schlemihl
Goto Top

Ryuk Ransomware Warnzeichen

Guten Abend,

nachdem ich hier und hier erfahren habe, wie sich die Ransomware Ryukverhält, musste ich feststellen, dass unser kleines Netzwerk für eine solche Schadsoftware anfällig wäre. Ich bin nur Freizeit-Admin, also entschuldigt bitte, wenn ich "Anfänger-Fragen" stellen sollte.

Ich denke, die erste "Line of Defence" ist, dass Ryuk erst gar keinen Rechner im Netzwerk befallen kann (Virenschutz). Aber lassen wir diesen Schritt mal aus und gehen davon aus, dass trotzdem ein Rechner befallen wurde.

Ich frage mich, ob einer der folgenden verhaltensbasierten Ansätze eine Verbreitung von Ryuk und oder die Verschlüsselung anzeigen könnte:

Verschlüsselung durch Ryuk
Vorgehensweise: Ryuk schickt WOL-Pakete an Rechner im Netzwerk und mountet deren Freigaben. Danach verschlüsselt er die enthaltenen Dateien, wenn Schreibrechte vorliegen.

Gegenmaßnahme: Monitoring von "unbekannten" Wake-On-LAN-Paketen im Netzwerk.
Entdeckt man nicht durch Admin-Tätigkeiten ausgelöste WOL-Pakete im Netzwerk, wäre das ein Hinweis auf eine Schadsoftware. Gibt es eine Software, die, ähnlich einer personal Firewall, dem Admin eine Meldung anzeigt, dass ein WOL-Paket im Netzwerk "vorbei gekommen" ist? Idealerweise kann der Admin dieses WOL-Paket in der Software white-listen (Zielrechner X darf per WOL angesprochen werden). Dann würden sich nach einiger Zeit alle "legalen" WOL-Pakete/Rechner in der White-List befinden. Wenn plötzlich irgendein normaler Client geWake-On-LANt werden soll, ist dies ein deutliches Warnzeichen. Man kann reagieren.

Verbreitung von Ryuk
Vorgehensweise: Ryuk kopiert sich in die oben entdeckten Freigabe und erstellt eine Aufgabe im Aufgabenmanager, um sich auf dem Zielrechner ebenfalls auszuführen.

Gegenmaßnahme: Monitoring der Erstellung von Aufgaben im Aufgabenmanager.
Neue Aufgaben werden von Ryuk durch das Windows-Systemtool "Schtasks.exe" erstellt. Gibt es eine Möglichkeit dem Admin bei der Ausführung der Schtasks.exe eine Meldung zukommen zu lassen? Bei vielen Clients sind das sicher zu viele Meldungen, aber zumindest lokal auf der Admin-Maschine, weiß der Admin in der Regel die Ursache, für die Erstellung einer neuen Task (z.B. bei der Installation eines Updates oder einer neuen Software). Wenn "einfach so" irgendwelche Aufgaben erstellt werden, ist dies ein deutliches Warnzeichen. Man kann reagieren.

Was haltet ihr davon? Kennt ihr Programme, die die beschriebenen Funktionen liefern?

Viele Grüße
André face-smile

Content-ID: 657769

Url: https://administrator.de/contentid/657769

Ausgedruckt am: 25.11.2024 um 19:11 Uhr

maretz
maretz 02.03.2021 um 07:09:12 Uhr
Goto Top
Zum ersten Teil: Wenn du auch so WOL nimmst dann wird es schwer zu erkennen welches Paket "legal" ist und welches nicht -> das wäre nur wenn du weisst das immer nur die Station X (z.B. nen Server) das sendet. Dann könntest du natürlich ne Firewall-Regel erstellen die das loggt. Blocken im Internen Netz eher nicht weil du ja nicht der Empfänger bist und es auch nich geroutet wird. D.h. der Empfänger sieht das Paket zeitgleich mit deiner Firewall...

