Detaillierte Analyse eines Cyberangriffs
Zusammenfassung - Schadcode-Ausführung nach Exchange-Hack
Das SOC-Team hat in Rahmen mehrerer Threat Hunting-Einsätze die Angriffsaktivitäten unterschiedlicher Angreifergruppen analysiert. In diesem Bericht fasst Clemens Rambow, Lead Threat Hunter, die Auswirkungen des besonders weit verbreiteten „estonine“-Schadcodes zusammen, welcher der Gruppe DLTMiner zugeordnet wird (ACHTUNG: Es ist durchaus möglich und wahrscheinlich, dass auch andere Schadsoftware zum Einsatz kommt, da eine Vielzahl von Akteuren die Sicherheitslücken ausnutzen, um aus unterschiedlichen Motiven davon zu profitieren). Die Analysen basieren dabei teilweise auf der Vorarbeit von John Hammond (@_johnhammond, https://gist.github.com/JohnHammond), der die Verschleierungstaktiken der Schadcode-Scripte analysiert und dekodiert hat.
Dies sind die konkreten Findings des SOC-Teams
Die Codeausführungskette verläuft auf der High-Level-Ebene wie folgt:
- Platzierung der Chinese Chopper ASPX-Webshell via Proxy-Logon Exploit-Chain: Die Webshell ermöglicht die Ausführung von beliebigem Code mit lokalen SYSTEM-Berechtigungen. Das bedeutet, dass der Angreifer die komplette Kontrolle über das Exchange-System erhält. Ebenso haben wir Belege, dass auch andere Akteure bereits platzierte Webshells vorheriger Angreifer ebenso für ihre Zwecke nutzen.
- Ausführung des ersten Powershell-Scripts via Webshell:
- Abgerufen von hXXp://p[.]estonine[.]com/p
- Hinterlegt den Zeitstempel der Infektion in C:\Windows\Temp\ccc.log
- Nistet sich auf dem System dauerhaft als Scheduled Task mit dem Namen “Winnet” ein, der alle 45 Minuten den nachfolgenden Schadcode abruft bzw. ausführt.
- Download und Ausführung hXXp://cdn[.]chatcdn[.]net/p?hig oder hXXp:///cdn[.]chatcdn[.]net/p?hig
- Abschließend wird der Powershell-Code hinter hXXp://p[.]estonine[.]com/update.png ausgeführt- hier handelt es sich um den tatsächlich interessanten Schadsoftware-Payload!
Die Schadsoftware hinter “update.png” ist ebenso ein Powershell-Script, jedoch mit deutlich erweiterter Funktionalität und dazu mit rund 3MB erheblich grösser und aufwändiger verschleiert.
Zusammenfassend beinhaltet „update.png“ folgende Funktionalität, welche komplett automatisiert eingesetzt wird:
- Auslesen von Passwörtern und Passworthashes via Mimikatz
- Nachladen weiterer Powershell-Scripte
- Netzwerkscans, um weitere Angriffsziele zu ermitteln
- Ausbreitung via SMB, Pass-the-Hash und ETERNALBLUE
- Mechanismen, um sich dauerhaft auf infizierten Systemen einzunisten