Top 10 Ransomware-Maßnahmen (Detektion)

Ransomware Killchain

Killchain-Kette eines Ransomware-Angriffs — Quelle: Bundesamt für Sicherheit in der Informationstechnik

Bei der unten dargestellten Liste handelt es sich um beispielhafte Techniken von Angreifern, die im Kontext von Ransomware-Kampagnen häufig beobachtet werden. Jeder Punkt enthält beispielhafte Empfehlungen zur Detektion. Die Reihenfolge der Punkte ist zufällig und stellt keine Priorisierung dar. Angreifer ändern häufig Taktiken und Techniken. Aktuelle und detaillierte Informationen inklusive Detektionshinweisen sind in der Wissensbasis von MITRE ATT&CK veröffentlicht.

Maßnahmen zur Detektion von Ransomware-Angriffen

1. Monitoring von RDP

RDP-Zugänge werden häufig von Angreifern benutzt, um initialen Zugriff auf das Ziel zu erhalten. RDP Authentifizierungsereignisse sollten daher auf verdächtige Kombinationen verschiedener Parameter wie IP-Adresse, IP-Standort, Nutzer SID und Computername analysiert werden. Im Windows-Umfeld können erfolgreiche RDP-Logins über die Event ID 4624 (Logon-Type 10) überwacht werden. Fehlgeschlagene RDP-Logins können anhand der Event ID 4625 (Logon-Type 10) erkannt werden und zur Verhinderung von Brute-Force Angriffen eingesetzt werden. Hier ist zu beachten, dass nicht nur RDP-Verbindungen von extern nach intern, sondern auch Verbindungen innerhalb des Netzwerks auf Auffälligkeiten überprüft werden (Lateral Movement).

Wirkung in Phase: 1

2. Unübliche Nutzung von Kommandozeileninterpretern

Nach Erlangung eines initialen Zugriffs auf Computersysteme werden häufig Kommandozeileninterpreter, insbesondere Powershell, zum Nachladen oder Ausführen von Schadcode verwendet. Ausführung von Befehlen über Kommandozeileninterpreter sollten daher auf Unregelmäßigkeiten untersucht werden. Änderungen an der Konfiguration dieser Programme sollten ebenfalls überwacht werden. In Bezug auf PowerShell sollten zum Beispiel Änderungen an der Execution Policy (Befehl "Set-ExecutionPolicy") untersucht werden.

Wirkung in Phase: 1, 2, 3, 4 und 5

3. Auslesen von Anmeldedaten

Das Auslesen von Anmeldedaten wird von Angreifern insbesondere für die laterale Ausbreitung im Netzwerk verwendet. Hierbei verwenden Angreifer häufig Tools wie z.B. "Mimikatz", "Procdump" oder nutzen bereits auf dem System befindliche Bordmittel wie z.B. die Windows-Library "Comcvsc.dll". Im Rahmen dieser Aktivitäten wird beispielsweise ein Dump des Local Security Authority Subsystem Service (LSASS) erstellt und ausgelesen, um Passwörter lokaler Nutzer zu erhalten. Ein anderer Weg, den Angreifer nutzen, um an Zugangsdaten zu gelangen, ist der direkte Zugriff auf die Datenbank Security Accounts Manager (SAM), in der die Passwörter der Nutzer abgelegt sind. Ein solcher Zugriff erfolgt beispielsweise über das Windows-Bordmittel "reg". Darüber hinaus sind die sog. LSA Secrets ein typisches Ziel von Angreifern. Hier werden neben lokalen Zugangsdaten auch Credentials von diversen Arten von Services (z.B. Browser, Datenbanken, etc.) hinterlegt, sodass sich diese besonders für die weitere Ausbreitung im Netzwerk eignen. LSA Secrets werden in der Windows Registry in "HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets" gespeichert. Grundsätzlich sollten Alarme generiert werden sobald typische Kommandozeilen in Verbindung mit den genannten Tools oder unter den beschriebenen Umständen beobachtet werden. Bei der Verwendung eines EDR-Produkts kann üblicherweise auf mitgelieferte Regeln des Herstellers zurückgegriffen werden.

Wirkung in Phase: 2 und 3

4. Anlegen von Scheduled Tasks

Angreifer erstellen neue Scheduled Tasks (geplante Aufgaben) um sich dauerhaft auf einem kompromittierten System einzunisten. Da diese Technik zu einer der beliebtesten Methoden zur Erlangung von Persistenz gehört, sollte das Erstellen von neuen Scheduled Tasks genau überwacht und analysiert werden. Unter Windows sollten die Pfade "%systemroot%\System32\Tasks" und "%systemroot%\Tasks" in das Monitoring aufgenommen werden. Im Kontext von Scheduled Tasks sind insbesondere die folgenden Windows Event IDs relevant: 4698 (Anlegen von Scheduled Task), 4700 (Aktivierung von Scheduled Task) und 4701 (Deaktivierung von Scheduled Task).

