Manchmal erfordern Sicherheitsvorfälle ein schnelles Handeln, auch wenn sich herausstellt, dass es sich um falsch-positive Alarme handelt. In einem aktuellen Vorfall wurde unsere Leitstelle mit den Alarmen „NotPetya Ransomware Activity“ und „Koadic Execution“ konfrontiert. Doch was sich als Fehlalarm herausstellte, war dennoch ein kritischer Vorfall, der uns zu einer schnellen und effektiven Reaktion zwang.
An einem Donnerstag um 16:41 Uhr erhielten wir die beiden Sicherheitsalarme „NotPetya Ransomware Activity“ und „Koadic Execution“. Schnell reagierten wir und informierten unseren Kunden über den Vorfall und empfahlen den Server offline zu nehmen, da eine große Menge an Daten in kürzeste Zeit gelöscht wurde. Schnell stellte sich heraus, dass eine übergeordnete Befehlszeile den Alarm ausgelöst hatte: „forfiles -s -m . -d -180 -c „cmd /c del /q @path““. Ein geplanter Vorgang hatte diese Befehlszeile ausgeführt, jedoch aufgrund der Nichtverfügbarkeit des Laufwerks M: auf den aktuellen Pfad (C:) zugegriffen und begonnen, die darin enthaltenen Dateien zu löschen. Dank der schnellen Reaktion konnten wir verhindern, dass sämtliche Daten auf dem Server gelöscht wurden.
Nach einer umfassenden Untersuchung wurde deutlich, dass der Vorfall nicht auf bösartige Ransomware zurückzuführen war, sondern auf eine unbeabsichtigte Ausführung eines geplanten Vorgangs. Der Server wurde im Nachgang aus einem Snapshot wiederhergestellt und ist nun wieder online.
Der beschriebene Vorfall zeigt, dass auch Fehlalarme sofortige Aufmerksamkeit erfordern. Nachfolgend möchten wir näher auf die beiden Fehlalarme „NotPetya Ransomware Activity“ und „Koadic Execution“ eingehen und Ihnen aufzeigen, in welchem Fall solche Angriffe tatsächlich vorliegen.
NotPetya Ransomware
Für eine tatsächliche NotPetya-Ransomware-Infektion müssten bestimmte Verhaltensmuster und Merkmale auftreten. Typischerweise infiltriert die NotPetya-Ransomware ein System durch Ausnutzung von Schwachstellen, wie zum Beispiel die EternalBlue-Schwachstelle, die auch bei der WannaCry-Ransomware verwendet wurde. Es könnte eine bösartige Datei oder ein Exploit-Code verwendet werden, um den initialen Zugriff auf das System zu erhalten.
Einmal im System, würde sich die NotPetya-Ransomware horizontal über das Netzwerk verbreiten, um andere verwundbare Systeme zu infizieren. Sie verschlüsselt die Dateien auf den infizierten Systemen und zeigt dann eine Lösegeldforderung an, in der die Zahlung von Bitcoins gefordert wird, um die verschlüsselten Daten wiederherzustellen.
Koadic-Infektion
Bei einer faktischen Koadic-Infektion, müssten einige Schritte ausgeführt werden. Zunächst würde ein Angreifer versuchen, eine Schwachstelle im Zielsystem auszunutzen, um eine Remote-Code-Ausführung zu ermöglichen. Dies könnte durch den Einsatz von Social Engineering-Techniken, Phishing-E-Mails oder eine andere Methoden erfolgen, um den Benutzer dazu zu bringen, bösartigen Code auszuführen.
Sobald der Angreifer eine Remote-Code-Ausführung erreicht hat, könnte er Koadic als ein Werkzeug einsetzen, um den Zugriff auf das System zu erhalten und weitergehende Aktionen durchzuführen. Koadic ermöglicht es dem Angreifer, Befehle auszuführen, Dateien hochzuladen oder herunterzuladen und das System zu manipulieren. Der Angreifer könnte auch versuchen, sich horizontal im Netzwerk zu bewegen, um auf andere Systeme zuzugreifen.
Fazit
Insgesamt sind sowohl bei einer NotPetya-Ransomware-Infektion als auch bei einer Koadic-Infektion spezifische Schritte erforderlich, um Zugriff auf das System zu erhalten und schadhafte Aktivitäten durchzuführen. Es bedarf eines Angriffsvektors, der Schwachstellen ausnutzt, sowie eines ausführbaren bösartigen Codes, um die jeweilige Malware zu initiieren. Im beschriebenen Szenario wurden jedoch keine solch spezifischen Schritte unternommen, daher handelte es sich weder um eine NotPetya-Ransomware noch um eine Koadic-Infektion.