SOC Prime Bias: Hoch

12 Dec 2025 14:56 UTC

CyberVolk taucht wieder auf: Neue Funktionen und Schwächen von VolkLocker

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
CyberVolk taucht wieder auf: Neue Funktionen und Schwächen von VolkLocker
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Der Artikel behandelt das Wiederaufleben des pro-russischen Hacktivisten-Kollektivs CyberVolk und seiner neuen Ransomware-Familie namens VolkLocker. Diese auf Golang basierende Ransomware zielt sowohl auf Windows- als auch auf Linux-Systeme ab und verwendet Telegram für Kommando und Kontrolle. Sie nutzt einen fest codierten AES-256-GCM-Master-Key, der ebenfalls im Klartext im %TEMP%-Verzeichnis gespeichert wird, was effektiv eine unbeabsichtigte Entschlüsselungsabkürzung schafft. VolkLocker manipuliert außerdem Registrierungs-Einstellungen, schaltet Sicherheitskontrollen aus und versucht destruktive Aktionen gegen das System, sobald ein eingebauter Timer abläuft.

Untersuchung

Forscher untersuchten die VolkLocker-Probe und stellten fest, dass sie ohne Code-Obfuskation verteilt wird, wobei stattdessen die Verwendung von UPX zur Verpackung empfohlen wird. Die Ransomware führt Umgebungsprüfungen durch, listet verfügbare Laufwerke auf, verschlüsselt Daten mit einem statischen Master-Key und speichert diesen Schlüssel in einer versteckten Sicherungsdatei. Die Persistenz wird durch die Replikation der ausführbaren Datei in mehrere Pfade und die Anwendung von Registrierungsänderungen aufrechterhalten. Telegram-Bot-Token und eine Bitcoin-Adresse sind obligatorische Konfigurationselemente für einen erfolgreichen Betrieb.

Minderung

Verteidiger sollten auf die dokumentierten Registrierungsänderungen, die Erstellung der Klartext-Schlüssel-Sicherungsdatei und das Auftreten mehrerer Kopien derselben ausführbaren Datei an Startorten achten. Das Blockieren ausgehender Verbindungen zu Telegram-bezogenen Domains und das Markieren von UPX-gepackten Binärdateien kann helfen, das Risiko zu begrenzen. Es wird auch empfohlen, regelmäßige Offline- oder unveränderliche Backups zu pflegen und die automatische Löschung von Volumenschattenkopien zu verhindern.

Reaktion

Nach der Entdeckung sofort den kompromittierten Endpunkt isolieren, die Klartext-Schlüsselsicherungsdatei aus %TEMP% abrufen und den bekannten Master-Key zur Dateientschlüsselung nutzen. Alle Instanzen der VolkLocker-ausführbaren Datei eliminieren, geänderte Registrierungswerte wiederherstellen und deaktivierte Sicherheitslösungen neu starten. Eine forensische Überprüfung des Telegram-basierten C2-Verkehrs durchführen und weiterhin auf nachfolgenden Missbrauch des offengelegten Bot-Tokens achten.

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- und Basislinien-Vorabcheck muss bestanden werden.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Narrative MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehlinterpretationen.

  • Angriffserzählung & Befehle:

    1. Ziel:SYSTEM-Privilegien auf einer Standardbenutzer-Arbeitsstation erlangen, während Sicherheitstools umgangen werden.
    2. Schritt 1 – UAC-Umgehung:Der Angreifer startetms-settings.exemit einer Befehlszeile, die den Prozess dazu zwingt,NtRaiseHardErroraufzurufen, eine bekannte nicht dokumentierte API, die eine UAC-Erhöhung auslösen kann, die in bestimmten Fehlkonfigurationen automatisch akzeptiert wird.
    3. Schritt 2 – Verteidigungen stören:Unmittelbar nach der Erhöhung ruft dieselbe Befehlszeiletaskkill.exeauf, um bekannte Analysetools zu beenden (procmon.exeprocesshacker.exe, etc.), die möglicherweise privilegierte Prozesse überwachen.
    4. Erzeugte Telemetrie:Ein einziges Prozess-Erstellungsereignis, bei demImage = ms-settings.exeundBefehlszeilebeinhaltet beidetaskkill.exeundNtRaiseHardError, wodurch die Auswahl der Sigma-Regel erfüllt wird.Auswahl.
    # Kombinierter bösartiger Befehl – so gestaltet, dass er wie ms-settings.exe-Argumente aussieht
    $maliciousCmd = '"C:WindowsSystem32ms-settings.exe" "taskkill.exe /F /IM procmon.exe" "NtRaiseHardError"'
    Start-Process -FilePath "$env:SystemRootsystem32ms-settings.exe" -ArgumentList $maliciousCmd
  • Regressionstest-Skript:Das folgende PowerShell-Skript reproduziert exakt den Angriff und kann für automatisierte Regressionstests wiederverwendet werden.

    <#
    .SYNOPSIS
        Simuliert die CyberVolk ms‑settings UAC-Umgehung + Analyse-Tool-Termination Technik.
    .DESCRIPTION
        Startet ms-settings.exe mit einer gestalteten Argumentliste, die taskkill.exe und NtRaiseHardError beinhaltet.
        Erzeugt die spezifische Prozess‑Erstellungstelemetrie, die erforderlich ist, um die Sigma-Erkennungsregel zu aktivieren.
    .NOTES
        Führen Sie mit einem normalen Benutzerkonto aus. Stellen Sie sicher, dass die Zielumgebung über eine aktivierte Prozess‑Erstellungsprotokollierung verfügt.
    #>
    
    # Parameter (bei Bedarf anpassen)
    $msSettings = "$env:SystemRootsystem32ms-settings.exe"
    $analysisTools = @("procmon.exe","processhacker.exe","ida64.exe")
    $killCmd = "taskkill.exe /F /IM " + ($analysisTools -join " /IM ")
    $hardError = "NtRaiseHardError"
    
    # Erstellen Sie die bösartige Argumentzeichenkette
    $argList = @($killCmd, $hardError) -join " "
    
    Write-Host "Starten von ms-settings.exe mit bösartigen Argumenten..."
    Start-Process -FilePath $msSettings -ArgumentList $argList
    
    Write-Host "Befehl ausgeführt:"
    Write-Host "`"$msSettings`" $argList"
  • Aufräumbefehle:Nach der Überprüfung alle verbleibendenms-settings.exeProzesse beenden und den normalen Systemzustand wiederherstellen.

    # Stoppen Sie alle ms-settings-Prozesse, die möglicherweise noch ausgeführt werden
    Get-Process -Name "ms-settings" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Optional: Verifizieren Sie, dass keine Analysetools unbeabsichtigt beendet wurden
    foreach ($tool in @("procmon","processhacker","ida64")) {
        if (Get-Process -Name $tool -ErrorAction SilentlyContinue) {
            Write-Host "$tool läuft noch."
        } else {
            Write-Host "$tool wurde beendet (erwartet für den Test)."
        }
    }