{"id":921,"date":"2022-01-12T15:32:25","date_gmt":"2022-01-12T13:32:25","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=921"},"modified":"2022-01-12T16:09:07","modified_gmt":"2022-01-12T14:09:07","slug":"ransomware-leak-de","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/ransomware-leak-de\/","title":{"rendered":"Ransomware-Angreifer leakten m\u00f6glicherweise fr\u00fchere Opfer"},"content":{"rendered":"\n

K\u00fcrzlich wurden wir damit beauftragt, einen Ransomware-Angriff zu untersuchen. Wir konnten den wahrscheinlichen Angriffsvektor rekonstruieren und die wahrscheinlich gestohlenen Daten identifizieren. Was diesen Fall besonders interessant machte, war der Mechanismus zum Exfiltrieren von Daten. Dieser leakte m\u00f6glicherweise die Namen anderer Organisationen, die zuvor von dieser Gruppe angegriffen wurden. <\/strong><\/p>\n\n\n\n

Nachdem wir zu dem Fall gerufen wurden, ergab die erste Einsch\u00e4tzung der Situation, dass zum Gl\u00fcck einige der Offsite-Backups der Organisation nicht verschl\u00fcsselt wurden. Diese Daten gaben uns die M\u00f6glichkeit, Logdaten und andere Daten zu untersuchen, die vor der Verschl\u00fcsselung vorhanden waren.<\/p>\n\n\n\n

Angriffsvektor<\/h1>\n\n\n\n

Durch eine Analyse der externen Infrastruktur wurde eine kritische (bekannte) Schwachstelle (CVE-2018-13379) [1] in der Fortinet Firewall (FortiOS SSL VPN) identifiziert. Diese Directory-Traversal-Schwachstelle erm\u00f6glicht es einem nicht authentifizierten Angreifer, \u00fcber speziell gestaltete HTTP-Requests auf Systemdateien zuzugreifen. Die Schwachstelle kann leicht ausgenutzt werden, um aktive VPN-Benutzernamen und die dazugeh\u00f6rigen Passw\u00f6rter auszulesen.<\/p>\n\n\n\n

Folgende URL wurde aufgerufen, um die Schwachstelle zu \u00fcberpr\u00fcfen:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

VPN-Benutzernamen und entsprechende Passw\u00f6rter waren in der heruntergeladenen Datei enthalten:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Die Schwachstelle wurde Ende Mai 2019 bekannt. Im Laufe der Zeit haben Angreifer VPN-Zugangsdaten (Links und Sitzungsdaten) in verschiedenen Foren ver\u00f6ffentlicht.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Das letzte Leak war im September 2021, als SSL-VPN-Zugangsinformationen zu 87.000 FortiGate SSL-VPN-Ger\u00e4ten ver\u00f6ffentlicht wurden [2]. Diese Informationen wurden wahrscheinlich von verschiedenen Angreifern<\/span> <\/span>verwendet, um Unternehmen zu infiltrieren, Daten zu exfiltrieren und Ransomware zu verteilen.<\/p>\n\n\n\n

Nach weiterer Analyse stellte sich heraus, dass ein exponierter VPN-Benutzer (Domain Admin) verwendet wurde, um eine VPN-Verbindung aufzubauen und den Kunden zu infiltrieren. Dies war m\u00f6glich, da zu diesem Zeitpunkt kein zweiter Faktor (2FA) f\u00fcr eine VPN-Anmeldung erforderlich war. Logdaten zeigten, dass f\u00fcr den Zugriff auf die Infrastruktur ein Ger\u00e4t mit dem Namen \u201emimikatz\u201c (wie das bekannte Tool zum Dumping von Credentials) verwendet wurde.<\/p>\n\n\n\n

Exfiltration der Daten<\/h1>\n\n\n\n

Der Angreifer installierte den Dropbox-Client auf dem Dom\u00e4nencontroller (DC), um Daten aus einer Netzwerkfreigabe zu exfiltrieren. Das exfiltrierte Archiv wurde nicht gel\u00f6scht und konnte aus einem Backup des noch nicht verschl\u00fcsselten DC wiederhergestellt werden. Daher war es m\u00f6glich, die betroffenen Daten zu identifizieren.<\/p>\n\n\n\n

