Ryuk Ransomware Warnzeichen

Mitglied: Schlemihl

Schlemihl (Level 1) - Jetzt verbinden

01.03.2021, aktualisiert 23:32 Uhr, 1116 Aufrufe, 9 Kommentare

Guten Abend,

nachdem ich hier und hier erfahren habe, wie sich die Ransomware Ryuk verhält, musste ich feststellen, dass unser kleines Netzwerk für eine solche Schadsoftware anfällig wäre. Ich bin nur Freizeit-Admin, also entschuldigt bitte, wenn ich "Anfänger-Fragen" stellen sollte.

Ich denke, die erste "Line of Defence" ist, dass Ryuk erst gar keinen Rechner im Netzwerk befallen kann (Virenschutz). Aber lassen wir diesen Schritt mal aus und gehen davon aus, dass trotzdem ein Rechner befallen wurde.

Ich frage mich, ob einer der folgenden verhaltensbasierten Ansätze eine Verbreitung von Ryuk und oder die Verschlüsselung anzeigen könnte:

Verschlüsselung durch Ryuk
Vorgehensweise: Ryuk schickt WOL-Pakete an Rechner im Netzwerk und mountet deren Freigaben. Danach verschlüsselt er die enthaltenen Dateien, wenn Schreibrechte vorliegen.

Gegenmaßnahme: Monitoring von "unbekannten" Wake-On-LAN-Paketen im Netzwerk.
Entdeckt man nicht durch Admin-Tätigkeiten ausgelöste WOL-Pakete im Netzwerk, wäre das ein Hinweis auf eine Schadsoftware. Gibt es eine Software, die, ähnlich einer personal Firewall, dem Admin eine Meldung anzeigt, dass ein WOL-Paket im Netzwerk "vorbei gekommen" ist? Idealerweise kann der Admin dieses WOL-Paket in der Software white-listen (Zielrechner X darf per WOL angesprochen werden). Dann würden sich nach einiger Zeit alle "legalen" WOL-Pakete/Rechner in der White-List befinden. Wenn plötzlich irgendein normaler Client geWake-On-LANt werden soll, ist dies ein deutliches Warnzeichen. Man kann reagieren.

Verbreitung von Ryuk
Vorgehensweise: Ryuk kopiert sich in die oben entdeckten Freigabe und erstellt eine Aufgabe im Aufgabenmanager, um sich auf dem Zielrechner ebenfalls auszuführen.

Gegenmaßnahme: Monitoring der Erstellung von Aufgaben im Aufgabenmanager.
Neue Aufgaben werden von Ryuk durch das Windows-Systemtool "Schtasks.exe" erstellt. Gibt es eine Möglichkeit dem Admin bei der Ausführung der Schtasks.exe eine Meldung zukommen zu lassen? Bei vielen Clients sind das sicher zu viele Meldungen, aber zumindest lokal auf der Admin-Maschine, weiß der Admin in der Regel die Ursache, für die Erstellung einer neuen Task (z.B. bei der Installation eines Updates oder einer neuen Software). Wenn "einfach so" irgendwelche Aufgaben erstellt werden, ist dies ein deutliches Warnzeichen. Man kann reagieren.

Was haltet ihr davon? Kennt ihr Programme, die die beschriebenen Funktionen liefern?

Viele Grüße
André :) face-smile
Mitglied: maretz
02.03.2021 um 07:09 Uhr
Zum ersten Teil: Wenn du auch so WOL nimmst dann wird es schwer zu erkennen welches Paket "legal" ist und welches nicht -> das wäre nur wenn du weisst das immer nur die Station X (z.B. nen Server) das sendet. Dann könntest du natürlich ne Firewall-Regel erstellen die das loggt. Blocken im Internen Netz eher nicht weil du ja nicht der Empfänger bist und es auch nich geroutet wird. D.h. der Empfänger sieht das Paket zeitgleich mit deiner Firewall...

