Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Artikel behandelt das Wiederaufleben des pro-russischen Hacktivisten-Kollektivs CyberVolk und seiner neuen Ransomware-Familie namens VolkLocker. Diese auf Golang basierende Ransomware zielt sowohl auf Windows- als auch auf Linux-Systeme ab und verwendet Telegram für Kommando und Kontrolle. Sie nutzt einen fest codierten AES-256-GCM-Master-Key, der ebenfalls im Klartext im %TEMP%-Verzeichnis gespeichert wird, was effektiv eine unbeabsichtigte Entschlüsselungsabkürzung schafft. VolkLocker manipuliert außerdem Registrierungs-Einstellungen, schaltet Sicherheitskontrollen aus und versucht destruktive Aktionen gegen das System, sobald ein eingebauter Timer abläuft.
Untersuchung
Forscher untersuchten die VolkLocker-Probe und stellten fest, dass sie ohne Code-Obfuskation verteilt wird, wobei stattdessen die Verwendung von UPX zur Verpackung empfohlen wird. Die Ransomware führt Umgebungsprüfungen durch, listet verfügbare Laufwerke auf, verschlüsselt Daten mit einem statischen Master-Key und speichert diesen Schlüssel in einer versteckten Sicherungsdatei. Die Persistenz wird durch die Replikation der ausführbaren Datei in mehrere Pfade und die Anwendung von Registrierungsänderungen aufrechterhalten. Telegram-Bot-Token und eine Bitcoin-Adresse sind obligatorische Konfigurationselemente für einen erfolgreichen Betrieb.
Minderung
Verteidiger sollten auf die dokumentierten Registrierungsänderungen, die Erstellung der Klartext-Schlüssel-Sicherungsdatei und das Auftreten mehrerer Kopien derselben ausführbaren Datei an Startorten achten. Das Blockieren ausgehender Verbindungen zu Telegram-bezogenen Domains und das Markieren von UPX-gepackten Binärdateien kann helfen, das Risiko zu begrenzen. Es wird auch empfohlen, regelmäßige Offline- oder unveränderliche Backups zu pflegen und die automatische Löschung von Volumenschattenkopien zu verhindern.
Reaktion
Nach der Entdeckung sofort den kompromittierten Endpunkt isolieren, die Klartext-Schlüsselsicherungsdatei aus %TEMP% abrufen und den bekannten Master-Key zur Dateientschlüsselung nutzen. Alle Instanzen der VolkLocker-ausführbaren Datei eliminieren, geänderte Registrierungswerte wiederherstellen und deaktivierte Sicherheitslösungen neu starten. Eine forensische Überprüfung des Telegram-basierten C2-Verkehrs durchführen und weiterhin auf nachfolgenden Missbrauch des offengelegten Bot-Tokens achten.
graph TB %% Klassendefinitionen classDef technique fill:#99ccff classDef malware fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#e6e6e6 classDef operator fill:#ff9900 %% Privilegieneskalation tech_pe_bypass_uac[„<b>Technik</b> – <b>T1548.002 Umgehung der Benutzerkontensteuerung</b><br/><b>Beschreibung</b>: Kapert HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command zur Erlangung erhöhter Rechte“] class tech_pe_bypass_uac technique %% Persistenz tech_persistence_rc[„<b>Technik</b> – <b>T1037.004 Start- oder Anmeldeinitialisierungsskripte: RC-Skripte</b><br/><b>Beschreibung</b>: Kopiert die Nutzlast in Startorte“] class tech_persistence_rc technique tech_persistence_startup[„<b>Technik</b> – <b>T1037.005 Startelemente</b><br/><b>Beschreibung</b>: Platziert cvolk.exe im Autostart-Ordner des Benutzers“] class tech_persistence_startup technique tech_persistence_active[„<b>Technik</b> – <b>T1547.014 Active Setup</b><br/><b>Beschreibung</b>: Registriert Active-Setup-Einträge zur Persistenz“] class tech_persistence_active technique file_cvolk[„<b>Datei</b> – cvolk.exe<br/>Pfad: %APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup“] class file_cvolk file file_svchost[„<b>Datei</b> – svchost.exe<br/>Pfad: %PUBLIC%\\Documents“] class file_svchost file file_wlanext[„<b>Datei</b> – wlanext.exe<br/>Pfad: %SYSTEMDRIVE%\\ProgramData\\Microsoft\\Network“] class file_wlanext file file_windowsupdate[„<b>Datei</b> – WindowsUpdate.exe<br/>Pfad: %TEMP%“] class file_windowsupdate file %% Abwehrumgehung tech_account_removal[„<b>Technik</b> – <b>T1531 Entfernung des Kontozugriffs</b><br/><b>Beschreibung</b>: Deaktiviert Benutzerkonten und Werkzeuge“] class tech_account_removal technique tech_exclusive_control[„<b>Technik</b> – <b>T1668 Exklusive Kontrolle</b><br/><b>Beschreibung</b>: Modifiziert die Registry, um Task-Manager, CMD und Defender zu blockieren“] class tech_exclusive_control technique tech_impair_defenses[„<b>Technik</b> – <b>T1562.010 