Windows Defender ATP: Ransomware-Epidemien in Unternehmensnetzwerken verhindern


defenderMicrosoft-Sicherheitsforscher beobachten kontinuierlich weltweite Ransomware-Kampagnen, die wahllos Ziele treffen. Wenig überraschend ist es, dass diese Kampagnen immer noch E-Mails und das Web als primären Angriffsmechanismus verwenden. Außerdem sieht es so aus, dass viele Unternehmen nur zum Opfer werden, weil sie zufällig in das weitgespannte Netz von Ransomware-Betreibern geraten. Im Gegensatz zu Cyber-Spionagegruppen setzen Ransomware-Betreiber keine typischen Spezialtaktiken ein, um gezielt Unternehmen anzugreifen.

Obwohl willkürliche Ransomware-Angriffe ähnlich wie koordinierte Malware-Infektionen funktionieren, rechtfertigen die erheblichen Kosten durch eine breite Ransomware-Attacke die Überlegungen einer Defense-in-Depth-Strategie mit mehreren Ebenen. Diese decken Schutz, Erkennung und Reaktion ab. Wenn Angriffe die Post-Breach- oder Post-Infection-Ebene erreichen – wenn also Endpunkt-Anti-Malware-Lösungen versagen, eine Ransomware-Infektion zu stoppen –, können Unternehmen von Post-Breach-Erkennungslösungen profitieren, die umfängliche Artefaktinformationen liefern und eine schnelle Pivot-Untersuchung mithilfe dieser Artefakte ermöglichen.

Die Untersuchung von häufig vorkommenden Ransomware-Familien hat gezeigt, dass die Kampagnen zur Verbreitung sich über Tage oder Wochen ziehen können. Währenddessen werden immer wieder ähnliche Dateien und Techniken verwendet. Solange Unternehmen schnell die ersten Infektionsfälle oder den “Patient null” untersuchen können, sind sie in der Lage, Ransomware-Epidemien wirksam zu stoppen. Um diese ersten Fälle schnell zu identifizieren und zu untersuchen, steht Unternehmen Windows Defender Advanced Threat Protection (Windows Defender ATP) zur Seite.

In diesem Beitrag erhalten Sie einen Einblick in eine echte Cerber-Ransomware-Infektion, die einen Unternehmens-Endpunkt während einer Kampagne Ende November 2016 betroffen hat. Dabei wird dargelegt, wie Windows Defender ATP – in Abwesenheit einer Endpunkt-Anti-Malware-Erkennung – die erste Infektionsaktivität kennzeichnen und nachfolgende Infektionen von anderen Geräten stoppen kann.

Verhalten von Cerber-Ransomware erkennen

Die Cerber-Ransomware gehört zu einer der häufigsten Ransomware-Familien, von denen Unternehmen betroffen sind (Bild 1). Während der Weihnachtsfeiertage 2016 kam Cerber verstärkt zum Einsatz. Dies haben Microsoft-Forscher Ende 2016 feststellen können. Die Mitglieder dieser weitverbreiteten Ransomware-Familie ähneln sich nicht nur untereinander, sondern verfügen über Verhaltensweisen, die für alle Malware-Familien typisch sind. Wenn diese Verhaltensweisen erkannt werden, können auch neue Bedrohungen gestoppt werden.

1-ransomwareBild 1: Ransomware-Angriffe auf Unternehmens-Endpunkte.

Realer Cerber-Angriff trifft auf Windows Defender ATP

Die Infektion im November 2016 durch Cerber-Ransomware begann mit einem Dokument, dass in den Download-Ordner über einen Webmail-Client heruntergeladen wurde. Ein Nutzer hat das Dokument geöffnet und ein eingebundenes Makro gestartet. Dieses hat anschließend einen PowerShell-Befehl gestartet, der Komponenten mit dem Ransomware-Payload heruntergeladen hat. Wie in Bild 2 zu erkennen ist, wurde der PowerShell-Befehl von Windows Defender ATP erkannt.

2-processBild 2: Entdeckung des PowerShell-Befehls.

