von Bhabesh Raj, Associate Security Analytics Engineer
Die Ransomware Conti, die weithin als Nachfolger der berüchtigten Ryuk-Ransomware von Wizard Spider gilt, wurde erstmals im Mai 2020 entdeckt. Conti wird über das RaaS-Modell verbreitet. Somit ist sie leichter zugänglich und auch wirksamer als Ryuk. Im ersten Quartal 2021 meldete Coveware, dass Conti den zweithöchsten Marktanteil in der Ransomware-Szene erreicht hat.
Conti ist dafür bekannt, frühere Opfer erneut anzugreifen, von denen die meisten in Nordamerika und Westeuropa sitzen. Es ist anzunehmen, dass die Lösegeldsummen auf die Opfer zugeschnitten sind – mit Forderungen von bis zu 25 Millionen US-Dollar. Nach Angaben von Sentinel One Watchtower stand Conti im Juli 2021 hinsichtlich der Menge an gestohlenen Daten an erster Stelle der Ransomware-Gruppierungen.
Grim Spider, eine Zelle des russischen Bedrohungsakteurs Wizard Spider, nutzt Ryuk seit dem Jahr 2018. Conti wird als logische Weiterentwicklung von Ryuk angesehen, nachdem die Betreiber das bewährte RaaS-Modell und damit die Möglichkeiten für Bedrohungen im großen Maßstab in Conti integriert haben.
Am 14. Mai 2021 warnte das National Cyber Security Centre (NCSC), dass die Ransomware Conti das System des Gesundheitsdienstes Health Service Executive (HSE) schwer beeinträchtigt hatte. Dies wirkte sich unmittelbar auf mehrere Services aus und erforderte die Abschaltung eines Großteils der Systeme in deren Netzwerk. Die NCSC geht davon aus, dass die Angriffe Teil derselben Kampagne sind, die auf den gesamten irischen Gesundheitssektor abzielte. Am 20. Mai 2021 veröffentlichte das FBI eine entsprechende Warnung, der zufolge im vergangenen Jahr mindestens 16 Conti-Ransomware-Angriffe auf Netzwerke des US-Gesundheitswesens und der Rettungsdienste, einschließlich der Strafverfolgungsbehörden und der ärztlichen Notfalldienste, aufgedeckt wurden. Das FBI gab außerdem an, dass die 290 Netzwerke des Gesundheitswesens und der Rettungsdienste in den USA, zu den mehr als 400 Organisationen weltweit gehören, die Opfer von Conti geworden sind. Zuletzt hat DarkTracer beobachtet, dass Everest und Conti weiterhin französische Unternehmen ins Visier nehmen.
Am 03. September 2021 veröffentlichte Sophos die Ergebnisse einer Untersuchung, in der festgestellt wurde, dass Conti-Nutzer den ProxyShell-Exploit in Exchange-Servern nutzen, um Web-Shells einzusetzen. Der Angriff gelang innerhalb weniger Minuten und die Angreifer konnten innerhalb von 48 Stunden nach dem ersten Zugriff rund 1 TB an Daten exfiltrieren. Dies ist ein exzellentes Beispiel dafür, wie Bedrohungsakteure mit Ransomware-Varianten das Unvermögen von Administratoren nutzen, kritische Schwachstellen in geschäftskritischen Anwendungen wie Exchange zeitnah zu schließen, und Ransomware-Attacken schnell und unmittelbar ausführen.
Derzeit nutzen Ransomware-Akteure häufig legitime Software in ihrer Kill-Chain, um die Verbreitung der Ransomware zu beschleunigen. Eine aktuelle Entwicklung beschreibt der AdvIntel-Bericht: Conti nutzt die Agents der Atera-Software für das Remote Monitoring and Management (RMM) als Hintertür, um eine Erkennung möglicher Cobalt Strike-Angriffe mit einer EDR-Lösung zu umgehen.
Conti wird – ebenso wie andere Ransomware-Stämme – häufig von IceID, TrickBot, Buer, BazarBackdoor, etc. verbreitet. Am 01. August 2021 beschrieb der DFIR-Report, wie ein Bedrohungsakteur TrickBot über BazarCall installierte, und daraufhin Cobalt Strike und Conti einsetzte.
