Microsoft Threat Intelligence hat vor einigen Wochen eine neue Gruppe identifiziert und ihr den Namen TERBIUM gegeben. Diese führt Angriffe mithilfe der Depriz Malware gegen mehrere Unternehmen im Mittleren Osten aus. Dabei werden sämtliche Daten von Computern gelöscht und in einigen Fällen lassen sich die Rechner nicht mehr booten.
Destruktive Angriffe wie diese wurden in den letzten Jahren regelmäßig beobachtet. Die Teams von Windows Defender und Windows Defender Advanced Threat Protection Threat Intelligence arbeiten währenddessen an einem Schutz, der Erkennung und der Reaktion auf diese Bedrohungen. Darüber hinaus hat Microsoft Threat Intelligence Gemeinsamkeiten zwischen den TERBIUM-Angriffen und Attacken aus dem Jahr 2012 gegen Unternehmen aus dem Energie-Sektor erkannt. Damals kam die Malware Shamoon unter anderem gegen das Öl- und Gas-Unternehmen Saudi Aramco zum Einsatz.
Welchen Schaden die jüngsten Angriffe von TERBIUM verursacht haben, ist noch nicht bekannt. Kunden die Windows 10 einsetzen, können die Auswirkungen solcher Angriffe durch die neuen Sicherheitsfunktionen unterbinden. Dazu gehört unter anderem die proaktive Sicherheitskomponente Device Guard oder auch der Windows Defender. Letzterer schützt Kunden mithilfe von mehreren Signatur-basierten Entdeckungen.
Mit bietet Windows Defender Advanced Threat Protection (ATP) umfangreiche Möglichkeiten, alle Phasen eines Angriffs zu sehen und zu erkennen. Dadurch ermöglicht der Dienst, schnell auf einen Angriff zu reagieren. Analysen von Microsoft haben ergeben, dass die Komponenten und Techniken, die TERBIUM in dieser Angriffskampagne einsetzt, mehrere Entdeckungs- und Threat-Intelligence-Alarme in ATP auslösen.
TERBIUM: Aufbau des Angriffs
Die Malware von TERBIUM, von Microsoft Depriz genannt, verwendet Microsoft Threat Intelligence zufolge mehrere Komponenten und Techniken, die bereits von Shamoon bei den Angriffen 2012 zum Einsatz kamen. Allerdings hat TERBIUM diese offenbar für jedes Ziel präzise angepasst. Anzeichen, dass TERBIUM eine Zero-Day-Lücke ausgenutzt hat, gebe es bislang nicht.
Schritt 1: Schreiben auf die Festplatte
Auf welche Weise TERBIUM die angegriffenen Computer infiziert, ist nicht bekannt. Es wird vermutet, dass TERBIUM entsprechende Anmeldeinformationen abgegriffen oder die Ziele zuvor infiltriert hat, da passende Anmeldeinformationen direkt im Quellcode von Depriz verwendet wurden. Sobald TERBIUM in ein Unternehmen eindringen konnte, beginnt die Infektion, indem eine ausführbare Datei auf die Festplatte geschrieben wird. Diese Datei enthält sämtliche Komponenten, die zur Ausführung der Datenlöschung benötigt werden. Die Komponenten werden dafür in der ausführbaren Ressource als falsches Bitmap-Bild verschlüsselt.
Die Komponenten des Torjaners sind falsche Bitmap-Bilder.
Folgende Komponente konnte Microsoft Threat Intelligence entschlüsseln:
- PKCS12 –eine destruktive Festplatten-Wipe-Komponente
- PKCS7 – ein Kommunikationsmodul
- X509 – eine 64-bit-Variante des Trojaners
Schritt 2: Ausbreitung und Festsetzen im Zielnetzwerk
Wie bereits beschrieben, nutzt TERBIUM Anmeldeinformationen im Quellcode der Malware, um diese in einem lokalen Netzwerk zu verbreiten. Da die Gruppe über diese Anmeldeinformationen verfügt, ist davon auszugehen, dass die Attacken auf bestimmte Unternehmen gerichtet sind.
Die Malware breitet und setzt sich wie folgt fest:
- Zunächst versucht Depriz, den RemoteRegistry-Dienst auf dem Computer zu starten und sich auf diesen zu kopieren. Zudem nutzt es RegConnectRegistryW, um sich zu verbinden.
- Anschließend versucht es, die UAC-Remote-Einschränkungen zu deaktivieren. Dafür wird der Wert des LocalAccountTokenFilterPolicy Registry Key auf “1” gesetzt.
- Waren die Schritte bis dahin erfolgreich, verbindet sich Depriz mit dem Zielcomputer und kopiert sich selbst als %System%ntssrvr32.exe oder %System%ntssrvr64.exe, bevor ein Remote Service namens “ntssv” oder ein geplanter Task eingerichtet wird.
Schritt 3: Löschen der Maschinen
Im nächsten Schritt installiert der Trojaner die Wiper-Komponente. Dabei ist zu beachten, dass TERBIUM sich zunächst nur im Netzwerk eines Unternehmens festsetzt. Mit dem Löschen beginnt die Malware erst zu einem bestimmten Datum.
Die Wiper-Komponente wird als %System%<random name>.exe installiert. Während der Tests von Microsoft Threat Intelligence wurde der Name “routeman.exe” verwendet. Analyse zeigten aber auch, dass andere Namen verwendet werden können, um Dateinamen von legitimen System-Tools zu imitieren.
