Erkennung der HermeticWiper-Malware: CISA und FBI-Warnung vor neuen zerstörerischen Cyberangriffen auf ukrainische Organisationen
Inhaltsverzeichnis:
Am 13. Januar 2022, traf ein verheerender Cyberangriff die Ukraine, der die Online-Ressourcen der Regierung des Landes lahmlegte. Dabei nutzten die Angreifer eine neue datenlöschende Malware namens WhisperGate aus.. Kurz nach diesem einschneidenden Vorfall, am 23. Februar, enthüllten Cybersecurity-Analysten eine weitere zerstörerische Malware, die ukrainische Organisationen anvisiert, genannt HermeticWiper. Diese neu entdeckte Wiper-Malware kompromittiert Windows-Geräte, indem sie den Master Boot Record kontrolliert, was zu aufeinanderfolgenden Bootfehlern führt.
HermeticWiper Malware-Erkennung und -Minderung
Um die bösartigen Malware-Aktivitäten im Zusammenhang mit HermeticWiper zu erkennen und die Infrastruktur der Organisation rechtzeitig zu schützen, können Sicherheitsfachleute die neuesten Sigma-basierten Erkennungen herunterladen, die mit Hilfe der Crowdsourcing-Initiative, Threat Bounty Program, von SOC Prime entwickelt wurden, einschließlich seiner erfahrenen Entwickler, Emir Erdoan and Antonio Farina. Alle dedizierten Erkennungsinhalte stehen im Detection as Code-Plattform von SOC Prime zum Download zur Verfügung:
Deaktivierung von CrashDumps über die Registry (HermeticWiper)
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender für Endpoint, Securonix, Apache Kafka ksqlDB, Carbon Black, Qualys.
Die Sigma-Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 abgestimmt, wobei der Beeinträchtigung von Abwehrmaßnahmen (T1562) als primäre Technik und das Deaktivieren oder Modifizieren von Tools (T1562.001) als Subtechnik adressiert werden.
Erkennt möglichen HermeticWiper durch spezifische Treiberinstallation
Diese Sigma-Regel hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Apache Kafka ksqlDB.
Am 26. Februar 2022 gaben die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) eine gemeinsame Beratung heraus , die Organisationen vor den bösartigen Aktivitäten im Zusammenhang mit WhisperGate und HermeticWiper warnte. Die Beratung gibt Empfehlungen und Anleitungen, wie man die Infrastruktur von Unternehmen gegen die potenziellen Exploits dieser berüchtigten datenlöschenden Malware-Stämme schützt. Die Minderung von HermeticWiper umfasst die folgenden Schritte, die darauf abzielen, die Cybersecurity-Resilienz in Organisationen zu stärken:
- Kontinuierliche Überwachung und regelmäßiges Scannen mit Antiviren- und Antimalware-Programmen
- Verwendung von Spam-Filter-Software zur Vermeidung von Spear-Phishing-E-Mails
- Anwenden von Netzwerkverkehrsfilterung
- Durchführung geplanter Software-Updates
- Aktivierung der Multi-Faktor-Authentifizierung
Analyse von HermeticWiper
Die Malware, genannt HermeticWiper, leitet sich von einem Firmennamen ab, der eine digitale Signatur von HermeticWiper für das Sample herausgegeben hat. Forscher gehen davon aus, dass Hacker eine Scheinfirma oder eine inaktive Firma benutzten, um das Zertifikat auszustellen.
Im Zuge der Bereitstellung von HermeticWiper imitiert es eine maßgeschneiderte, eingeschränkte Funktionssoftware. Das Sample ist 114 KB groß, wobei die Ressourcen etwa 70 % der Ladung ausmachen. Die Angreifer nutzen einen bewährten Wiper-Malware-Ansatz, der einen harmlosen Partitions-Treiber ausnutzt, um die schädlichsten Elemente ihrer Operationen auszuführen. Mehrere Hacker-Gruppen sind bekannt dafür, dass sie EldoS RawDisk für den direkten Benutzerzugriff auf die Dateien genutzt haben und dabei Windows-APIs umgingen. Sobald die Malware ausgeführt wird, aktiviert sie SeBackupPrivilege, was den Angreifern Lesezugriff auf Dateien gewährt. HermeticWiper fügt später SeLoadDriverPrivilegehinzu, was es ermöglicht, Treiber zu laden und zu entladen, sowie SEShutdownPrivilege, wodurch das kompromittierte System heruntergefahren werden kann. Nach einem Shutdown ist ein Neustart des Systems nicht mehr möglich. Zusätzliche Funktionalitäten über die Wiper-Fähigkeiten der Malware hinaus wurden bisher nicht identifiziert.
Verbinden Sie sich mit SOC Primes Plattform für Detection as Code , um Ihre Bedrohungserkennungsfähigkeiten mit der Kraft globaler Cybersecurity-Expertise zu stärken. Suchen Sie nach Möglichkeiten, Ihre eigenen Erkennungsinhalte beizutragen und zur kollaborativen Cyberabwehr beizutragen? Werden Sie Teil von SOC Primes Crowdsourcing-Initiative , um Ihre eigenen Sigma- und YARA-Regeln einzureichen, diese in die Plattform zu veröffentlichen, zu einem sichereren Cyberspace beizutragen und wiederkehrende Belohnungen für Ihren Beitrag zu erhalten!