Die BESTE Maßnahme für sowas sind immer Zugriffsregeln und (funktionierende) Backups. Wenn du so nen Virus hast aber der Benutzer nur an seine Daten kommt -> so what, dann is der Rest des Ladens aber noch arbeitsfähig. Insbesondere Daten die sensibler sind muss ggf. ja nich jeder sehen können (z.B. Buchhaltung, Personal,...). Dann würde ich ggf. noch auf ne gute Firewall setzen die eben bereits den Internet-Verkehr auf sowas überwacht -> wenn man da schon den Müll raushaut (und die grösste Verbreitung sind ja vermutlich auch bei euch Downloads + Mail) dann spart man sich die Arbeit danach schon.

Ansonsten kommt es natürlich auch immer auf die Umgebung an was du genau machen kannst. Wenn du z.B. die Option hast eben auch nen Mischbetrieb Win/Linux/Mac zu fahren -> weil du dann natürlich auf nem Linux-Rechner ggf. was siehst aber der Rechner logischerweise gar nich weiss was der damit anfangen soll. Also würde da der "Virus" rumliegen und der lokale Virenscanner würde ggf. anschlagen ohne das da was passiert.
Bitte warten ..
Mitglied: lcer00
02.03.2021 um 07:13 Uhr
Hallo,

geh mal einen Schritt zurück. Als Gegenmaßnahme gegen Freigabe-Mounten und Aufgabe-Erstellen sollte man auf eine saubere Rechtevergabe und vor allem auf die strikte Trennung von Administrativen und Benutzertätigkeiten achten. (Tier-Modell, oder noch besser Zero-Trust sind hier die Stichwörter )

Dein Ansatz zu Monitoren erscheint mir nur im Verdachtsfall sinnvoll. Dann kannst Du Wireshark nutzen. Für den Dauergebrauch ist das zu spezifisch. Es gibt ja noch hunderte andere Angriffswege.

Grüße

lcer
Bitte warten ..
Mitglied: NetzwerkDude
LÖSUNG 02.03.2021 um 07:45 Uhr
Neue TaskScheduler Jobs werdeb mit der ID 4698 geloggt, d.h. da kannst eine Policy ausrollen auf die Rechner das bei neuen Jobs du eine E-Mail bekommst - musst aber gerade am anfang mit viel false positives rechnen.

Die WOLs sind schwierig zu sehen da sie ja im LAN nur an die Ziel MAC gehen, da brauchst ein Gerät bei dem der ganze LAN traffic vorbeigeht - wird schwierig, ggf. musst du da dein Netzwerk umkrempeln, was dann auf Performance geht usw. - Ansonsten, wenn du diesen punkt hast wo jeglicher traffic vorbeikommt, kann man WOLs z.B. mit tcpdump finden, ist aber nicht ganz so trivial, hier ein Ansatz:
https://www.google.com/url?q=https://unix.stackexchange.com/questions/50 ...

Aber wenn man schon mit so spezialmonitoring anfängt, könnte man auch mit siem anfangen und dann dort diese regeln einbauen
Bitte warten ..
Mitglied: Schlemihl
02.03.2021 um 19:51 Uhr
Zitat von @maretz:
"Die BESTE Maßnahme für sowas sind immer Zugriffsregeln und (funktionierende) Backups."
Der User, aus dessen Kontext Ryuk auf die Freigaben zugreift, soll ja Schreibrechte haben. "Zugriffsregeln" und "Rechtevergaben" helfen da leider nicht weiter. Und funktionierende Backups sind ungemein wichtig, aber sie sind IMHO ein Mittel um schnell "Scherben aufzufegen", nicht um eine erpresserische Verschlüsselung zu vermeiden/erkennen.
Bitte warten ..
Mitglied: Schlemihl
02.03.2021 um 20:51 Uhr
Zitat von @NetzwerkDude:
Neue TaskScheduler Jobs werdeb mit der ID 4698 geloggt, d.h. da kannst eine Policy ausrollen auf die Rechner das bei neuen Jobs du eine E-Mail bekommst - musst aber gerade am anfang mit viel false positives rechnen.
Guter Hinweis. Ich habe eben lokal auf einer Win7pro Maschine manuell eine neue Aufgabe erstellt und zeitbasierend ausführen lassen, aber ich finde in den Logs (Windows | Sicherheit) kein einziges Event mit der ID 4698. Protokollierung ist aktiviert und die erlaubte Protokollgröße ist mit 100MB hoffe ich ausreichend um das Event zu fangen. Muss dafür noch etwas eingestellt werden?
Bitte warten ..
Mitglied: lcer00
02.03.2021 um 20:57 Uhr
Hallo,
Zitat von @Schlemihl:

Guter Hinweis. Ich habe eben lokal auf einer Win7pro Maschine ....

