Mit dem Windows-Defender haben die kriminellen Akteure hinter „LockBit“ derzeit einen häufig ausnutzbaren Angriffsvektor im Visier, ist dieser Virenschutz doch standardmäßig auf modernen Windows-Rechnern vorinstalliert. Ein Kommentar von Andy Norton, European Cyber Risk Officer bei Armis.
Sicherheitsforscher von Sentinelone haben hierzu kürzlich die Ergebnisse einer Analyse zur Schadsoftware „LockBit 3.0“ veröffentlicht. Es handelt sich bei der Ransomware Lockbit 3.0 um eine neuere Version einer weit verbreiteten Ransomware-as-a-Service (RaaS)-Familie, deren Ursprung bei „BlackMatter“ und ähnlicher Malware liegt.
Dem Forschungsbericht zufolge nutzten die Hacker für ihren Angriff das Windows-Defender-Befehlszeilentool zum Entschlüsseln und Laden von Cobalt-Strike-Nutzdaten. Sobald der erste Zugriff erfolgt war, führten die Akteure eine Reihe von Enumerationsbefehlen aus und versuchten, mehrere Post-Exploitation-Tools auszuführen, darunter Meterpreter, Powershell-Empire und eine neue Methode, um nebenbei Cobalt-Strike zu laden.
Die für die Sicherheitslücke verwendeten Tools sind zwar neu, jedoch sind der anschließende Verlauf und die Verhaltensänderungen nach wie vor eindeutige Indikatoren für eine schadhafte Infektion. Aus diesem Grund ist eine tiefgreifende Verteidigung wichtig. Die Frameworks für Cyber-Risiken sehen viele verschiedene Anforderungen vor, die umgesetzt werden müssen.
Es gebe über das Geräteverhalten eindeutige Hinweise auf eine Infektion. Zum einen ist bekannt, dass das Kontaktieren von Raw-IP-Adressen schadhaftes Verhalten darstellt. Zum anderen fällt es auf, wenn sich ein Asset anders verhält als sonst und wenn sich dieses Verhalten von dem anderer Assets unterscheidet.
Mit dem Wissen darüber, wie sich bestimmte Geräte normalerweise verhalten, ist es möglich, das veränderte Verhalten eines Geräts mit der Norm zu vergleichen. Dadurch kann nicht nur das veränderte Verhalten des Geräts mit sich selbst, sondern auch im Vergleich mit dem anderer Geräte abgeglichen werden. Wenn das Verhalten des Geräts anschließend als verdächtig eingestuft wird, dann können Unternehmen die nötigen Schritte unternehmen, um das vom Gerät ausgehende Risiko einzudämmen.
#Armis