Sicherheitswerkzeuge deaktivieren oder ändern</b><br/><b>Beschreibung</b>: Schaltet die Echtzeitüberwachung aus“] class tech_impair_defenses technique %% Virtualisierungsumgehung tech_vm_check[„<b>Technik</b> – <b>T1497.002 Benutzeraktivitätsbasierte Prüfungen</b><br/><b>Beschreibung</b>: Prüft MAC-Präfixe und VM-Registry-Schlüssel“] class tech_vm_check technique %% Dateiverschlüsselung tech_custom_archive[„<b>Technik</b> – <b>T1560.003 Archivierung über benutzerdefinierte Methode</b><br/><b>Beschreibung</b>: Verschlüsselt Dateien mit AES-256-GCM unter Verwendung eines fest codierten Master-Schlüssels“] class tech_custom_archive technique tech_upx_packing[„<b>Technik</b> – <b>T1027.015 Verschleierte/Komprimierte Dateien: UPX</b><br/><b>Beschreibung</b>: Packt Binärdateien mit UPX“] class tech_upx_packing technique %% Schlüssel-Backup file_key_backup[„<b>Datei</b> – system_backup.key<br/>Ort: %TEMP%<br/><b>Problem</b>: Speichert den Master-Schlüssel im Klartext“] class file_key_backup file %% Systemwiederherstellung verhindern tech_vss_delete[„<b>Technik</b> – <b>T1490 Systemwiederherstellung verhindern</b><br/><b>Beschreibung</b>: Löscht alle Volumeschattenkopien mittels vssadmin“] class tech_vss_delete technique %% Datenzerstörung tech_disk_wipe[„<b>Technik</b> – <b>T1561.001 Löschen von Datenträgerinhalten: Dateien</b><br/><b>Beschreibung</b>: Löscht Dokumente, Desktop, Downloads und Bilder“] class tech_disk_wipe technique tech_bsod[„<b>Technik</b> – <b>T1499.004 Endpoint-Dienstverweigerung: Anwendungsausnutzung</b><br/><b>Beschreibung</b>: Löst einen BSOD mit NtRaiseHardError aus“] class tech_bsod technique %% Command and Control tech_c2_telegram[„<b>Technik</b> – <b>T1102.002 Webdienst: Bidirektionale Kommunikation</b><br/><b>Beschreibung</b>: Verwendet einen Telegram-Bot für C2 mit dynamischer Auflösung“] class tech_c2_telegram technique %% Indikatorenentfernung tech_file_deletion[„<b>Technik</b> – <b>T1070.004 Dateilöschung</b><br/><b>Beschreibung</b>: Löscht temporäre Dateien und setzt versteckte/System-Attribute“] class tech_file_deletion technique %% Flussverbindungen tech_pe_bypass_uac –>|ermöglicht| tech_persistence_rc tech_persistence_rc –>|kopiert| file_cvolk tech_persistence_rc –>|kopiert| file_svchost tech_persistence_rc –>|kopiert| file_wlanext tech_persistence_rc –>|kopiert| file_windowsupdate tech_persistence_rc –>|erstellt| tech_persistence_startup tech_persistence_rc –>|erstellt| tech_persistence_active tech_persistence_startup –>|platziert| file_cvolk tech_persistence_active –>|registriert| file_cvolk tech_persistence_rc –>|führt_zu| tech_account_removal tech_account_removal –>|modifiziert| tech_exclusive_control tech_exclusive_control –>|deaktiviert| tech_impair_defenses tech_impair_defenses –>|bereitet_vor| tech_vm_check tech_vm_check –>|umgeht| tech_custom_archive tech_custom_archive –>|verwendet| tech_upx_packing tech_upx_packing –>|erzeugt| file_cvolk tech_custom_archive –>|schreibt| file_key_backup tech_custom_archive –>|löst_aus| tech_vss_delete tech_vss_delete –>|verhindert_Wiederherstellung_für| tech_disk_wipe tech_disk_wipe –>|gefolgt_von| tech_bsod tech_bsod –>|signalisiert| tech_c2_telegram tech_c2_telegram –>|berichtet| tech_file_deletion tech_file_deletion –>|entfernt| file_key_backup %% Styling class tech_pe_bypass_uac,tech_persistence_rc,tech_persistence_startup,tech_persistence_active,tech_account_removal,tech_exclusive_control,tech_impair_defenses,tech_vm_check,tech_custom_archive,tech_upx_packing,tech_vss_delete,tech_disk_wipe,tech_bsod,tech_c2_telegram,tech_file_deletion technique class file_cvolk,file_svchost,file_wlanext,file_windowsupdate,file_key_backup file
Angriffsfluss
Erkennungen
Erkennung von CyberVolk-Ransomware-Artefakte [Windows-Datei-Ereignis]
Ansehen
Privilegieneskalation und Prozessbeendigung durch CyberVolk Ransomware [Windows-Prozesserstellung]
Ansehen
IOCs (HashSha1) zur Erkennung: CyberVolk kehrt zurück | Fehlgeschlagener VolkLocker bringt neue Funktionen mit Wachstumsschmerzen
Ansehen
Mögliche Registrierungsänderung zur Sperrung von System-Tools (über CMD)
Ansehen
Deaktivierung von Windows Defender Schutzmaßnahmen (über registry_event)
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- und Basislinien-Vorabcheck muss bestanden werden.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und Narrative MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehlinterpretationen.
