Ransomware-Angriffe haben in den letzten Jahren die Schlagzeilen beherrscht, da die Angreifer immer mehr Ziele ins Visier nehmen, von Schulbezirken bis hin zu kritischen Infrastrukturnetzen. Laut dem Verizon Data Breach Investigations Report machte Ransomware 25 % aller Sicherheitsverletzungen im Jahr 2022 aus, und Anfang 2022 meldete die CISA, dass sie Ransomware-Vorfälle in 14 der 16 kritischen Infrastruktursektoren beobachtet hat.
Die Fähigkeit von kommerziellen und staatlichen Organisationen, diese Art von ruchlosen Aktivitäten auf Hosts zu erkennen , bevor bösartige Akteure aktiv werden, ist von größter Bedeutung. Bei der proaktiven Erkennung von Ransomware oder anderen potenziellen kriminellen Aktivitäten geht es jedoch um mehr als nur darum, etwas zu finden, das verdächtig erscheint - es geht darum, mit hinreichender Sicherheit feststellen zu können, dass das, was gefunden wurde, tatsächlich schändlich ist. Und genau hier kommt die Erstellung von Bedrohungsprofilen ins Spiel. Eine wirksame Erstellung von Bedrohungsprofilen erfordert Antworten, die sowohl kritisch verstanden werden als auch umsetzbar sind. Denn auch wenn eine Aktivität ungewöhnlich aussieht, bedeutet dies nicht zwangsläufig, dass ein Verbrechen begangen wird.
Deshalb muss die Erstellung von Profilen potenzieller Bedrohungen auf konkreten Beobachtungen beruhen, die durch genaue Daten gestützt werden.
Unsere Threat-Profiling-Expedition zu russischer Ransomware
Hier bei Censys haben wir vor kurzem eine eigene Expedition zur Erstellung von Bedrohungsprofilen unternommen und dabei das Censys Search Tool, das auf unserem führenden Internet-Datensatz basiert. Der Zugriff auf diese Daten, die einen umfassenden Überblick über das Internet bieten und ständig aktualisiert werden, ermöglichte es uns nicht nur, verdächtige Aktivitäten zu identifizieren, sondern auch mit hinreichender Sicherheit festzustellen, dass sie tatsächlich ruchlos waren.
Als Ergebnis unserer Bedrohungsprofilerstellung konnten wir feststellen, dass mehrere Hosts in den USA nicht nur Anzeichen für russische Ransomware aufwiesen, sondern auch für kriminelle Aktivitäten bestimmt waren. In relativ kurzer Zeit kamen wir zu bedeutenden Erkenntnissen, die wir mit beobachtbaren Daten untermauern konnten.
Auf der Grundlage dieser und ähnlicher Profiling-Expeditionen haben wir Muster - oder Spielzüge, wenn Sie so wollen - identifiziert, die Threat Profiler, die nach jeder Art von schändlicher Aktivität suchen, mit einem Tool wie Censys Search ausführen können. Wir haben diese Vorgehensweisen in unserem neuen Threat Profiler's Playbook zusammengestellt: 6 Steps to Uncovering Ransomware (and Other Nefarious Activity), das Sie hier kostenlos herunterladen können.
Lassen Sie uns über die ersten drei Stücke sprechen.
1. Die Wahl des richtigen Search Filters
Wo wollen Sie anfangen, proaktiv nach Bedrohungen zu suchen, um ein Profil zu erstellen? Das ist die erste Frage, die Sie sich stellen müssen, wenn Sie mit einem Internet-Datensatz beginnen. Bei unserer Ransomware-Expedition wussten wir, dass wir mit dem Standort beginnen wollten - speziell mit Russland. Sie können Ihre Suche jedoch auch nach anderen Attributen wie Betriebssystem, Host-DNS oder Software eingrenzen. Mit dem Tool Censys Search können Sie nach einer Vielzahl von Attributen filtern (siehe unten).
HOST-INFORMATIONEN
SERVICE-INFORMATIONEN
HOST DNS
STANDORT DES GASTGEBERS
HOST-BETRIEBSSYSTEM
AUTONOMES WIRTSSYSTEM
TLS
SOFTWARE
PROTOKOLLE
MISC
Bei der Suche nach [location.country=`russia`] auf search.censys.io sahen wir, dass es über 4,7 Millionen Hosts in diesem Land gab.
