul 2026

Verdächtiges SSH-Port-Forwarding [Windows] (via cmdline)

SOC Prime Team
01 Jul 2026

Mögliche Systemaufzählung (via cmdline)

SOC Prime Team
01 Jul 2026

Verdächtige Entdeckung von Domänenverweisen (via cmdline)

SOC Prime Team
01 Jul 2026

Mögliches Anmeldeinformations-Dumping mit Comsvcs.dll (via cmdline)

SOC Prime Team
01 Jul 2026

Verdächtige PSQL-Ausführung (via cmdline)

SOC Prime Team
01 Jul 2026

Verdächtige Wbadmin-Tool-Aktivität (via cmdline)

SOC Prime Team
01 Jul 2026

Möglicher BYOVD – Bring Your Own Vulnerable Driver-Angriff (via Audit)

SOC Prime Team
01 Jul 2026

Mögliche Bits-Transfer-Aktivität (via Powershell)

SOC Prime Team
01 Jul 2026

Mögliche Ausführung durch Verwendung eines kurzen Skriptnamens (via cmdline)

SOC Prime Team
01 Jul 2026

Mögliches Powershell-Skript mit Lolbin (via Powershell)

SOC Prime Team
01 Jul 2026

Erstellung von Remotezugriffs- / Verwaltungssoftwarediensten (via System)

SOC Prime Team
01 Jul 2026

Alternative Remotezugriffs-/Verwaltungssoftware (via Prozess-Erstellung)

SOC Prime Team
01 Jul 2026

Mögliche Konto- oder Gruppenumgehung /-manipulation (via cmdline)

SOC Prime Team
01 Jul 2026

Ausführung von Systemprozessen aus untypischen Pfaden (via Prozess-Erstellung)

SOC Prime Team
01 Jul 2026

Mögliche Msiexec-Ausführung von Dateien in untypischem Verzeichnis (via cmdline)

SOC Prime Team
01 Jul 2026

Erkennung von RustDesk- und Akira-Ransomware-Aktivitäten [Windows System]

SOC Prime AI-Regeln
01 Jul 2026

Erkennung und Injektion von BumbleBee und AdaptixC2 [Windows Prozess-Erstellung]

SOC Prime AI-Regeln
01 Jul 2026

Management-Zusammenfassung

  • Testfall-ID: TC-20250522-K9L2P
  • TTPs: T1003.001, T1003.003, T1018, T1021.001, T1021.003, T1027.010, T1033, T1036, T1039, T1041, T1046, T1047, T1048.001, T1055, T1059.001, T1059.003, T1069.001, T1069.002, T1070.004, T1071.001, T1082, T1083, T1087.001, T1087.002, T1090, T1135, T1136, T1189, T1204.002, T1219, T1482, T1486, T1490, T1543.003, T1555, T1568.002, T1569.002, T1574.001
  • Zusammenfassung der Erkennungsregel-Logik: Die Regel wird ausgelöst, wenn rustdesk.exe durch services.exe gestartet wird oder wenn locker.exe mit einer Befehlszeile ausgeführt wird, die „Volume Shadow Copies“ enthält.
  • Sprache/Format der Erkennungsregel: yaml
  • Ziel-Sicherheitsumgebung: Windows OS mit aktiviertem Sysmon, targeting eines SIEM, das Sysmon Event ID 1 (Prozess-Erstellung) Telemetrie verarbeiten kann.
  • Resilienzbewertung (1-5): 2
  • Begründung: Die Regel stützt sich stark auf spezifische, fest kodierte Dateinamen (rustdesk.exe and locker.exe). Ein Angreifer kann dies leicht umgehen, indem er seine Binärdateien umbenennt. Außerdem ist die Akira-Erkennung auf einen bestimmten String in der Befehlszeile beschränkt, der verschleiert werden kann.
  • Schlüsselerkenntnisse: Die Regel erkennt effektiv den „Out-of-the-Box“-Einsatz dieser Tools, versagt jedoch bei grundlegenden Umgehungstechniken wie der Umbenennung von Binärdateien oder der Manipulation von Befehlszeilenargumenten.
  • Empfehlung: Wechseln Sie von dateinamenbasierter Erkennung zu Verhaltensindikatoren, wie z. B. die Überwachung nicht autorisierter Dienstinstallationen, unerwarteter Netzwerkverbindungen von Remote-Desktop-Tools und der Löschung von Schattenkopien via vssadmin or wmic unabhängig vom Namen des übergeordneten Prozesses.

## Simulationsumgebung & Kontext

  • TTPs im Test:
    • T1003.001: OS-Anmeldeinformations-Dumping: LSASS-Speicher
    • T1059.001: Kommando- und Skript-Interpreter: PowerShell
    • T1490: Systemwiederherstellung verhindern (Löschen von Schattenkopien)
    • T1543.003: Erstellen oder Ändern des Systemprozesses: Windows-Dienst
  • TTP-Kontext & Relevanz: Die Simulation zielt darauf ab, das Doppelbedrohungsprofil zu replizieren: Die Nutzung von RustDesk für dauerhaften Fernzugriff (installiert als Dienst) und die Ausführung von Akira-Ransomware-artigen Befehlen, um die Systemwiederherstellung durch Anpeilen der Volume-Schattenkopien zu verhindern.
  • Zielumgebung:
    • OS: Windows 10/11 oder Windows Server
    • Protokollierung: Sysmon (insbesondere Event ID 1: Prozess-Erstellung)
    • Sicherheitsstack: SIEM (z.B. Splunk, Sentinel oder ELK)

## Telemetrie- & Basislinien-Vorflugprüfung

Begründung: Bevor der Angriff simuliert wird, müssen wir bestätigen, dass der Zielhost konfiguriert ist, um die erforderlichen Protokolle zu generieren, dass diese Protokolle vom SIEM erfasst werden und dass die Erkennungsregel nicht bei harmloser Aktivität ausgelöst wird. Ohne diese Validierung ist jedes Testergebnis unzuverlässig.

  • 1. Telemetrie-Konfigurationsanleitungen:

      1. Installiere Sysmon auf dem Ziel-Windows-Computer.
      1. Wende eine Konfigurationsdatei an (z.B. SwiftOnSecuritys Konfiguration), die sicherstellt, dass Prozess-Erstellung (Ereignis-ID 1) mit vollständigen Befehlszeilenargumenten erfasst wird.
      1. Stelle sicher, dass das Sysmon-Ereignisprotokoll über Winlogbeat, Splunk Universal Forwarder oder einen ähnlichen Agenten an dein SIEM weitergeleitet wird.
  • 2. Validierung von Erfassung & Basislinie:

    • Aktion (harmloser Telemetrie): Führe einen Standard-PowerShell-Befehl aus, um Systeminformationen zu überprüfen, der Prozess-Erstellungs-Telemetrie generiert, ohne ransomware-bezogene Muster auszulösen.

      Get-ComputerInfo | Select-Object CsName, OsArchitecture
    • Validierungsabfrage (Erfassung):

      // KQL-Abfrage zur Überprüfung der Erfassung von Sysmon-Ereignis-ID 1
      Sysmon | where EventID == 1 and Image contains "powershell.exe" | take 10

## Simulationsdurchführung

Voraussetzung: Die Telemetrie- & Basislinien-Vorflugprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.

  • Angriffserzählung & Befehle: Der Gegner beginnt damit, Persistenz und Fernzugriff durch RustDesk zu etablieren. Um eine Dienstinstallation zu simulieren, wird der Angreifer das Verhalten nachahmen, bei dem ein Dienstmanager (services.exe) die Fernzugriffs-Binärdatei hervorruft. Nachfolgend führt der Gegner die Akira-Ransomware-Nutzlast aus. Das Ziel dieser Nutzlast ist es, System-Backups zu zerstören, um eine Wiederherstellung zu verhindern; dies erfolgt durch einen Aufruf einer Binärdatei namens locker.exe mit einer spezifischen Befehlszeilenanweisung, um ‚Volume Shadow Copies‘ zu löschen. Dies ahmt die hochwirksame Phase eines Erpressungsangriffs nach.

  • Regressionstestskript:

    # --- SIMULATION START ---
    # Teil 1: Simulation der RustDesk-Dienstausführung
    # Wir simulieren das Verhalten, bei dem services.exe rustdesk.exe hervorruft.
    # Da wir die Elterprozess-ID von services.exe nicht ohne Kerneltreiber vortäuschen können,
    # werden wir die Artefakterstellung simulieren und dann ein Werkzeug wie 'Process Hacker'
    # oder ein Skript verwenden, um die spezifische Telemetrie zu simulieren, wenn möglich,
    # aber für dieses Skript werden wir die Datei erstellen und einen Prozess auslösen.
    
    $rustdeskPath = "$env:TEMPrustdesk.exe"
    New-Item -Path $rustdeskPath -ItemType File -Force
    
    # Hinweis: Um die GENAU 'ParentImage|endswith: services.exe'-Regel auszulösen,
    # ist eine echte Dienstinstallation erforderlich.
    Write-Host "[+] Simuliertes RustDesk-Binärdatei bei $rustdeskPath erstellen"
    
    # Teil 2: Simulation der Akira-Ransomware-Aktivität
    $lockerPath = "$env:TEMPlocker.exe"
    New-Item -Path $lockerPath -ItemType File -Force
    Write-Host "[+] Simulierte Akira 'locker.exe' bei $lockerPath erstellen"
    
    # Die Akira-Erkennung über CommandLine-Ausdrag enthält 'Volume Shadow Copies'
    auslösen
    # Wir verwenden Start-Process, um sicherzustellen, dass die Befehlszeile von Sysmon erfasst wird
    Start-Process -FilePath $lockerPath -ArgumentList "/delete Volume Shadow Copies" -NoNewWindow
    
    Write-Host "[!] Simulationsbefehle ausgeführt. Prüfen Sie SIEM auf 'locker.exe'-Alarme."
    # --- SIMULATION END ---
  • Bereinigungskommandos:

    # --- CLEANUP START ---
    Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPlocker.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Bereinigung abgeschlossen."
    # --- CLEANUP END ---