Thought Leadership
Guardicore hat einen neuartigen Angriff auf ein mittelständisches Unternehmen im Medizintechniksektor aufgedeckt und unterbunden. Die Krypto-Miner-Attacke erfolgte über eine gut versteckte Malware, die per WAV-Audiodatei ins Firmennetzwerk eingeschleust wurde. Ziel der Infektion waren Windows-7-Systeme, die per EternalBlue-Exploit angegriffen wurden.
Erste Hinweise auf die Sicherheitsverletzung im betroffenen Unternehmensnetz traten am 14. Oktober 2019 in Form von BSOD-Fehlermeldungen (Blue Screens of Death) auf mehreren Windows-Rechnern auf. Als Hinweis auf einen Kernel-Mode-Fehler sind die blau eingefärbten Hinweise an und für sich unverdächtig, aber eine genauere Analyse durch die Visibilitätswerkzeuge der Sicherheitsplattform Guardicore Centra brachte beunruhigende Erkenntnisse. Einer der Rechner führte demnach eine lange Befehlszeile aus und änderte Daten in der Windows-Registrierungsdatenbank (Registry Key HKLM\Software\Microsoft\Windows\CurrentVersion\Shell) zu. Ein kompletter Netzwerk-Scan zeigte, dass über 800 Endpunkte — mehr als die Hälfte des gesamten Netzwerks — ungewöhnliche Aktivitäten zeigten.
Nach Dekodierung der Datenkommunikation spürte Guardicore Labs ein lesbares Powershell-Script auf, das die IT-Systemarchitektur durchsuchte und den oben benannten Registrierungsschlüssel auslas. Nach Speicherung über die Windows-API-Funktion „WriteProcessMemory“ wurde der Malware-Code ausgeführt. Die unbekannten Angreifer führten dabei einen vollständigen Subnet-Scan auf Port 445 durch, um die Schadsoftware unter Ausnutzung des EternalBlue-Exploits auf weiteren Hosts im infizierten Netzwerk zu installieren.
Empfehlungen von Guardicore Labs
- Log-Dateien: Zur sicheren Verwahrung von Logdateien sollten Unternehmen die Protokollierungen der Windows- und Linux-Rechner an zentrale, gehärtete Server weiterleiten. Von Microsoft gibt es dafür entsprechende Anleitungen — auch Palantir bietet entsprechende Beispiele und Hilfsprogramme.
- System-Crash-Dateien: Empfehlenswert ist eine Systemkonfiguration zur vollständigen Speicherung von Crash-Dump-Dateien für die weitere Analyse von Angriffen und Prozessfehlern. Microsoft bietet auch hier Unterstützung, wie diese Konfigurationseinstellungen vorzunehmen sind.
- Finger weg! Der erste Impuls dürfte sein, die infizierten Rechnern komplett zu säubern. Für eine umfassende Beobachtung and Analyse ist indes eine Isolierung und Entschärfung der Hackeraktivitäten die bessere Wahl. In Verdachtsfällen nehmen Sie am besten Kontakt mit Sicherheitsprofis auf, bevor Sie eigene Maßnahmen ergreifen.
Weitere Informationen:
Im folgenden Blogbeitrag deckt Guardicore Labs den Mechanismus des Mining-Software-Angriffs detailliert auf: https://www.guardicore.com/2020/01/threats-making-wavs-incident-reponse-cryptomining-attack/