2. Folgende ungewöhnliche Host-Attribute
4,7 Millionen Hosts zu durchsuchen, um Beweise für verdächtige Aktivitäten zu finden, wäre wie die Suche nach einer Nadel im Heuhaufen. Deshalb haben wir als nächstes die Funktion "Berichte" in Censys Search verwendet, um eine zweite Ebene von Host-Attributen zu untersuchen. In unserem Fall waren wir der Meinung, dass ein Bericht, der auf bestimmten Softwaretypen basiert, von denen wir wussten, dass sie in den falschen Händen für schändliche Zwecke verwendet werden können - insbesondere das Pentest-Tool Metasploit - uns helfen würde, potenzielle Bedrohungen zu erkennen. Wir fanden heraus, dass 10 der 4,7 Millionen Hosts Metasploit enthielten.
Metasploit an sich ist keineswegs ein entscheidender Beweis. Es ist im Wesentlichen die Softwareversion eines Dietrichsets und sein Vorhandensein bedeutet nicht unbedingt, dass ein Schloss geknackt wurde. Da das Forschungsteam jedoch das Vorhandensein von Metasploit auf diesen 10 Hosts feststellte, war es in der Lage, den Spieß umzudrehen und Hosts mit diesem Tool zu untersuchen, da anscheinend eine größere Gruppe von Bedrohungsakteuren Open-Source-Penetrationstest-Tools wie Metasploit verwendet.
Wir untersuchten die Daten dieser Hosts weiter, insbesondere ihre TLS- und Protokolldaten, und entdeckten, dass zwei der Hosts auch ein Deimos C2-Tool enthielten. Deimos C2 ist ein Command-and-Control-Tool, das Pen-Testern die Arbeit erleichtert, indem es ihnen ermöglicht, Befehle an kompromittierte Hosts zu automatisieren. Das Vorhandensein von C2-Tools könnte darauf hindeuten, dass ein Host andere Hosts kontrollieren kann oder kontrolliert, oder dass der Host selbst von einem "Befehlshost" kontrolliert wird.
Wir nahmen dies als Zeichen, weiter zu graben.
3. Eine Reise in die Vergangenheit mit historischen Perspektiven
Die aktuellen Attribute eines Hosts zu kennen, ist eine Sache, aber einen Blick zurück zu werfen, wie sich dieser Host im Laufe der Zeit entwickelt hat, kann neue Erkenntnisse bringen, die die Richtung einer Untersuchung ändern. Historische Datenansichten können es Bedrohungsprofilern ermöglichen, Verbindungen herzustellen, die zuvor unbemerkt geblieben wären.
Mithilfe unserer Daten konnten wir das Deimos C2-Tool mit JARM identifizieren und einen Host in Ohio ("Host D") mit Deimos C2 ausfindig machen. Mithilfe der Verlaufsfunktion von Censyskonnten wir die Zeit zurückdrehen und die Datei pss.exe auf dem Host entdecken, die mit der Karma Ransomware-Gruppe in Verbindung gebracht wird.
Nachdem wir die historischen Daten von Censysgenutzt hatten, um ausführbare Ransomware-Dateien auf dem "Host D" in Ohio zu finden, untersuchte Censys den ursprünglichen russischen "Host A" auf weitere Anzeichen für schändliche Aktivitäten. Da die auf Censys Search zugänglichen Daten etwa zwei Jahre zurückreichen, konnten wir einen Blick in die Vergangenheit auf unseren Hauptverdächtigen werfen: "Host A".
Eine Verlaufsansicht kann bei der Durchführung Ihrer eigenen Suche nützlich sein, insbesondere wenn Sie einen verdächtigen Host entdeckt haben und mit dem aktuellen Datenstand nicht weiterkommen, wenn Sie den Host zum Zeitpunkt eines Vorfalls beobachten wollen oder wenn Sie Änderungen in der Haltung des Hosts sehen wollen, um Anomalien oder Versuche, Indikatoren für schändliche Aktivitäten zu verbergen, zu erkennen.
In unserem Fall hätten wir die Ransomware nie entdeckt, wenn wir nicht die historische Ansicht von "Host A" aufgerufen hätten.
Weitere Informationen zu allen sechs Schritten und wie wir noch mehr Beweise für russische Ransomware gesammelt haben, finden Sie im The Threat Profiler's Playbook.
Ebook holen
