Unsere Sicherheitsanalysten haben kürzlich über eine neu ausgelöste Regel namens „Trickbot Malware Recon Activity“ eine spezielle Aktivität der Trickbot-Malware erkannt. Trickbot bezeichnet im Allgemeinen eine bösartige Software, die sich auf das Ausspähen von Netzwerken und Angriffe auf Banken spezialisiert hat. Dabei nutzt sie verschiedene Techniken, um sich in ein Netzwerk einzuschleusen und Informationen zu sammeln. Bei der identifizierten spezifischen Aktivität der Trickbot-Malware wird das Tool „nltest.exe“ verwendet, um eine Liste von Domänencontrollern und Domänenvertrauensstellungen abzurufen. Die Aktivität wird alle paar Minuten automatisch ausgeführt und ist selten in einem Unternehmensnetzwerk zu beobachten.
Trickbots frühzeitig erkennen
In dem genannten aktuellen Fall konnten wir das Ausführen der Kommandozeile „nltest /domain_trusts /all_trusts“ durch einen Benutzer beobachten – ein Verhalten, das häufig von Trickbot ausgenutzt wird. Wir baten unseren Kunden daher, die Auffälligkeit zu überprüfen und uns mitzuteilen, ob die Nutzung der „Microsoft® Logon Server Test Utility“ autorisiert stattgefunden hat.
Für die Sicherheit des Unternehmensnetzwerkes ist es unerlässlich, solche Aktivitäten frühzeitig zu erkennen und entsprechende Schritte einzuleiten. Wir empfehlen unseren Kunden daher, die Netzwerksicherheit regelmäßig zu prüfen und sich bei Fragen oder Unklarheiten an unser SOC-Team zu wenden.
Unsere Handlungsempfehlungen:
- Überprüfung des betroffenen Hosts: Überprüfen Sie den betroffenen Host in solchen Fällen immer auf Anzeichen weiterer Malware-Infektionen oder unbekannter Aktivitäten. Hilfreich sind dabei ein vollständiger Virenscan sowie eine Überprüfung der laufenden Prozesse auf verdächtige Aktivitäten.
- Überprüfung der Nutzeraktivitäten: Prüfen Sie, ob die Ausführung der „Microsoft® Logon Server Test Utility“ auf dem Host autorisiert war. Sollte dies nicht der Fall sein, empfehlen wir, das betroffene Passwort zu ändern und ausschließlich starke und einzigartige Passwörter zu verwenden.
- Aktualisierung von Sicherheitsmaßnahmen: Prüfen Sie, ob auf allen betroffenen Systemen die neuesten Sicherheitsupdates und Patches installiert sind. Verwenden Sie außerdem eine starke Firewall und ein aktuelles Antivirus-Programm.
- Schulung von Mitarbeitern: Klären Sie Ihre Mitarbeiter regelmäßig und umfassend über die Bedrohung von Malware auf und erläutern Sie den Umgang mit verdächtigen E-Mails oder unbekannten Links.