:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Fehlerhafte Ransomware Analyse der BlackMatter-Ransomware
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Ransomware ist eine Software wie jede andere, und die ist selten fehlerfrei. Eine Analyse zeigt, wie Betroffene von einem Logikfehler bei BlackMatter profitieren können, und wie man verhindert, dass die Ransomware Remote Shares verschlüsselt.
Bei BlackMatter handelt es sich um eine raffiniert agierende Ransomware-Familie, die Multithreading und verschiedene Anti-Debugging-Techniken nutzt, allesamt bereits ausführlich beschrieben. Ein schwerwiegender Fehler in der Logik von BlackMatter könnte jedoch geeignet sein, die Ausbreitung eines Angriffs zu verhindern oder doch zumindest einzugrenzen.
Zwar sah sich die BlackMatter-Gruppe unter dem wachsenden Druck der Ermittler im Spätherbst letzten Jahres genötigt, ihr Erpressungsgeschäft (vorläufig) aufzugeben. Die Analyse zeigt allerdings, dass der Logikfehler bereits in der DarkSide-Ransomware vor BlackMatter aufgetreten ist und vermutlich weiter vorkommen wird.
:quality(80)/p7i.vogel.de/wcms/29/0c/290ce63f2bbed57bf09e21c4fc493910/0102746198.jpeg "BlackMatter Wallpaper.")
:quality(80)/p7i.vogel.de/wcms/a8/dd/a8dd49fd5a0a89691bba2233d65d78c6/0102746194.jpeg "BlackMatter-Vorgehensweise anhand der Netzwerkaktivität.")
:quality(80)/p7i.vogel.de/wcms/17/1d/171d4346c49fd64bddfe26d2fc16299a/0102746192.jpeg "LDAP-Anforderung aus Computer.")
:quality(80)/p7i.vogel.de/wcms/0e/88/0e8801557c92c526e703b4852433ce22/0102746193.jpeg "LDAP-Anforderung für Attribute von COMP1.")
Laut Yan Linkov, Leiter Security Research bei Illusive, sollte insbesondere die Erstellung eines Computerobjekts, das aus lexikografischer Sicht an erster Stelle steht und ein leeres dNSHostName-Attribut im Standard-Computer-Container aufweist, die Ransomware-Verbreitung stoppen und damit zumindest die Reichweite des Angriffs minimieren.
An dieser Stelle wollen wir uns darauf konzentrieren, wie man ein vordefiniertes Verhalten nutzt, um zu verhindern, dass BlackMatter Remote Shares verschlüsselt.
Wer Opfer eines Angriffs mit BlackMatter geworden ist, sieht zunächst einen der typischen Ransomware-Bildschirme, hier in Form eines Wallpapers. Interessant ist das weitere Verhalten der Schadsoftware, das sich durch einen genaueren Blick auf die Netzwerkaktivitäten offenlegen lässt (Abbildung 1 in der Bildergalerie).
Dabei zeigt sich, dass andere Computer in der gleichen Umgebung nur dann verschlüsselt werden, wenn die integrierte Konfiguration dies zulässt. Dazu versucht BlackMatter zunächst, alle Computer aus dem Active Directory abzurufen (Abb. 2 in der Bildergalerie). Es ist erwähnenswert, dass BlackMatter nur Objekte aus dem vordefinierten Container „Computer“ anfordert, aber keine Objekte aus anderen betrieblichen Abteilungen (Organisationseinheiten (OUs). Wenn ein Unternehmen keine Computerobjekte im Container COMPUTER vorhält, sondern in einer anderen OU, sind die Folgen der Attacke weit weniger schwerwiegend.
Nachdem BlackMatter alle Computerobjekte in der Domain abgerufen hat, werden die Attribute der einzelnen Computerkonten über LDAP abgerufen, beispielsweise für COMP1 (Abb. 3 in der Bildergalerie). Die entsprechende LDAP-Antwort gibt dann die Attribute zurück (Abb.4 in der Bildergalerie).
Zum Auflisten der Computer im Active Directory verwendet BlackMatter die Standard-API-Funktionen: ADsOpenObject, AdsBuildEnumerator, ADsEnumerateNext. Die Schleife, in der die Computerkonten aufgelistet sind, wird dann für die weitere Verwendung gespeichert (Abb.5 in der Bildergalerie).
Im weiteren Verlauf der Analyse stellt sich dann heraus, dass ADsEnumerateNext bei jeder Iteration der Schleife aufgerufen wird. Die Schleife bricht allerdings ab, wenn einer der folgenden Fälle auftritt:
- ADsEnumerateNext schlägt fehl
- Es werden 0 Elemente von ADsEnumerateNext zurückgegeben
- Das Attribut „dNSHostName“ kann nicht abgerufen werden
Das Interessante daran ist, dass BlackMatter die Iteration abbricht, wenn ein bestimmtes Attribut nicht gesetzt ist, nämlich "dNSHostName''.
Im nächsten Schritt versucht BlackMatter mithilfe der NetShareEnum-Funktion (von Netapi32.dll), die eine NetShareEnumAll-Anforderung über RPC erstellt, zuzuordnen, über welche Freigaben jeder einzelne Computer verfügt und welche Detailinformationen zu diesen Freigaben noch zu bekommen sind (Abb. 6 und 7 in der Bildergalerie).
