[datensicherheit.de, 10.08.2022] Mit dem standardmäßig auf modernen „Windows“-Rechnern vorinstallierten Virenschutz „Windows Defender“ haben die kriminellen Akteure hinter „LockBit“ derzeit offenbar einen häufig ausnutzbaren Angriffsvektor im Visier: Sicherheitsforscher von SentinelOne haben hierzu kürzlich die Ergebnisse einer Analyse zur Schadsoftware „LockBit 3.0“ veröffentlicht. Es handelt sich demnach bei der Ransomware „LockBit 3.0“ um eine neuere Version einer weit verbreiteten RaaS-Familie (Ransomware-as-a-Service), deren Ursprung bei „BlackMatter“ und ähnlicher Malware liege.

Foto: Armis

Andy Norton: Frameworks für Cyber-Risiken sehen viele verschiedene Anforderungen vor, die umgesetzt werden müssen!

Ransomware-Warnsignal: Auffälliges Geräteverhalten

Dem Forschungsbericht zufolge nutzten die Hacker für ihren Angriff das „Windows Defender“-Befehlszeilentool zum Entschlüsseln und Laden von „Cobalt Strike“-Nutzdaten. „Sobald der erste Zugriff erfolgt war, führten die Akteure eine Reihe von Enumerationsbefehlen aus und versuchten, mehrere Post-Exploitation-Tools auszuführen, darunter Meterpreter, PowerShell Empire und eine neue Methode, um nebenbei ,Cobalt Strike‘ zu laden.“

Wenn ein „Asset“ durch diese Schwachstelle infiziert ist, dann mache sich dies laut Andy Norton, „European Cyber Risk Officer“ bei Armis, sofort bemerkbar: „Die für die Sicherheitslücke verwendeten Tools sind zwar neu, jedoch sind der anschließende Verlauf und die Verhaltensänderungen nach wie vor eindeutige Indikatoren für eine schadhafte Infektion. Aus diesem Grund ist eine tiefgreifende Verteidigung wichtig. Die Frameworks für Cyber-Risiken sehen viele verschiedene Anforderungen vor, die umgesetzt werden müssen.“

Verändertes Geräte-Verhalten mit der Norm vergleichen, um Ransomware-Befall zu erkennen

Es gebe über das Geräteverhalten eindeutige Hinweise auf eine Infektion. „Zum einen ist bekannt, dass das Kontaktieren von Raw-IP-Adressen schadhaftes Verhalten darstellt“, so Norton. „Zum anderen fällt es auf, wenn sich ein ,Asset‘ anders verhält als sonst und wenn sich dieses Verhalten von dem anderer ,Assets‘ unterscheidet.“

Mit dem Wissen darüber, wie sich bestimmte Geräte normalerweise verhalten, werde es möglich, das veränderte Verhalten eines Geräts mit der Norm zu vergleichen. Dadurch könne nicht nur das veränderte Verhalten des Geräts mit sich selbst, sondern auch im Vergleich mit dem anderer Geräte abgeglichen werden. Norton erklärt abschließend: „Wenn das Verhalten des Geräts anschließend als verdächtig eingestuft wird, dann können Unternehmen die nötigen Schritte unternehmen, um das vom Gerät ausgehende Risiko einzudämmen.“

Weitere Informationen zum Thema:

The Hacker News, Ravie Lakshmanan, 02.08.2022
LockBit Ransomware Abuses Windows Defender to Deploy Cobalt Strike Payload

SentinelOne blog, Julio Dantas & James Haughom & Julien Reisdorffer, 28.07.2022
Living Off Windows Defender | LockBit Ransomware Sideloads Cobalt Strike Through Microsoft Security Tool

SentinelLABS, Jim Walter, 21.07.2022
Crimeware / LockBit 3.0 Update | Unpicking the Ransomware’s Latest Anti-Analysis and Evasion Techniques

[datensicherheit.de, 04.08.2021] Sicherheitsforscher des Sentinel Labs haben nach eigenen Angaben „in den neuesten Versionen des ,Cobalt Strike‘-Servers, des beliebten Hacker-Tools, mehrere Denial-of-Service-Schwachstellen (CVE-2021-36798) gefunden“. Diese Schwachstellen könnten dazu führen, dass bestehende „Beacons“ nicht mehr mit dem „C2“-Server kommunizieren, neue „Beacons“ nicht mehr installiert und laufende Operationen gestört werden könnten. Die Forscher haben demnach eine neue „Python“-Bibliothek veröffentlicht, um die „Beacon“-Kommunikation allgemein zu analysieren und die „Security Community“ zu unterstützen. Die Schwachstelle sei an die Betreiberfirma Helpsystems gemeldet und inzwischen gepatcht worden.

Red Teams, aber auch Cyber-Kriminelle nutzen Cobalt Strike

„Cobalt Strike“ sei eines, wenn nicht sogar das beliebteste Angriffs-Framework, welches für „Red Team Operations“ entwickelt worden sei. Einerseits verwendeten viele sogenannte Red Teams „Cobalt Strike“, aber andererseits nutzten es auch viele Cyber-Kriminelle.
Bereits zuvor habe es eine bekannte Schwachstelle in „Cobalt Strike“ gegeben. Für ein tieferes Verständnis der Kommunikationsinterna von „Beacon“ lohne es sich, den Bericht der nccgroup zu lesen. In der Praxis diese Schwachstelle, welche den Namen „Hotcobalt“ erhalten habe, die Remote-Code-Ausführung auf dem Server ermöglicht.