Echt jetzt. Windows 7 - und Du machst Dir Sorgen wegen Ransomware? Dann solltest Du das als erstes mal upgraden.

Grüße

lcer
Bitte warten ..
Mitglied: maretz
LÖSUNG 03.03.2021 um 07:10 Uhr
An der Stelle ist das Backup üblicherweise eben nichts "um scherben aufzufegen" -> denn du kannst nur begrenzt was machen:
- Download-Filter
- Execution-Protection
- ....
-> All das hilft aber nur begrenzt und dagegen das du dir was ins Netz holst. WENN aber was da ist - schön wenn du die Erkennung hast ABER das is zu spät. Dann hast du bereits zig Dateien verschlüsselt wenns blöd läuft - und selbst wenns nur der lokale Rechner ist dann wird üblicherweise grad auf dem Rechner die wichtigste Datei gewesen sein (üblicherweise obere Etage die auf alles klickt was bunt ist UND die natürlich keine Filter akzeptieren).

Daher ist ein sauberes Backup hier eben schon die sicherste Version -> warum soll ich für die Entschlüsselung bezahlen wenn ich einfach kurz an den Schrank gehe, das Backup vom morgen wieder einspiele (und während es läuft der entsprechenden Person mal kurz nen Besuch abstatte) und nach nen paar Min sind die wichtigsten Daten wieder da, nach ner Std is alles wie vorher (ggf. ausser nen paar Mails im dümmsten Fall). Alles andere sind da eben nur - um bei deinen Scherben zu bleiben - nen bisserl Luftpolster-Folie um deine Ming-Vase... wenn die aber fällt hast du trotzdem den Haufen...
Bitte warten ..
Mitglied: lcer00
LÖSUNG 03.03.2021 um 07:21 Uhr
Hallo,
Zitat von @maretz:

Daher ist ein sauberes Backup hier eben schon die sicherste Version -> warum soll ich für die Entschlüsselung bezahlen wenn ich einfach kurz an den Schrank gehe, das Backup vom morgen wieder einspiele

Na ja, die bösen Jungs neigen dazu, die Zahlungsforderung mit der Warnung zu verknüpfen, die Daten anderenfalls zu veröffentlichen. Das kann in Zeiten von DSGVO auch ohne geheime Betriebsgeheimnisse zum Problem werden. Also: besser die gar nicht reinlassen.

Grüße

lcer
Bitte warten ..
Mitglied: Schlemihl
03.03.2021 um 16:23 Uhr
Vielen Dank für eure Gedanken und Antworten.

Ryuk greift im Benutzer-Kontext, mit Benutzer-Rechten auf Freigaben zu, auf die der Benutzer richtigerweise Schreibrechte hat. Lösungsvorschläge sind Prävention durch Abschottung und System-Hardening sowie Schadensbegrenzung durch schnelle Wiederherstellbarkeit.

Für die Erkennung von ungewöhnlichen Verhaltensweisen und Unterdrückung dieser, gibt es deutlich weniger Ansätze oder gar Erfahrungen. Für ein kleines Netzwerk ein SIEM als Wächter einzurichten ist wohl mit Kanonen auf Spatzen geschossen.

Ich werde NetzwerkDudes Ansatz vom zentralisierten Netzwerk (incl. tcpdump) und erweiterten Reporting auf den Clients weiter verfolgen. Das Risiko des Ausfalls eines zentralen Knotenpunktes erscheint mir wesentlich geringer als das Risiko "böse Jungs" im Netzwerk zu haben. Performance und Redundanz kann man kaufen.
Dazu kommt noch, dass Ransomware Programme momentan so viel wie möglich verschlüsseln und dadurch unnötig Aufmerksamkeit auf sich ziehen. Die nächsten Generationen werden erstmal beobachten und erfassen, welche Daten häufig im Zugriff sind, welche Maschinen Backups erstellen usw. Dann wird zum Zeitpunkt X nach Prioritäten vorgegangen.

Danke, Thread kann von meiner Seite aus geschlossen werden.
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 18 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...