Anschließend versucht BlackMatter über SMB auf diese Freigaben zuzugreifen, speziell auf die „Secrets“-Freigaben und die Dateien zu verschlüsseln. Tatsächlich werden dabei aber bestimmte Freigaben ignoriert. Nämlich solche die weder vom Typ STYPE_DISKTREE oder STYPE_SPECIAL sind und die weder „admin$“ noch „C$“ sind (Abb. 8 und 9 in der Bildergalerie)
LDAP-Steuerelemente
Eine besondere Funktion kommt den LDAP-Steuerelementen zu. Das LDAP-Wiki beschreibt sie so: „Ein LDAP-Steuerelement ist ein Element, das in eine LDAP-Benachrichtigung eingebunden werden kann. Wenn es in einer Anforderungsbenachrichtigung enthalten ist, kann es verwendet werden, um zusätzliche Informationen über die Art und Weise, wie die Operation verarbeitet werden soll, bereitzustellen. Wenn es in der Antwortbenachrichtigung enthalten ist, kann es verwendet werden, um zusätzliche Informationen über die Art und Weise zu geben, wie die Operation verarbeitet wurde."
Wenn also beispielsweise das Steuerelement LDAP_SERVER_SORT_OID gesendet wird, gibt der Server die Ergebnisse sortiert zurück. In unserem Fall verwendet die Funktionalität von BlackMatter das Steuerelement LDAP_PAGED_RESULT_OID_STRING, was die Reihenfolge der Ergebnisse gerade nicht garantiert.
Unter Laborbedingungen hat der LDAP-Server im Active Directory die Computernamen jedoch bei jeder Anfrage alphanumerisch sortiert (ohne Berücksichtigung von Groß- und Kleinschreibung) zurück gegeben, auch wenn es sich um eine große Anzahl von Computerkonten handelt. Anders formuliert – das für die LDAP-Anforderung für Computer verwendete Steuerelement gewährleistet nicht, dass die Ergebnisse sortiert werden (Abb. 10 in der Bildergalerie).
Verhindern, dass die BlackMatter-Ransomware verfügbare Remote Shares verschlüsselt
Wie bereits erwähnt, fragt BlackMatter keine weiteren Computernamen ab, wenn die Ransomware auf ein Computerobjekt trifft, dem das Attribut "dNSHostName" fehlt. Wenn BlackMatter also zuerst ein Computerkonto ohne das Attribut "dNSHostName" aufruft, wird die Ransomware nicht versuchen, Informationen zu den übrigen Computern abzurufen, also keine verfügbaren Remote-Freigaben verschlüsseln. Wie gerade erläutert, ist die Reihenfolge der Ergebnisse für die Auflistung mit ADsBuildEnumerator und ADsEnumerateNext nicht garantiert, obwohl unter Laborbedingungen nur alphabetisch sortierte Ergebnisse beobachten wurden.
Der Grundgedanke, wie man verhindert, dass BlackMatter remote verfügbare Freigaben verschlüsselt, besteht darin, ein Computerkonto zu erstellen, dem das Attribut "dNSHostName" fehlt, und das in alphabetischer Reihenfolge der Computerkonten der Domain an erster Stelle steht. Ein Beispiel für diesen Namen könnte „aaa-comp“ sein (Abb. 11 in der Bildergalerie), bei dem zusätzlich das Attribut dNSHostName nicht gesetzt wurde (Abb. 12 in der Bildergalerie).
Man kann zwar nicht verhindern, dass BlackMatter auf einer Workstation in dieser AD-Umgebung die betreffenden Computer verschlüsselt. Was man aber sehr wohl verhindern kann ist, dass die Ransomware remote zugängliche Dateifreigaben verschlüsselt.
Darüber hinaus sei abschließend noch einmal darauf hingewiesen: Wenn Computerkonten nicht unter COMPUTERS, sondern unter einer anderen OU oder auch in einem anderen Container liegen, dann sind diese Computer ebenfalls vor der Verschlüsselung von Remote Shares gefeit.
Schlussendlich wurde die Analyse des BlackMatter-Logikfehlers auf zwei weitere äußerst aktive Ransomware-Gruppen ausgeweitet, die bereits davor in Erscheinung getreten sind: DarkSide und REvil. Bei letzter ließ sich der Logikfehler nicht verifizieren, allerdings auch keine Funktion zur Verschlüsselung von Remote Shares. DarkSide hingegen verfügt sehr wohl über genau diese Funktion und weist ebenfalls den analysierten Logikfehler auf.
Beim Thema Cybersicherheit legen wir den Schwerpunkt zumeist auf kritische Schwachstellen und Lücken, wie gerade jüngst bei Log4j. Es ist aber nicht ganz unwichtig zu realisieren, dass auch Malware ihre ganz eigenen Schwachstellen hat. Schwachstellen, die sich versierte Fachleute ihrerseits zunutze machen können, um die allgemeine Sicherheitslage zu verbessern. Es ist mit einiger Wahrscheinlichkeit davon auszugehen, dass der in DarkSide und BlackMatter beobachtete Logikfehler uns zukünftig an anderer Stelle wieder begegnen wird.
Über den Autor: Shahar Zelig ist Security Researcher bei Illusive.
(ID:48016142)
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/6c/596c4be93de433a4c8df15a6e71a07e1/0113377765.jpeg "Der Lepide Active Directory Auditor hilft auch aktiv dabei, Ransomware-Angriffe schnell zu erkennen und damit schnell reagieren zu können. (Bild: Lepide)")