LockBit 3.0 Ransomware-Angriffserkennung: Einsatz von Cobalt Strike Beacons unter Missbrauch von Microsoft Defender
Inhaltsverzeichnis:
LockBit Bedrohungsakteure stehen in letzter Zeit im Cyberraum im Rampenlicht. Im Juli 2022 sorgte das Hacking-Kollektiv für Schlagzeilen, indem es das allererste Bug-Bounty-Programm einführte, das von einer Ransomware-Gruppe gestartet wurde. Bei den jüngsten Cyberangriffen wendet die berüchtigte Ransomware-Gruppe Living-off-the-Land-Tools an, indem sie das legitime Microsoft Defender-Kommandozeilenprogramm missbraucht, um Cobalt Strike Beacons auf den Zielsystemen bereitzustellen, während eine Reihe von Anti-Analyse-Techniken verwendet wird, um eine Erkennung zu vermeiden.
Erkennung von LockBit-Angriffen: Cobalt Strike Beacons bereitgestellt durch Missbrauch von Microsoft Defender
Seit seinem Aufkommen im Juni 2022 stellt die LockBit 3.0 (auch bekannt als LockBit Black) Ransomware-Variante eine zunehmende Bedrohung für Unternehmen weltweit dar. Die neue Variante zeichnet sich durch erweiterte Funktionalitäten aus und nutzt neue Taktiken, um die Infektionsraten zu erhöhen und den RaaS-Ring-Partnern Gewinne zu sichern. Um Sicherheitspraktikern dabei zu helfen, die mit der neuesten LockBit-Kampagne verbundenen bösartigen Aktivitäten zu identifizieren, hat das SOC Prime-Team eine kuratierte Sigma-Regel veröffentlicht, um mögliche Microsoft Defender-Missbräuche zur Seiteneinschleusung von Cobalt Strike Beacons zu erkennen.
Möglicher MpClient.dll-Hijack (über image_load)
Diese Erkennung unterstützt Übersetzungen auf 20 SIEM-, EDR- und XDR-Plattformen. Die Regel ist dem MITRE ATT&CK®-Framework v.10zugeordnet und adressiert die Taktik der Verteidigungsumgehung mit DLL-Suchpfadhijacking (T1059) als primäre Technik.
Möchten Sie Ihre eigenen Sigma-Regeln erstellen, um aufkommende Bedrohungen zu erkennen und die Welt zu einem sichereren Ort zu machen? Treten Sie unserem Threat Bounty Program für Cyber-Verteidiger bei, teilen Sie Ihre Sigma-basierten Erkennungsalgorithmen und erhalten Sie wiederkehrende Auszahlungen für Ihren Beitrag.
Die vollständige Liste der Sigma-Regeln zur Erkennung aller Ransomware-Varianten, die mit LockBit-Hackern in Verbindung stehen, ist für alle registrierten Benutzer der Detection as Code Platform verfügbar. Klicken Sie einfach auf die Schaltfläche ‚Detect & Hunt‘ und Sie gelangen zu einer speziellen Liste von Algorithmen, die im Repository des Threat Detection Marketplace verfügbar sind. Nicht registrierte Benutzer können unsere Cyber Threats Search Engine nutzen, um auf relevante Sigma-Regeln zusammen mit dem MITRE ATT&CK-Kontext und CTI-Links zuzugreifen. Drücken Sie die Schaltfläche ‚Explore Threat Context‘, um eine optimierte Inhaltssuche durchzuführen.
Detect & Hunt Threat Context erkunden
Analyse von LockBit-Ransomware-Angriffen: Die neueste Kampagne setzt Cobalt Strike Beacons ein
LockBit 3.0 (auch bekannt als LockBit Black)tauchte in der Cyber-Bedrohungsarena als die nächste Iteration der LockBit RaaS-Familie wieder auf, die mit fortschrittlicheren Fähigkeiten verbessert und mit einer Reihe von Anti-Analyse- und Anti-Debugging-Techniken ausgestattet ist. Die feindlichen Aktivitäten der LockBit-Betreiber, die das RaaS-Modell nutzen, sind seit 2019 auf die schnelle Evolution der angewandten bösartigen Varianten und ein erweitertes Arsenal an Tools zurückzuführen. Im Zeitraum 2020-2021 gehörte LockBit zu den aktivsten und berüchtigtsten bösartigen Strains, die eine Vielzahl von Angriffsvektoren und feindlichen Techniken nutzen, um Infektionen zu verbreiten. Üblicherweise nutzten die Ransomware-Verantwortlichen den Phishing-Mail-Angriffsvektor, um initialen Zugang zur kompromittierten Umgebung zu erlangen, gefolgt von der Erkundungsphase, um sich seitlich zu bewegen und den Infektionsprozess fortzusetzen. Im Juni 2021 veröffentlichte die Ransomware-Gruppe die verbesserte Version LockBit 2.0, die ungepatchte Schwachstellen, Zero-Day-Exploits nutzt und eine breite Palette von feindlichen TTPs einsetzt.
Die neueste Iteration der berüchtigten RaaS-Operationen missbraucht das Microsoft Defender-Tool, um Cobalt-Strike-Payloads auf den kompromittierten Systemen bereitzustellen. Die LockBit-Angriffskette beginnt mit dem Erlangen des initialen Zugangs über die bösartige Ausnutzung der Log4Shell-Schwachstelle auf dem anfälligen VMWare Horizon-Server zur Ausführung von PowerShell-Code. Nach Erlangung der erforderlichen Benutzerprivilegien versuchen Angreifer, Nachbetriebsmittel zu starten und Cobalt Strike Beacons zu laden. Das legitime Kommandozeilenprogramm von Microsoft Defender MpCmdRun.exe wird verwendet, um eine bösartige DLL-Datei für das Seiteneinschleusen zu laden, die die Payloads entschlüsselt und bereitstellt.
Mit der Ausweitung ihres feindlichen Toolkits durch die Nutzung von Living-off-the-Land-Tools erfordert die rechtzeitige Erkennung von kniffligen Ransomware-Angriffen solcher Größenordnung und Raffinesse die aufmerksame Beobachtung durch Cyber-Verteidiger. SOC Prime’s Detection as Code-Plattform ermöglicht es Cybersecurity-Profis, ihre Bedrohungserkennungskapazitäten nahtlos zu steigern und die Geschwindigkeit der Bedrohungssuche zu verbessern, während sie ständig aktuellen und aufkommenden Ransomware-Angriffen einen Schritt voraus bleiben. Erfahrene und angehende Detection Engineers und Threat Hunters werden aufgefordert beizutreten Threat Bounty Program um die kollaborative Expertise mit ihren Erkennungsinhalten zu bereichern, ihren Input zu monetarisieren und zur Zukunft der Cyber-Verteidigung beizutragen.