Die BESTE Maßnahme für sowas sind immer Zugriffsregeln und (funktionierende) Backups. Wenn du so nen Virus hast aber der Benutzer nur an seine Daten kommt -> so what, dann is der Rest des Ladens aber noch arbeitsfähig. Insbesondere Daten die sensibler sind muss ggf. ja nich jeder sehen können (z.B. Buchhaltung, Personal,...). Dann würde ich ggf. noch auf ne gute Firewall setzen die eben bereits den Internet-Verkehr auf sowas überwacht -> wenn man da schon den Müll raushaut (und die grösste Verbreitung sind ja vermutlich auch bei euch Downloads + Mail) dann spart man sich die Arbeit danach schon.

Ansonsten kommt es natürlich auch immer auf die Umgebung an was du genau machen kannst. Wenn du z.B. die Option hast eben auch nen Mischbetrieb Win/Linux/Mac zu fahren -> weil du dann natürlich auf nem Linux-Rechner ggf. was siehst aber der Rechner logischerweise gar nich weiss was der damit anfangen soll. Also würde da der "Virus" rumliegen und der lokale Virenscanner würde ggf. anschlagen ohne das da was passiert.
lcer00
lcer00 02.03.2021 um 07:13:24 Uhr
Goto Top
Hallo,

geh mal einen Schritt zurück. Als Gegenmaßnahme gegen Freigabe-Mounten und Aufgabe-Erstellen sollte man auf eine saubere Rechtevergabe und vor allem auf die strikte Trennung von Administrativen und Benutzertätigkeiten achten. (Tier-Modell, oder noch besser Zero-Trust sind hier die Stichwörter )

Dein Ansatz zu Monitoren erscheint mir nur im Verdachtsfall sinnvoll. Dann kannst Du Wireshark nutzen. Für den Dauergebrauch ist das zu spezifisch. Es gibt ja noch hunderte andere Angriffswege.

Grüße

lcer
NetzwerkDude
Lösung NetzwerkDude 02.03.2021 um 07:45:57 Uhr
Goto Top
Neue TaskScheduler Jobs werdeb mit der ID 4698 geloggt, d.h. da kannst eine Policy ausrollen auf die Rechner das bei neuen Jobs du eine E-Mail bekommst - musst aber gerade am anfang mit viel false positives rechnen.

Die WOLs sind schwierig zu sehen da sie ja im LAN nur an die Ziel MAC gehen, da brauchst ein Gerät bei dem der ganze LAN traffic vorbeigeht - wird schwierig, ggf. musst du da dein Netzwerk umkrempeln, was dann auf Performance geht usw. - Ansonsten, wenn du diesen punkt hast wo jeglicher traffic vorbeikommt, kann man WOLs z.B. mit tcpdump finden, ist aber nicht ganz so trivial, hier ein Ansatz:
https://www.google.com/url?q=https://unix.stackexchange.com/questions/50 ...

Aber wenn man schon mit so spezialmonitoring anfängt, könnte man auch mit siem anfangen und dann dort diese regeln einbauen
Schlemihl
Schlemihl 02.03.2021 um 19:51:05 Uhr
Goto Top
Zitat von @maretz:
"Die BESTE Maßnahme für sowas sind immer Zugriffsregeln und (funktionierende) Backups."
Der User, aus dessen Kontext Ryuk auf die Freigaben zugreift, soll ja Schreibrechte haben. "Zugriffsregeln" und "Rechtevergaben" helfen da leider nicht weiter. Und funktionierende Backups sind ungemein wichtig, aber sie sind IMHO ein Mittel um schnell "Scherben aufzufegen", nicht um eine erpresserische Verschlüsselung zu vermeiden/erkennen.
Schlemihl
Schlemihl 02.03.2021 um 20:51:15 Uhr
Goto Top
Zitat von @NetzwerkDude:
Neue TaskScheduler Jobs werdeb mit der ID 4698 geloggt, d.h. da kannst eine Policy ausrollen auf die Rechner das bei neuen Jobs du eine E-Mail bekommst - musst aber gerade am anfang mit viel false positives rechnen.
Guter Hinweis. Ich habe eben lokal auf einer Win7pro Maschine manuell eine neue Aufgabe erstellt und zeitbasierend ausführen lassen, aber ich finde in den Logs (Windows | Sicherheit) kein einziges Event mit der ID 4698. Protokollierung ist aktiviert und die erlaubte Protokollgröße ist mit 100MB hoffe ich ausreichend um das Event zu fangen. Muss dafür noch etwas eingestellt werden?
lcer00
lcer00 02.03.2021 um 20:57:23 Uhr
Goto Top
Hallo,
Zitat von @Schlemihl:

Guter Hinweis. Ich habe eben lokal auf einer Win7pro Maschine ....

