Anatomie eines Hive Ransomware-Angriffs auf Exchange per ProxyShell

Sicherheit (Pexels, allgemeine Nutzung)[English]Häufig bleiben ja die Details einer Ransomware-Infektion für Außenstehende im Dunkeln. Mir ist diese Woche eine Information vom Sicherheitsdienstleister Varonis zugegangen, deren Sicherheitsteam den Ablauf eines Angriffs mit der Hive-Ransomware aufbereitet haben. Die Hive-Gruppe operiert als Ransomware-as-a-Service-Anbieter und ist für zahlreiche Angriffe verantwortlich. Im aktuellen Fall wurden Schwachstellen in Exchange-Servern ausgenutzt.


Anzeige

Die Hive-Ransomware-Gruppe

Hive wurde erstmals im Juni 2021 entdeckt und wird als Ransomware-as-a-Service von Cyberkriminellen für Angriffe auf Gesundheitseinrichtungen, gemeinnützige Organisationen, Einzelhändler, Energieversorger und andere Branchen weltweit genutzt. In Deutschland wurde der Angriff auf Media Markt/Saturn durch diese Gruppe ausgeführt (Media Markt/Saturn: Ransomware-Angriff durch Hive-Gang, 240 Mio. US $ Lösegeldforderung).

Zumeist werden dabei gängige Ransomware-Taktiken, -Techniken und -Verfahren (TTPs) eingesetzt, um die Geräte der Opfer zu kompromittieren. So werden unter anderem Phishing-E-Mails mit bösartigen Anhängen, gestohlene VPN-Anmeldedaten und Schwachstellen genutzt, um in die Zielsysteme einzudringen.

Vorgehen der Gruppe beobachtet

Während eines Einsatzes bei einem Kunden untersuchte das Forensik-Team von Varonis einen solchen Angriff und konnte das Vorgehen der Cyberkriminellen dokumentieren.

Phase 1: ProxyShell und WebShell

Zunächst nutzten die Angreifer die bekannten (aber wohl nicht gepatchten) ProxyShell-Schwachstellen von Exchange-Servern aus, um ein bösartiges Backdoor-Skript (Webshell) in einem öffentlich zugänglichen Verzeichnis auf dem Exchange-Server zu platzieren. Diese Webskripte konnten dann bösartigen PowerShell-Code über den angegriffenen Server mit SYSTEM-Rechten ausführen.

Phase 2: Cobalt Strike

Der bösartige PowerShell-Code lud zusätzliche Stager von einem entfernten Command & Control-Server herunter, der mit dem Cobalt Strike-Framework verbunden ist. Die Stager wurden dabei nicht in das Dateisystem geschrieben, sondern im Speicher ausgeführt.

Phase 3: Mimikatz und Pass-The-Hash

Unter Ausnutzung der SYSTEM-Berechtigungen erstellten die Angreifer einen neuen Systemadministrator namens „user" und gingen zur Phase des Credential Dump über, in der sie Mimikatz einsetzten. Mittels dessen Modul „logonPasswords" konnten die Passwörter und NTLM-Hashes der am System angemeldeten Konten extrahiert und die Ergebnisse in einer Textdatei auf dem lokalen System gespeichert werden. Sobald die Angreifer über den NTLM-Hash des Administrators verfügten, nutzten sie die Pass-the-Hash-Technik, um hoch privilegierten Zugriff auf andere Ressourcen im Netzwerk zu erhalten.

Phase 4: Suche nach sensitiven Informationen

Als nächstes führten die Angreifer umfangreiche Erkundungsaktivitäten im gesamten Netzwerk durch. Neben der Suche nach Dateien, die „password" im Namen enthalten, wurden auch Netzwerkscanner eingesetzt und die IP-Adressen und Gerätenamen des Netzwerks erfasst, gefolgt von RDPs zu den Backup-Servern und anderen wichtigen Ressourcen.

Stufe 5: Einsatz von Ransomware

Schließlich wurde eine individuelle, in Golang geschriebene Malware-Payload mit dem Namen Windows.exe verteilt und auf verschiedenen Geräten ausgeführt. Hierbei wurden mehrere Operationen durchgeführt, wie das Löschen von Schattenkopien, das Deaktivieren von Sicherheitsprodukten, das Löschen von Windows-Ereignisprotokollen und das Entfernen von Zugriffsrechten. Auf diese Weise wurde ein reibungsloser und weitreichender Verschlüsselungsprozess gewährlistet. Während der Verschlüsselungsphase wurde zudem eine Ransomware-Forderungsnotiz erstellt.