Per gefälschtem Beacon mit Cobalt Strike-Server kommuniziert und diesen überlastet

„Die Forscher konnten in einem Test die Größe eines Screenshots verändern und mit einem gefälschten ,Beacon‘ mit dem ,Cobalt Strike‘-Server kommunizieren und ihn mit einem speziellen ,POC Python‘-Skript überlasten.“ Dieses Skript analysiere die Konfiguration des „Beacons“ und verwende die darin gespeicherten Informationen, um einen neuen zufälligen „Beacon“ auf dem Server zu registrieren.
„Nach der Registrierung des ,Beacon‘ wird das oben gefundene Primitiv verwendet, um iterativ gefälschte Aufgabenantworten zu senden, die jedes bisschen verfügbaren Speicher aus dem Webserver-Thread des C2 ausnutzen.“ Dies führe zum Absturz des „Web-Threads“ des Servers, welcher den HTTP-Stager und „Beacon“-Kommunikation verarbeite.

Rechner mit Cobalt Strike-Server könnte lahmgelegt werden

Auf diese Weise könne ein böswilliger Akteur auf dem Rechner, auf dem der „Cobalt“-Server läuft, die Speicherkapazität erschöpfen, „so dass der Server nicht mehr reagiert, bis er neu gestartet wird“. Dies bedeute, dass „Live-Beacon“ nicht mit ihrem „C2“ kommunizieren könnten, bis die Betreiber den Server neu starteten. Ein Neustart reiche jedoch nicht aus, um sich gegen diese Schwachstelle zu schützen, da es möglich sei, den Server wiederholt anzugreifen, bis er gepatcht oder die Konfiguration des Beacons geändert wird.
In beiden Fällen würden die vorhandenen „Live-Beacons“ obsolet werden, da sie nicht mehr mit dem Server kommunizieren könnten, bis sie mit der neuen Konfiguration aktualisiert werden. Daher könne diese Schwachstelle den laufenden Betrieb erheblich beeinträchtigen.

Weitere Informationen zum Thema:

datensicherheit.de, 16.02.2020
SentinelLabs: Hacker-Gruppe Gamaredon verstärkt Angriffe auf ukrainische Behörden

SentinelLABS, 04.08.2021
Security Research / Hotcobalt – New Cobalt Strike DoS Vulnerability That Lets You Halt Operations

Sentinel-One / CobaltStrikeParser
communication_poc.py

nccgroup, Exploit Development Group, 15.06.2020
Striking Back at Retired Cobalt Strike: A look at a legacy vulnerability

[datensicherheit.de, 16.11.2019] proofpoint warnt in einer aktuellen Meldung davor, dass ein neuer Akteur – „TA 2101“ (Threat Actor 2101) – E-Mails an deutsche Unternehmen und Organisationen versendet, um darüber Backdoor-Malware zu verteilen. Dabei tarnten sich die Cyber-Kriminellen als „Bundeszentralamt für Steuern“, also als eine tatsächlich existierende Behörde, die aber eher unbekannt sei.

Cyber-Kriminelle missbrauchen „Cobalt Strike“

Zum Einsatz kommt demnach „Cobalt Strike“, ein normalerweise kommerziell lizensiertes, für Penetrationstests verwendetes Softwaretool. Es ahme dabei die Funktionsweise des Backdoor-Frameworks von „Metasploit“, einem ähnlichen Penetrationstest-Werkzeug, nach.
Dieses Programm sei eigentlich für den Einsatz durch Unternehmen für die Sicherung der eigenen IT gedacht. Jedoch hätten verschiedene Akteure, beispielsweise „Cobalt Group“, „APT32“ und „APT19“ dieses Werkzeug bereits zweckentfremdet.

Social-Engineering-Methoden für E-Mail-Angriffe genutzt

Um seine E-Mail-Angriffe effizienter zu gestalten, verwendet dieser neue Akteur laut proofpoint Social-Engineering-Methoden. Außer in Deutschland sei er auch in Italien unter dem Absender „Agenzia Delle Entrate“ (Agentur der Einnahmen) und in den Vereinigten Staaten als United States Postal Service (USPS) aktiv.
Die Experten von proofpoint haben nach eigenen Angaben diese Aktivitäten zwischen dem 16. und 23. Oktober 2019 festgestellt, wobei sich die Cyber-Kriminellen nicht auf eine bestimmte Branche konzentriert, sondern Empfänger in Fertigungsunternehmen, im Gesundheitswesen sowie für Business- und IT-Dienstleistungen gleichermaßen angriffen hätten.

Weitere Informationen zum Thema:

proofpoint, Bryan Campbell u.a., 14.11.2019
TA2101 plays government imposter to distribute malware to German, Italian, and US organizations

Bundeszentralamt für Steuern
Betrüger versenden E-Mails im Namen des Bundeszentralamts für Steuern

datensicherheit.de, 08.08.2019
proofpoint und amazon entfernen Betrüger-Webseiten

datensicherheit.de, 19.07.2019
FaceApp: Hype lockt Betrüger an

datensicherheit.de, 29.05.2019
Proofpoint: Emotet fast zwei Drittel aller bösartigen Payloads

datensicherheit.de, 13.05.2019
Proofpoint-Studie: Finanzdienstleister beliebtes Ziel für Cyberkriminelle