Echt jetzt. Windows 7 - und Du machst Dir Sorgen wegen Ransomware? Dann solltest Du das als erstes mal upgraden.

Grüße

lcer
maretz
Lösung maretz 03.03.2021 um 07:10:37 Uhr
Goto Top
An der Stelle ist das Backup üblicherweise eben nichts "um scherben aufzufegen" -> denn du kannst nur begrenzt was machen:
- Download-Filter
- Execution-Protection
- ....
-> All das hilft aber nur begrenzt und dagegen das du dir was ins Netz holst. WENN aber was da ist - schön wenn du die Erkennung hast ABER das is zu spät. Dann hast du bereits zig Dateien verschlüsselt wenns blöd läuft - und selbst wenns nur der lokale Rechner ist dann wird üblicherweise grad auf dem Rechner die wichtigste Datei gewesen sein (üblicherweise obere Etage die auf alles klickt was bunt ist UND die natürlich keine Filter akzeptieren).

Daher ist ein sauberes Backup hier eben schon die sicherste Version -> warum soll ich für die Entschlüsselung bezahlen wenn ich einfach kurz an den Schrank gehe, das Backup vom morgen wieder einspiele (und während es läuft der entsprechenden Person mal kurz nen Besuch abstatte) und nach nen paar Min sind die wichtigsten Daten wieder da, nach ner Std is alles wie vorher (ggf. ausser nen paar Mails im dümmsten Fall). Alles andere sind da eben nur - um bei deinen Scherben zu bleiben - nen bisserl Luftpolster-Folie um deine Ming-Vase... wenn die aber fällt hast du trotzdem den Haufen...
lcer00
Lösung lcer00 03.03.2021 um 07:21:58 Uhr
Goto Top
Hallo,
Zitat von @maretz:

Daher ist ein sauberes Backup hier eben schon die sicherste Version -> warum soll ich für die Entschlüsselung bezahlen wenn ich einfach kurz an den Schrank gehe, das Backup vom morgen wieder einspiele

Na ja, die bösen Jungs neigen dazu, die Zahlungsforderung mit der Warnung zu verknüpfen, die Daten anderenfalls zu veröffentlichen. Das kann in Zeiten von DSGVO auch ohne geheime Betriebsgeheimnisse zum Problem werden. Also: besser die gar nicht reinlassen.

Grüße

lcer
Schlemihl
Schlemihl 03.03.2021 um 16:23:35 Uhr
Goto Top
Vielen Dank für eure Gedanken und Antworten.

Ryuk greift im Benutzer-Kontext, mit Benutzer-Rechten auf Freigaben zu, auf die der Benutzer richtigerweise Schreibrechte hat. Lösungsvorschläge sind Prävention durch Abschottung und System-Hardening sowie Schadensbegrenzung durch schnelle Wiederherstellbarkeit.

Für die Erkennung von ungewöhnlichen Verhaltensweisenund Unterdrückung dieser, gibt es deutlich weniger Ansätze oder gar Erfahrungen. Für ein kleines Netzwerk ein SIEM als Wächter einzurichten ist wohl mit Kanonen auf Spatzen geschossen.

Ich werde NetzwerkDudes Ansatz vom zentralisierten Netzwerk (incl. tcpdump) und erweiterten Reporting auf den Clients weiter verfolgen. Das Risiko des Ausfalls eines zentralen Knotenpunktes erscheint mir wesentlich geringer als das Risiko "böse Jungs" im Netzwerk zu haben. Performance und Redundanz kann man kaufen.
Dazu kommt noch, dass Ransomware Programme momentan so viel wie möglich verschlüsseln und dadurch unnötig Aufmerksamkeit auf sich ziehen. Die nächsten Generationen werden erstmal beobachten und erfassen, welche Daten häufig im Zugriff sind, welche Maschinen Backups erstellen usw. Dann wird zum Zeitpunkt X nach Prioritäten vorgegangen.

Danke, Thread kann von meiner Seite aus geschlossen werden.