Anzeige

Die Anatomie dieses Angriffs zeigt, dass am Anfang Versäumnisse auf Seiten des Kunden den Angriff ermöglichten, weil die ProxyShell-Schwachstelle in Exchange Server nicht geschlossen wurde.

Unternehmen sollten handeln

Ransomware-Angriffe haben in den letzten Jahren erheblich zugenommen und sind nach wie vor die bevorzugte Methode von finanziell motivierten Cyberkriminellen. Die Auswirkungen eines Angriffs können verheerend sein: Er kann den Ruf eines Unternehmens schädigen, den regulären Betrieb nachhaltig stören und zu einem vorübergehenden, möglicherweise auch dauerhaften Verlust sensibler Daten sowie zu empfindlichen Bußgeldern im Rahmen der DSGVO führen.

Obwohl die Erkennung und Reaktion auf solche Vorfälle eine Herausforderung sein können, lassen sich die meisten böswilligen Aktivitäten verhindern, wenn die richtigen Sicherheitstools und Pläne zur Reaktion auf Vorfälle zur Verfügung stehen sowie Patches für bekannte Schwachstellen eingespielt wurden. Das Forensik-Team von Varonis empfiehlt deshalb die folgenden Maßnahmen:

  • Patchen Sie den Exchange-Server auf die neuesten kumulativen Exchange-Updates (CU) und Sicherheitsupdates (SU), die von Microsoft bereitgestellt werden.
  • Erzwingen Sie die Verwendung komplexer Passwörter und verlangen Sie von den Benutzern, dass sie ihre Passwörter regelmäßig ändern.
  • Verwenden Sie die Microsoft LAPS-Lösung, um den Domänenkonten die lokalen Admin-Berechtigungen zu entziehen (Least-Privilege-Ansatz). Überprüfen Sie regelmäßig, ob inaktive Benutzerkonten vorhanden sind und entfernen Sie diese.
  • Blockieren Sie die Verwendung von SMBv1 und verwenden Sie SMB-Signierung zum Schutz vor Pass-the-Hash-Angriffen.
  • Beschränken Sie die Zugriffsrechte der Mitarbeitenden auf Dateien, die sie für ihre Arbeit tatsächlich benötigen.
  • Erkennen und verhindern Sie automatisch Änderungen der Zugriffskontrolle, die gegen Ihre Richtlinien verstoßen.
  • Schulen Sie Ihre Mitarbeiter in den Grundsätzen der Cybersicherheit. Regelmäßiges Awareness-Training muss fundamentaler Bestandteil der Unternehmenskultur sein.
  • Legen Sie grundlegende Sicherheitspraktiken und Verhaltensregeln fest, die den Umgang mit und den Schutz von Unternehmens- und Kundeninformationen sowie anderen wichtigen Daten beschreiben.

Das sind eigentlich Regeln, die ich hier im Blog in ähnlicher Form bereits thematisiert habe – speziell das Thema patchen in Bezug auf Exchange kam ja häufig genug vor (siehe nachfolgende Links).

Ähnliche Artikel:
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Neues zum Exchange-Hack: Wie schaut es mit dem Risiko aus? (1. April 2021)
Warnung: ProxyShell, Squirrelwaffle und ein PoC-Exploit, patcht endlich eure Exchange-Server
Angriffe auf Exchange Server per ProxyShell-Schwachstelle rollen an (13.8.2021)
Angriffswelle, fast 2.000 Exchange-Server über ProxyShell gehackt
ProxyShell, ProxyLogon und Microsofts Exchange-Doku für Ausnahmen vom Virenschutz
Exchange und ProxyShell: Neues von Microsoft und Sicherheitsspezialisten
Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange für Ransomware-Angriffe
BSI/CERT-Warnung: Kompromittierte Exchange-Server werden für E-Mail-Angriffe missbraucht (Nov. 2021)
Warnung (CERT-Bund, USA, GB) vor Angriffen auf Exchange und Fortinet
ProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Anatomie eines Hive Ransomware-Angriffs auf Exchange per ProxyShell

  1. Daniel sagt:

    Was hältst du davon, dass es bereits Toolkits gibt, die LAPS ausnützen.
    https://github.com/leoloobeek/LAPSToolkit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.