Die Wiper-Komponente beinhaltet ebenfalls verschlüsselte Dateien in ihren Ressourcen, die falsche Bitmap-Bilder sind.
Die erste verschlüsselte Ressource ist ein legitimer Treiber mit dem Namen RawDisk und stammt von Eldos Corporation. Dieser erlaubt einer User-Mode-Komponente einen Raw-Disk-Zugriff. Der Treiber wird als %System%driversdrdisk.sys gespeichert und durch die Erstellung eines Service Pointing mithilfe von “sc create” und “sc start” installiert. Das Verhalten kann im Prozessbaum im Windows Defender ATP Portal beobachtet werden.
Benachrichtigung in Windows Defender ATP: Depriz startet einen flüchtigen Dienst, um den RawDisk-Treiber “drdisk” zu laden.
Event-Baum in Windows Defender ATP: Der Depriz-Trojaner hinterlässt die Wiper-Komponente (in dieser Instanz mit dem Namen “routeman”). Dieser hinterlegt den RawDisk-Treiber “drdisk”.
Zwei Dinge sind interessant an RawDisk:
- Es benötigt einen gültigen Lizenzschlüssel von Eldos Corporation, um ausgeführt zu werden. Jedoch ist der Lizenzschlüssel in Depriz der gleiche, der bereits bei den Angriffen 2012 genutzt wurde. Dieser Schlüssel war nur für eine kurze Zeit im Jahr 2012 gültig. TERBIUM umgeht dies, indem es die Systemzeit auf den Zielcomputern auf einen gültigen Zeitraum im Jahr 2012 ändert.
- Es ist der gleiche Treiber der bei den Angriffen 2012 zum Einsatz kam.
Der Depriz-Lizenzschlüssel (der gleiche, der bei den Attacken 2012 zum Einsatz kam) und sein limitierter Gültigkeitszeitraum.
Die Wiper-Komponente nutzt eine Bilddatei, um Dateien an den folgenden Stellen zu überschreiben:
- Master Boot Records (MBR)
- HKLMSystemCurrentControlSetControlSystemBootDevice
- HKLMSystemCurrentControlSetControlFirmwareBootDevice
- C:WindowsSystem32Drivers
- C:WindowsSystem32Configsystemprofile
- Typische Nutzer-Ordner wie “Desktop”, “Downloads”, “Dokumente”, “Bilder”, “Videos” und “Musik”
Microsoft hat außerdem Kenntnis über eine zweite Bedrohung, die eindeutige Wiper-Komponenten verwendet. Diese wurde als Trojan:Win32/Cadlotcorg.A!dha im Windows Defender und als generische Entdeckung mit Defender ATP entdeckt. Microsoft überwacht diese Bedrohung für weitere Informationen.
Schritt 4: Maschinen unbrauchbar machen
Schließlich wird der folgende Befehl verwendet, um das System in einen unbrauchbaren Zustand zu rebooten:
shutdown -r -f -t 2
Wenn der Computer versucht, nach dem Herunterfahren neu zu starten, kann dieser das Betriebssystem nicht mehr finden. Das liegt daran, dass die MBR in Schritt 3 überschrieben wurden. Die Maschinen kann somit nicht mehr korrekt booten.
Mehrere Schutzebenen von Microsoft mindern den Schaden
Windows 10 ist in der Lage vor dieser Bedrohung zu schützen, sie zu erkennen und auf sie zu reagieren. Dafür verfügt das Betriebssystem über proaktive Sicherheitskomponenten wie den Device Guard. Dieser mindert den Schaden der Bedrohung, indem es die Ausführung auf vertrauenswürdige Anwendungen und Kernel-Treiber beschränkt.
Zusätzlich erkennt und beseitigt Windows Defender alle Komponenten in Endpunkten wie Trojan:Win32/Depriz.A!dha, Trojan:Win32/Depriz.B!dha, Trojan:Win32/Depriz.C!dha und Trojan:Win32/Depriz.D!dha.
Windows Defender Advanced Threat Protection (ATP) bietet eine zusätzliche Sicherheitsebene für Windows 10 Enterprise-Nutzer. Mit Threat-Intelligence-Indikatoren, generischen Entdeckungen und Machine-Learning-Modellen stellt Windows Defender ATP umfangreiche Möglichkeiten für die Sichtbarkeit und Entdeckung von allen Phasen einer Bedrohungen wie TERBIUM zur Verfügung.
Anhang – Gefahrindikatoren
Folgende SHA1 hat Microsoft Threat Intelligence in Bezug auf TERBIUM entdeckt:
SHA1-Hashes für bösartige Dateien:
- 5c52253b0a2741c4c2e3f1f9a2f82114a254c8d6
- e7c7f41babdb279c099526ece03ede9076edca4e
- a2669df6f7615d317f610f731b6a2129fbed4203
- 425f02028dcc4e89a07d2892fef9346dac6c140a
- ad6744c7ea5fee854261efa403ca06b68761e290
SHA1-Hashes für legitime RawDisk-Treiber:
- 1292c7dd60214d96a71e7705e519006b9de7968f
- ce549714a11bd43b52be709581c6e144957136ec
Signaturnamen für bösartige Dateien: