SOC Prime Bias: Hoch

15 Jun 2026 15:57 UTC

Tengu Ransomware: Vom Erstzugang bis zur Verschlüsselung

Author Photo
SOC Prime Team linkedin icon Folgen
Tengu Ransomware: Vom Erstzugang bis zur Verschlüsselung
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Tengu ist eine Ransomware-as-a-Service-Operation, die einem Doppel-Erpressungsmodell folgt. Vor der Verschlüsselung verwenden die Angreifer Living Off the Land Binaries, um Nutzlasten auszuführen und sensible Daten an den MEGA-Cloudspeicher zu exfiltrieren. Die Kommunikation mit den Opfern und die Zahlungsgespräche werden über ein Portal auf Tor-Basis abgewickelt.

Untersuchung

Der Bericht beschreibt die vollständige Tengu-Einbruchskette, beginnend mit dem anfänglichen Zugang durch Phishing oder gestohlene Anmeldeinformationen und endend mit der Datenverschlüsselung. Er hebt die Verwendung legitimer administrativer Werkzeuge wie PowerShell und Rclone hervor, die den Angreifern helfen, sich in normale Aktivitäten einzufügen und somit die Chance auf Entdeckung zu verringern.

Minderung

Sicherheits-Teams sollten eine starke Multi-Faktor-Authentifizierung durchsetzen, um das Risiko des Missbrauchs von Anmeldeinformationen auf RDP- und VPN-Diensten zu verringern. Organisationen sollten auch verdächtige LOLBin-Aktivitäten überwachen, die unautorisierte Nutzung von Cloud-Speicherplattformen einschränken und regelmäßige Offline-Backups pflegen, die eine Wiederherstellung unterstützen können.

Antwort

Wenn Tengu-Aktivität festgestellt wird, sollten betroffene Systeme sofort isoliert werden, um seitliche Bewegungen und zusätzliche Datenexfiltration zu stoppen. Überprüfen Sie die Windows-Ereignisprotokolle und Dienstkonfigurationen auf unautorisierte Änderungen und aktivieren Sie Reaktionsprozeduren auf Vorfälle, um das Ausmaß der Datenexposition und der Verschlüsselungsaktivität zu ermitteln.

Angriffsfluss

Simulation der Ausführung

Voraussetzung: Die Telemetrie- & Baseline-Vorabprüfung muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.

  • Angriffs-Narrativ & Befehle: Der Angreifer beabsichtigt, die Bereitstellungsphase der Tengu-Ransomware zu initiieren. Um eine Erkennung durch einfache Antivirus-Signaturen zu vermeiden, nutzen sie „Living-off-the-Land“ (LotL) Techniken. Der Angreifer wird zuerst verwenden powershell.exe um eine Staging-Nutzlast herunterzuladen und dann verwenden rundll32.exe um eine bösartige DLL auszuführen. Dies ahmt das Verhalten nach, das in der Tengu-Angriffskette beschrieben wird, bei dem legitime Windows-Binaries missbraucht werden, um bösartige Aktionen durchzuführen, wodurch versucht wird, sich in routinemäßige administrative Aktivitäten einzufügen.

  • Regressionstest-Skript:

    # Tengu-Ransomware-Ausführungssimulation-Skript
    # Dieses Skript simuliert die Verwendung von LOLBins, um die Erkennungsregel auszulösen.
    
    Write-Host "[*] Starten der Tengu-Ransomware-Ausführungssimulation..." -ForegroundColor Cyan
    
    # 1. Simuliere PowerShell-basierte Nutzlaststaging (T1059.001)
    Write-Host "[*] Simuliere PowerShell-Nutzlaststaging..." -ForegroundColor Yellow
    powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Write-Output 'Download der bösartigen Nutzlast simulieren...'"
    
    # 2. Simuliere CMD-basierte Aufklärung (T1059.003)
    Write-Host "[*] Simuliere CMD-basierte Aufklärung..." -ForegroundColor Yellow
    cmd.exe /c "whoami /all"
    
    # 3. Simuliere Rundll32-Ausführung (T1218.011)
    Write-Host "[*] Simuliere Rundll32-bösartige DLL-Ausführung..." -ForegroundColor Yellow
    rundll32.exe javascript:"alert('Simulierte Tengu-Nutzlastausführung');"
    
    Write-Host "[+] Simulation abgeschlossen. SIEM auf Alarmmeldungen überprüfen." -ForegroundColor Green
  • Clean-Befehle:

    # In dieser Simulation wurden keine permanenten Dateien oder Registrierungsschlüssel verändert.
    # Die ausgeführten Befehle sind flüchtige Prozessausführungen.
    Write-Host "[*] Bereinigung nicht erforderlich, da keine persistenten Artefakte erstellt wurden." -ForegroundColor Cyan