ALPS blog

YourCyanide : CMD-basiert mit Verschleierungsstrategie

Originalbeitrag von Ieriz Nicolle Gonzalez, Nathaniel Morales, Monte de Jesus, Threat Analysts

Unser Threat Hunting Team analysierte kürzlich CMD-basierte Ransomware-Varianten mit Fähigkeiten, wie z. B. für den Diebstahl von Benutzerdaten oder die Umgehung von Remote-Desktop-Verbindungen sowie solche für die Verbreitung über Mail und physische Laufwerke. YourCyanide ist die neueste Variante der Familie, die mit GonnaCope begann. Es ist eine ausgeklügelte Ransomware, die PasteBin-, Discord- und Microsoft-Dokument-Links als Teil ihrer Download-Routine für die Payload integriert. YourCyanide enthält mehrere Verschleierungsebenen und nutzt benutzerdefinierte Umgebungsvariablen und die Funktion Enable Delayed Expansion, um seine Aktivitäten zu verbergen. Als Teil seiner Umgehungsstrategie geht die Malware auch verschiedene Dateien durch und lädt bei jedem Schritt die nachfolgenden Dateien über Discord und Pastebin herunter, bevor sie schliesslich die Haupt-Payload herunterlädt.

Die Ransomware befindet sich derzeit noch in der Entwicklung, sodass einige Teile der Routine – wie der eigentliche Verschlüsselungsteil – noch nicht abgeschlossen sind (YourCyanide benennt derzeit die Dateien in bestimmten Verzeichnissen um, verschlüsselt aber nichts). Das früheste Beispiel dieser Ransomware, bekannt als GonnaCope, (von Twitter-Nutzer Petrovic im April 2022 entdeckt) besass die Fähigkeit, die Dateien des Opfers zu überschreiben – allerdings war dies auf das aktuelle Verzeichnis beschränkt, in dem die Ransomware ausgeführt wurde.

Bei der Überprüfung der neuesten Variante stellten wir fest, dass der Malware-Autor Nachrichten an alle Benutzer im kompromittierten Netzwerk schickte, um sie über die Infiltrierung zu informieren. Gleichzeitig erging eine weitere Nachricht, in der es hiess, dass „Kekware und Kekpop erst der Anfang waren“ – ein Hinweis darauf, dass der Autor eine ausgefeiltere Variante vorbereitet.

Bild 1. Die Infektionsroutine von YourCyanide

Einzelheiten zum Ablauf und den einzelnen Routinen und lateralen Bewegungen sowie einen Vergleich der Varianten beinhaltet der Originalbeitrag. Auch wenn derzeit keine Verschlüsselung erfolgt, so werden die Benutzer durch die Umbenennung ihrer Dateien dennoch stark beeinträchtigt – insbesondere diejenigen, die grosse Mengen an Dateien in diesen speziellen Ordnern haben. Da sich die Malware noch in der Entwicklung befindet, ist es ausserdem wahrscheinlich, dass die Malware-Autoren den Verschlüsselungsteil der Routine noch fertigstellen.

Fazit

Die ständige Verwendung stark verschleierter Skripts führt dazu, dass es kaum Erkennungen für diese CMD-basierte Ransomware gibt, wodurch es einfacher wird, die Rechner ihrer Opfer zu kompromittieren. Die Technik ist zwar nicht neu, aber die Verwendung von mehrschichtigen benutzerdefinierten Umgebungsvariablen zur Verschleierung ist sehr effektiv, um eine Entdeckung zu vermeiden. Diese Ransomware-Varianten sind auch in der Lage, mehrere Payloads herunterzuladen, sich über E-Mails lateral zu bewegen und Links zu Discord, Pastebin und sogar Microsoft-Dokumenten zu verwenden.

Bild 2. Niedrige Erkennungszahlen für CMD-basierte Ransomware

Aus unserer Analyse können wir erkennen, dass der Autor die von Malware-Forschern erstellten Berichte aktiv überwacht, indem er die in ihren Sandbox-Protokollen und Berichten gefundenen Benutzernamen sieht und sie in die Umgehungsliste von Benutzernamen und Maschinen aufnimmt, die Teil des Initialisierungsprozesses der verwendeten Malware ist.

Ransomware-Varianten mit vielen Funktionen werden immer beliebter. YourCyanide und seine anderen Varianten sind zwar derzeit nicht so wirkungsvoll wie andere Familien, stellen aber eine interessante Aktualisierung der Ransomware-Kits dar, indem sie einen Wurm, eine Ransomware und einen Informationsdiebstahl in einem einzigen Ransomware-Framework bündeln.

Ein mehrschichtiger Sicherheitsansatz kann Unternehmen dabei helfen, die möglichen Eintrittspunkte in das System (Endpunkt, E-Mail, Web und Netzwerk) zu schützen. Sicherheitslösungen, die bösartige Komponenten und verdächtiges Verhalten erkennen, können Unternehmen schützen.

Facebook
Twitter
LinkedIn

Ähnliche News

Wie Sie die Kronjuwelen schützen

Von Richard Werner, Business Consultant bei Trend Micro Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene Sicherheit nach…

Mehr >