{"id":267226,"date":"2022-06-17T00:10:00","date_gmt":"2022-06-16T22:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=267226"},"modified":"2022-06-16T13:20:09","modified_gmt":"2022-06-16T11:20:09","slug":"anatomie-eines-hive-ransomware-angriffs-auf-exchange-per-proxyshell","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/17\/anatomie-eines-hive-ransomware-angriffs-auf-exchange-per-proxyshell\/","title":{"rendered":"Anatomie eines Hive Ransomware-Angriffs auf Exchange per ProxyShell"},"content":{"rendered":"

\"Sicherheit[English<\/a>]H\u00e4ufig bleiben ja die Details einer Ransomware-Infektion f\u00fcr Au\u00dfenstehende im Dunkeln. Mir ist diese Woche eine Information vom Sicherheitsdienstleister Varonis zugegangen, deren Sicherheitsteam den Ablauf eines Angriffs mit der Hive-Ransomware aufbereitet haben. Die Hive-Gruppe operiert als Ransomware-as-a-Service-Anbieter und ist f\u00fcr zahlreiche Angriffe verantwortlich. Im aktuellen Fall wurden Schwachstellen in Exchange-Servern ausgenutzt.<\/p>\n

<\/p>\n

Die Hive-Ransomware-Gruppe<\/h2>\n

\"\"Hive wurde erstmals im Juni 2021 entdeckt und wird als Ransomware-as-a-Service von Cyberkriminellen f\u00fcr Angriffe auf Gesundheitseinrichtungen, gemeinn\u00fctzige Organisationen, Einzelh\u00e4ndler, Energieversorger und andere Branchen weltweit genutzt. In Deutschland wurde der Angriff auf Media Markt\/Saturn durch diese Gruppe ausgef\u00fchrt (Media Markt\/Saturn: Ransomware-Angriff durch Hive-Gang, 240 Mio. US $ L\u00f6segeldforderung<\/a>).<\/p>\n

Zumeist werden dabei g\u00e4ngige Ransomware-Taktiken, -Techniken und -Verfahren (TTPs) eingesetzt, um die Ger\u00e4te der Opfer zu kompromittieren. So werden unter anderem Phishing-E-Mails mit b\u00f6sartigen Anh\u00e4ngen, gestohlene VPN-Anmeldedaten und Schwachstellen genutzt, um in die Zielsysteme einzudringen.<\/p>\n

Vorgehen der Gruppe beobachtet<\/h2>\n

W\u00e4hrend eines Einsatzes bei einem Kunden untersuchte das Forensik-Team von Varonis einen solchen Angriff und konnte das Vorgehen der Cyberkriminellen dokumentieren.<\/p>\n

Phase 1: ProxyShell und WebShell<\/h3>\n

Zun\u00e4chst nutzten die Angreifer die bekannten (aber wohl nicht gepatchten) ProxyShell-Schwachstellen von Exchange-Servern aus, um ein b\u00f6sartiges Backdoor-Skript (Webshell) in einem \u00f6ffentlich zug\u00e4nglichen Verzeichnis auf dem Exchange-Server zu platzieren. Diese Webskripte konnten dann b\u00f6sartigen PowerShell-Code \u00fcber den angegriffenen Server mit SYSTEM-Rechten ausf\u00fchren.<\/p>\n

Phase 2: Cobalt Strike<\/h3>\n

Der b\u00f6sartige PowerShell-Code lud zus\u00e4tzliche Stager von einem entfernten Command & Control-Server herunter, der mit dem Cobalt Strike-Framework<\/a> verbunden ist. Die Stager wurden dabei nicht in das Dateisystem geschrieben, sondern im Speicher ausgef\u00fchrt.<\/p>\n

Phase 3: Mimikatz und Pass-The-Hash<\/h3>\n

Unter Ausnutzung der SYSTEM-Berechtigungen erstellten die Angreifer einen neuen Systemadministrator namens \u201euser\" und gingen zur Phase des Credential Dump \u00fcber, in der sie Mimikatz<\/a> einsetzten. Mittels dessen Modul \u201elogonPasswords\" konnten die Passw\u00f6rter und NTLM-Hashes der am System angemeldeten Konten extrahiert und die Ergebnisse in einer Textdatei auf dem lokalen System gespeichert werden. Sobald die Angreifer \u00fcber den NTLM-Hash des Administrators verf\u00fcgten, nutzten sie die Pass-the-Hash-Technik, um hoch privilegierten Zugriff auf andere Ressourcen im Netzwerk zu erhalten.<\/p>\n

Phase 4: Suche nach sensitiven Informationen<\/h3>\n

Als n\u00e4chstes f\u00fchrten die Angreifer umfangreiche Erkundungsaktivit\u00e4ten im gesamten Netzwerk durch. Neben der Suche nach Dateien, die \u201epassword\" im Namen enthalten, wurden auch Netzwerkscanner eingesetzt und die IP-Adressen und Ger\u00e4tenamen des Netzwerks erfasst, gefolgt von RDPs zu den Backup-Servern und anderen wichtigen Ressourcen.<\/p>\n

Stufe 5: Einsatz von Ransomware<\/h3>\n

Schlie\u00dflich wurde eine individuelle, in Golang geschriebene Malware-Payload mit dem Namen Windows.exe<\/em> verteilt und auf verschiedenen Ger\u00e4ten ausgef\u00fchrt. Hierbei wurden mehrere Operationen durchgef\u00fchrt, wie das L\u00f6schen von Schattenkopien, das Deaktivieren von Sicherheitsprodukten, das L\u00f6schen von Windows-Ereignisprotokollen und das Entfernen von Zugriffsrechten. Auf diese Weise wurde ein reibungsloser und weitreichender Verschl\u00fcsselungsprozess gew\u00e4hrlistet. W\u00e4hrend der Verschl\u00fcsselungsphase wurde zudem eine Ransomware-Forderungsnotiz erstellt.<\/p>\n

Die Anatomie dieses Angriffs zeigt, dass am Anfang Vers\u00e4umnisse auf Seiten des Kunden den Angriff erm\u00f6glichten, weil die ProxyShell-Schwachstelle in Exchange Server nicht geschlossen wurde.<\/p>\n

Unternehmen sollten handeln<\/h2>\n

Ransomware-Angriffe haben in den letzten Jahren erheblich zugenommen und sind nach wie vor die bevorzugte Methode von finanziell motivierten Cyberkriminellen. Die Auswirkungen eines Angriffs k\u00f6nnen verheerend sein: Er kann den Ruf eines Unternehmens sch\u00e4digen, den regul\u00e4ren Betrieb nachhaltig st\u00f6ren und zu einem vor\u00fcbergehenden, m\u00f6glicherweise auch dauerhaften Verlust sensibler Daten sowie zu empfindlichen Bu\u00dfgeldern im Rahmen der DSGVO f\u00fchren.<\/p>\n

Obwohl die Erkennung und Reaktion auf solche Vorf\u00e4lle eine Herausforderung sein k\u00f6nnen, lassen sich die meisten b\u00f6swilligen Aktivit\u00e4ten verhindern, wenn die richtigen Sicherheitstools und Pl\u00e4ne zur Reaktion auf Vorf\u00e4lle zur Verf\u00fcgung stehen sowie Patches f\u00fcr bekannte Schwachstellen eingespielt wurden. Das Forensik-Team von Varonis empfiehlt deshalb die folgenden Ma\u00dfnahmen:<\/p>\n