Dabei hat der Angreifer ungewollt den Inhalt des genutzten Dropbox-Accounts preisgegeben, der Ordner mit Namen anderer Unternehmen enthielt. Dies deutet darauf hin, dass auch Daten von diesen Unternehmen gestohlen wurden (eine andere M\u00f6glichkeit besteht nat\u00fcrlich darin, dass der Angreifer uns trollte, indem er absichtlich gef\u00e4lschte Hinweise hinterlie\u00df). Auf den Inhalt dieser Ordner konnte jedoch nicht zugegriffen werden, da die Daten auf dem System nicht f\u00fcr die Synchronisierung konfiguriert waren.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Diese Informationen wurden an CERT AT weitergegeben.<\/p>\n\n\n\n

Verschl\u00fcsselung<\/h1>\n\n\n\n

Nach dem Exfiltrieren der Daten wurde der Prozess der Verschl\u00fcsselung mehrerer Serversysteme gestartet. Die eingesetzte Ransomware wird als \u201eMakop\u201c bezeichnet. Auf kompromittierten und verschl\u00fcsselten Systemen wurde folgender Ransomware-Hinweis gefunden:<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Eine detaillierte Analyse der Ransomware-Malware wurde w\u00e4hrend dieser Untersuchung nicht durchgef\u00fchrt.<\/p>\n\n\n\n

Fazit<\/h1>\n\n\n\n

Wie auch dieser Fall zeigt, ist es von entscheidender Bedeutung, alle Softwarekomponenten zu aktualisieren, sobald Sicherheitspatches verf\u00fcgbar sind. Es sollte ein ganzheitlicher Patch-Management-Prozess etabliert werden, der Betriebssysteme, Anwendungen, Softwarebibliotheken, Netzwerkger\u00e4te und alle anderen Assets umfasst, die Software verwenden. Da sie die prim\u00e4re Schnittstelle zur Welt sind, sind vom Internet erreichbare Anwendungen von besonderer Bedeutung. Eine weitere Erkenntnis ist, dass die Multifaktor-Authentifizierung f\u00fcr Anwendungen mit Internetzugriff unerl\u00e4sslich ist, nicht nur um klassische Phishing-Angriffe zu verhindern.<\/p>\n\n\n\n

\n
\n
\n

Referenzen:<\/p>\n\n\n\n

[1] https:\/\/www.fortiguard.com\/psirt\/FG-IR-18-384<\/a>
[2] https:\/\/www.fortinet.com\/blog\/psirt-blogs\/malicious-actor-discloses-fortigate-ssl-vpn-credentials<\/a> <\/p>\n<\/div><\/div>\n<\/div><\/div>\n<\/div><\/div>\n\n\n\n

<\/div><\/div>\n","protected":false},"excerpt":{"rendered":"

K\u00fcrzlich wurden wir damit beauftragt, einen Ransomware-Angriff zu untersuchen. Wir konnten den wahrscheinlichen Angriffsvektor rekonstruieren und die wahrscheinlich gestohlenen Daten identifizieren. Was diesen Fall besonders interessant machte, war der Mechanismus zum Exfiltrieren von Daten. Dieser leakte m\u00f6glicherweise die Namen anderer Organisationen, die zuvor von dieser Gruppe angegriffen wurden. Nachdem wir zu dem Fall gerufen wurden, […]<\/p>\n","protected":false},"author":7,"featured_media":902,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[63,191],"tags":[193,194,88,195],"class_list":["post-921","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technische-analyse","category-vorfallsbehandlung","tag-cve-2018-13379","tag-fortinet","tag-incident-response","tag-ransomware"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/921","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=921"}],"version-history":[{"count":10,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/921\/revisions"}],"predecessor-version":[{"id":974,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/921\/revisions\/974"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/902"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=921"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=921"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=921"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}