Wirkung in Phase: 1

5. Auskundschaften des Netzwerks

Nachdem ein Angreifer Zugriff auf ein Computersystem erlangt hat, wird üblicherweise versucht Informationen über das Netzwerk und die dort vorhandenen Ressourcen zu erheben. Zentrale Verzeichnisdienste wie z.B. Active Directory (AD) stehen besonders im Fokus des Angreifers. Für die Detektion solcher Aktivitäten sollten Kommandozeileninterpreter auf die Ausführung gängiger Tools überwacht werden. Von Angreifern verwendete Tools zum Auskundschaften des Netzwerks sind z. B. "ADFind", "ADRecon", "Bloodhound" oder "net". Die Tools kundschaften insbesondere Group Policy Einstellungen des AD aus. Für die Detektion solcher Aktivitäten sollte der LDAP-Traffic auf Unregelmäßigkeiten überprüft werden. Als Grundlage für ein umfassendes Monitoring des Active Directorys gibt es die Möglichkeit erweiterte Überwachungsrichtlinien für verschiedene Bereiche (z.B. Zugriffe auf den Verzeichnisdienst, Kontenverwaltung, etc.) zu definieren. Die hierbei erhobenen Logdaten sollten regelmäßig ausgewertet werden.

Wirkung in Phase: 3

6. Verschlüsselte C&C-Kommunikation via HTTPS

Für die Kommunikation mit Command-and-Control (C&C) Servern verwenden Angreifer häufig HTTPS. Die Grundlage für eine systematische Detektion stellt in diesem Fall ein HTTPS-Proxy dar. Für die Detektion von C&C-Traffic sollten insbesondere Informationen über bekannte C&C-Server berücksichtigt werden. Solche Informationen können insbesondere von Projekten wie Feodotracker, Threatfox und URLHaus bezogen werden. Darüber hinaus sollten ungewöhnliche Netzwerkverbindungen (z.B. regelmäßige Kontaktaufnahmen zu einem unbekannten Host) überwacht werden.

Wirkung in Phase: 2 und 3

7. Exfiltration

Abgesehen von der Datenverschlüsselung, findet im Rahmen von Ransomware-Kampagnen auch häufig eine Ausleitung von Daten statt. Für eine effiziente Exfiltration werden durch die Angreifer typischerweise Datei-Archive erstellt. Daher sollten entsprechende Dateierstellungs-Ereignisse überwacht werden, vor allem in ungewöhnlichen Dateipfaden. Als Grundlage für die Erhebung solcher Ereignisse empfiehlt sich das Tool "sysmon" unter Nutzung der Sysmon Event ID 11. Mit dem Tool können insbesondere Regeln für gängige Dateitypen im Kontext von Verschlüsselung bzw. Archivierung erstellt werden.

Wirkung in Phase: 4

8. Überwachung von Dateizugriffen

Im Zuge eines Ransomware-Angriffs greifen Angreifer auf Dateien des infizierten Systems zu, insbesondere um diese zu verschlüsseln. Mithilfe von sog. Canary Files können solche Dateizugriffe schnell und zuverlässig erkannt werden. Da Canary Dateien allein für die Detektion von Angriffen vorgesehen sind und legitime Nutzer üblicherweise nicht auf die Dateien zugreifen, ist jede Änderung oder jeder Zugriff auf eine solche Datei ein starkes Indiz für einen laufenden Angriff. Die Canary Files sollten an kritischen Stellen der jeweiligen Infrastruktur vorhanden sein (insbesondere Backup-Verzeichnisse, Netzlaufwerke) und systematisch auf Zugriffe überwacht werden.

Wirkung in Phase: 4 und 5

9. Löschung von Backups

Auf infizierten Endsystemen werden häufig lokale Backups gelöscht, womit der Angreifer die Wiederherstellung von Daten unterbinden möchte. Im Windows-Umfeld betrifft dies insbesondere die sog. Shadow Copies, welche mithilfe des Prozesses "vssadmin.exe" administriert werden können. Verhalten im Kontext des Prozesses vssadmin.exe sollte daher überwacht werden. Abgesehen von "vssadmin" werden von Angreifern Tools wie "wbadmin" und "bcdedit" zur Deaktivierung von Backup-Funktionalität verwendet. Das Logging von erstellten Prozessen kann entweder über die Windows Event ID 4688 oder die Sysmon Event ID 1 erfolgen.

Wirkung in Phase: 5

10. Modifizierung von Endpoint Security Software

Um einer Detektion durch Endpoint Security Software zu entkommen werden im Rahmen von Ransomware-Kampagnen häufig Security Tools auf den Endgeräten modifiziert oder deaktiviert. Die Modifizierung bzw. Deaktivierung wird insbesondere über Kommandozeileninterpreter realisiert. Im Windows-Umfeld ist häufig der Windows-Defender Ziel der Angreifer. Änderungen an dessen Konfiguration werden typischerweise über den Powershell-Befehl "Set-MpPreference" vorgenommen. Darüber hinaus können sich Änderungen an der Konfiguration in der Registry bemerkbar machen (HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender).

Wirkung in Phase: 1, 2, 3, 4 und 5