Windows Defender ATP hat außerdem eine Benachrichtigung erstellt, als das PowerShell-Skript sich über einen öffentlichen Proxy mit einer Website verbunden hat, die durch TOR anonymisiert wurde. Das Skript sollte eine ausführbare Datei herunterladen. Security-Operations-Center-Personal (SOC-Personal) kann diese Benachrichtigungen verwenden, um die Quell-IP zu erhalten und diese IP-Adresse in der Firewall zu blockieren. Damit kann verhindert werden, dass andere Maschinen die ausführbare Datei herunterladen können. In diesem Fall beinhaltete die Datei den Ransomware-Payload.

3-torBild 3: Die Benachrichtigung über die Verbindung mit der TOR-Website zeigt die Quell-IP-Adresse.

Nach dem der Payload in das Temp-Verzeichnis geladen wurde, wurde er durch einen Parent-cmd.exe-Prozess ausgeführt. Der Payload erstellt im Benutzer-Ordner eine Kopie von sich selbst und startet diese anschließend. Machine-Learning-Algorithmen in Windows Defender ATP waren in der Lage, dieses Selbststart-Verhalten zu erkennen.

4-copyBild 4: Die Ransomware startet eine Kopie von sich selbst und wird dabei von Windows Defender ATP entdeckt.

Bevor die Cerber-Ransomware Dateien verschlüsselte, versuchte sie künftige Versuche der Datenwiederherstellung zu verhindern, indem sie Systemwiederherstellungspunkte und sämtliche Volumenschattenkopien löschte. Diese werden von der Windows-Systemwiederherstellung und Windows Backup and Restore bei der Wiederherstellung verwendet. Dieses feindliche Verhalten hat Windows Defender ATP ebenfalls entdeckt.

5-delBild 5: Löschung von Volumenschattenkopien.

Breite und Tiefe von Benachrichtigungen ermöglichen einfache Einschätzung und Eindämmung

Windows Defender ATP hat bei der Cerber-Attacke im November 2016 mindestens vier Benachrichtigungen während des Infektionsprozesses erstellt. Damit hat die Lösung breitangelegte Entdeckungsinformationen zur Verfügung gestellt, um eine Berichterstattung über sich ändernde Techniken zwischen Cerber-Version, Beispielen und Infektionsinstanzen sicherzustellen. Microsoft-Sicherheitsforscher haben unterschiedliche Ransomware-Familien untersucht, um die Mechanismen hinter diesen Benachrichtigungen zu erstellen. Dabei haben sie auch übliche Verhaltensmuster identifiziert. Ihre Forschung unterstützen Machine-Learning-Modelle und Verhaltenserkennungs-Algorithmen, die Ransomware in unterschiedlichen Phasen des Angriffs bis hin zu dem Punkt erkennen kann, an dem Opfer Lösegeld zahlen.

6-alertBild 6: Benachrichtigungen, die anderen Angriffsphasen entsprechen.

Jede Benachrichtigung bietet zusätzlichen Kontext zur Attacke. SOC-Personal kann diese Kontextinformationen nutzen, um eine Untersuchung zu beginnen und Einblicke von Endpunkten im Unternehmen zu erhalten. Mithilfe der bereitgestellten Datei und den Netzwerkaktivitätsinformationen können Untersuchungen, die in der Konsole von Windows Defender ATP angestoßen wurden, beweiskräftige Spuren liefern. Dies funktioniert auch, wenn kein tatsächlicher Ransomware Payload ausgeführt wurde.

Um diesen Cerber-Fall zu untersuchen, haben die Microsoft-Forscher den Namen der Payload-Datei – hjtudhb67.exe – verwendet. Dieser ist ungewöhnlich genug, dass er nicht von legitimen ausführbaren Dateien genutzt wird. Eine kurze Suche in der Windows-Defender-ATP-Konsole hat 23 andere Dateien mit dem gleichen Namen hervorgebracht. Diese Dateien wurden verdächtigerweise in einem Zeitraum von rund 10 Tagen erstellt und über die Endpunkte im Unternehmen verteilt. (Dabei ist zu beachten, dass obwohl die meisten dieser Dateien Artefakte der tatsächlichen Infektion sind, einige von ihnen wahrscheinlich Überbleibsel von Tests durch das SOC-Personal sind.)