-
Angriffserzählung & Befehle:
- Ziel:SYSTEM-Privilegien auf einer Standardbenutzer-Arbeitsstation erlangen, während Sicherheitstools umgangen werden.
- Schritt 1 – UAC-Umgehung:Der Angreifer startetms-settings.exemit einer Befehlszeile, die den Prozess dazu zwingt,
NtRaiseHardErroraufzurufen, eine bekannte nicht dokumentierte API, die eine UAC-Erhöhung auslösen kann, die in bestimmten Fehlkonfigurationen automatisch akzeptiert wird. - Schritt 2 – Verteidigungen stören:Unmittelbar nach der Erhöhung ruft dieselbe Befehlszeiletaskkill.exeauf, um bekannte Analysetools zu beenden (
procmon.exe,processhacker.exe, etc.), die möglicherweise privilegierte Prozesse überwachen. - Erzeugte Telemetrie:Ein einziges Prozess-Erstellungsereignis, bei demImage = ms-settings.exeundBefehlszeilebeinhaltet beide
taskkill.exeundNtRaiseHardError, wodurch die Auswahl der Sigma-Regel erfüllt wird.Auswahl.
# Kombinierter bösartiger Befehl – so gestaltet, dass er wie ms-settings.exe-Argumente aussieht $maliciousCmd = '"C:WindowsSystem32ms-settings.exe" "taskkill.exe /F /IM procmon.exe" "NtRaiseHardError"' Start-Process -FilePath "$env:SystemRootsystem32ms-settings.exe" -ArgumentList $maliciousCmd -
Regressionstest-Skript:Das folgende PowerShell-Skript reproduziert exakt den Angriff und kann für automatisierte Regressionstests wiederverwendet werden.
<# .SYNOPSIS Simuliert die CyberVolk ms‑settings UAC-Umgehung + Analyse-Tool-Termination Technik. .DESCRIPTION Startet ms-settings.exe mit einer gestalteten Argumentliste, die taskkill.exe und NtRaiseHardError beinhaltet. Erzeugt die spezifische Prozess‑Erstellungstelemetrie, die erforderlich ist, um die Sigma-Erkennungsregel zu aktivieren. .NOTES Führen Sie mit einem normalen Benutzerkonto aus. Stellen Sie sicher, dass die Zielumgebung über eine aktivierte Prozess‑Erstellungsprotokollierung verfügt. #> # Parameter (bei Bedarf anpassen) $msSettings = "$env:SystemRootsystem32ms-settings.exe" $analysisTools = @("procmon.exe","processhacker.exe","ida64.exe") $killCmd = "taskkill.exe /F /IM " + ($analysisTools -join " /IM ") $hardError = "NtRaiseHardError" # Erstellen Sie die bösartige Argumentzeichenkette $argList = @($killCmd, $hardError) -join " " Write-Host "Starten von ms-settings.exe mit bösartigen Argumenten..." Start-Process -FilePath $msSettings -ArgumentList $argList Write-Host "Befehl ausgeführt:" Write-Host "`"$msSettings`" $argList" -
Aufräumbefehle:Nach der Überprüfung alle verbleibendenms-settings.exeProzesse beenden und den normalen Systemzustand wiederherstellen.
# Stoppen Sie alle ms-settings-Prozesse, die möglicherweise noch ausgeführt werden Get-Process -Name "ms-settings" -ErrorAction SilentlyContinue | Stop-Process -Force # Optional: Verifizieren Sie, dass keine Analysetools unbeabsichtigt beendet wurden foreach ($tool in @("procmon","processhacker","ida64")) { if (Get-Process -Name $tool -ErrorAction SilentlyContinue) { Write-Host "$tool läuft noch." } else { Write-Host "$tool wurde beendet (erwartet für den Test)." } }