7-instanceBild 7: Instanzen von Dateien mit dem gleichen ungewöhnlichen Namen, der auch von der Ransomware verwendet wurde.

Anschließend haben sich die Forscher mit der Quell-IP befasst, die die Payload-Datei gehostet hat. Bei einer Suche kam heraus, dass sich 10 Maschinen mit dieser IP-Adresse verbunden haben. Eine Blockade dieser Quell-IP am ersten Tag der Infektion über die Unternehmens-Firewall hätte dabei helfen können, zu verhindern, dass die Cerber-Ransomware-Payload-Datei andere Maschinen infizieren konnte.

Fazit: Defense-in-depth mit Windows Defender ATP

In diesem Beitrag konnten Sie sehen, wie Windows Defender ATP dem Unternehmens-SOC-Personal einen Blick auf die Events und das Verhalten der Ransomware-Infektion ermöglicht hat – von der Zeit der ersten Infektion bis zum Installationsprozess. SOC-Personal ist mit der Lösung in der Lage, zu verstehen, wie Ransomware einen Endpunkt erreicht hat, und können mit ihr das Ausmaß des Schadens einschätzen sowie Artefakte identifizieren. Diese können verwendet werden, um weiteren Schaden zu verhindern. Ermöglicht wird dies durch Cloud-Analysen, die regelmäßig nach feindlichen Aktivitäten suchen und diese kennzeichnen – inklusive Hinweise, die durch andere Schutzebenen übersehen werden können.

Mit dem Windows 10 Creators Update wird Windows Defender ATP Verbesserungen erhalten, die unter anderem eine Netzwerkisolation von kompromittierten Maschinen ermöglichen. Das Update wird zusätzlich eine Option enthalten, um Dateien unter Quarantäne zu stellen und zu verhindern, dass Dateien ausgeführt werden.

Windows Defender ATP ist in den Kern von Windows 10 Enterprise integriert und kann ohne zusätzliche Kosten getestet werden.

Windows-10-Sicherheits-Feature gegen Cerber-Ransomware

Windows 10 wurde mit Sicherheitstechnologien entwickelt, die dabei helfen können, die neueste Variante der Cerber-Ransomware zu erkennen.

  • Windows Defender ist in der Lage, Cerber-Ransomware als Win32/Cerber zu erkennen. Es spürt auch Dateien auf, die bei der Verteilung der Payload-Datei über E-Mails und Exploit Kits helfen. Boshafte E-Mail-Anhänge werden als TrojanDownloader:O97M/Donoff und RIG Exploit Kits als Exploit:HTML/Meadgive erkannt.
  • Für die Sicherheit im Web hilft Microsoft Edge dabei, Exploit Kits daran zu hindern, Ransomware auszuführen. Zudem blockiert SmartScreen Filter mithilfe von URL Reputation den Zugang zu schädlichen Seiten. Dazu gehören beispielsweise Seiten die Exploit Kits hosten.
  • Device Guard schützt Systeme vor schädlichen Anwendungen wie Ransomware, indem es einen anpassbaren Katalog von vertrauenswürdigen Anwendungen pflegt und Malware auf Kernel-Ebene mit Sicherheit auf Virtualisierungsebene stoppt.
  • AppLocker-Gruppenrichtlinien verhindern das Ausführen von fragwürdiger Software.

Office- und Office-365-Sicherheits-Feature gegen Cerber-Ransomware

Office 365 Advanced Threat Protection blockiert E-Mails, die schädliche Dokumente verteilen und möglicherweise Cerber installieren könnten. IT-Administratoren können mit Office 365 Advanced Threat Protection das Ausführen von schädlichen Makros in Dokumenten sowie das Öffnen von Dokumenten in den Passwort-geschützten Anhängen verhindern, die für gewöhnlich in Cerber-Kampagnen genutzt werden.

Comments (0)

Skip to main content