Conti nutzt einige Taktiken, Techniken und Prozeduren (TTPs), die andere Ransomware-Stämme wie Egregor ebenfalls einsetzen. Hierzu zählen beispielsweise RDP, RClone, Cobalt Strike, ADFind, PsExec, etc. Der genaue Ransomware-Stamm, den der Angreifer nutzt, kann nach der Erkennung des Angriffs identifiziert werden – im Rahmen umfassender Reaktionsmaßnahmen auf den sicherheitsrelevanten Vorfall.
LogPoint-Kunden können das Ransomware Analytics-Package nutzen, das Analysen für verschiedene Ransomware-Stämme umfasst.
Conti im Kurzüberblick
- Conti gilt als Nachfolger von Ryuk.
- Der Ransomware-Bericht von Coveware für das erste Quartal 2021 listet Conti mit dem zweithöchsten Marktanteil auf.
- Conti wird in der Regel über IceID, TrickBot, Buer und BazarBackdoor
So erkennen Sie Conti mit LogPoint
Administratoren können die ProxyShell-Exploit-Versuche erkennen, wenn sie sich die Web-Server-Logdaten des Exchange-Servers ansehen.
((url="*/autodiscover.json*" url IN ["*/powershell*", "*/mapi/nspi*", "*/EWS*", "*X-Rps-CAT*"])
OR url IN ["*autodiscover.json?@*", "*autodiscover.json%3f@*", "*%
[email protected]*", "*Email=autodiscover/autodiscover.json*", "*[email protected]*"])
Administratoren können erfolglose Versuche herausfiltern, indem sie den Status-Code-Filter hinzufügen.
(url="*/autodiscover.json*" url IN ["*/powershell*", "*/mapi/nspi*", "*/EWS*", "*X-Rps-CAT*"]status_code IN [200, 301])
Nachdem die Conti-Akteure die Exchange-Schwachstellen ausgenutzt haben, setzen sie mehrere Web-Shells ein, die Sie mithilfe der Events zur Dateierstellung in Sysmon erkennen können.
norm_id=WindowsSysmon event_id=11
file="*.aspx" path IN ["C:\inetpub\wwwroot\aspnet_client*", "*\FrontEnd\HttpProxy\owa\auth*"]
Da IceID nach wie vor der häufigste Infektionsvektor für Conti ist, müssen Sie auf verdächtige Prozesse, die von Office-Produkten generiert werden, achten. Diese könnten auf die Ausführung schadhafter Makros hinweisen.
Norm_id=WinServer label=”Process” label=Create
parent_process IN [“*\winword.exe”, “*\excel.exe”, “*\powerpnt.exe”]“process” IN [“*\cmd.exe”, “*\powershell.exe”, “*\wscript.exe”, “*\jscript.exe”, “*\wmiprvse.exe”]
IceID kann auch direkt von Regsvr32 (T1218.010) ausgeführt werden – von verdächtigen Pfaden wie dem Temp-Verzeichnis aus.
Norm_id=WinServer label=”Process” label=Create
“process”=”*\regsvr32.exe”
command IN [“*\AppData\Local\Temp\*”, “*\AppData\Roaming\Temp\*”]
Conti nutzt die üblichen Befehle wie whoami, ipconfig, etc. zur Erkundung, die sich leicht in den Events zur Prozesserzeugung erkennen lassen.
norm_id=WinServer label="Process" label=Create
"process" IN ["*\whoami.exe", "*\nltest.exe", "*\net1.exe", "*\ipconfig.exe", "*\systeminfo.exe"]| chart count() as cnt, distinct_list(image) as images by host, user
| search cnt > 3
Die Nutzung von WMI zur Remote-Ausführung von Prozessen (T1047) ist mittlerweile schon ein Markenzeichen der Ransomware-Betreiber. Die Erkennung dieser Aktivität ist entscheidend für die Erkennung eines generischen Ransomware-Stamms.
norm_id=WinServer label="Process" label=Create command="*wmic* /node:* process call create *"
Um die Domain-Zugangsdaten zu sammeln, setzt Conti das legitime Dienstprogramm ntdsutil (T1003.003) ein und kann so eine Kopie der Active Directory-Domain-Datenbank erstellen.
norm_id=WinServer label="Process" label=Create
command="*ntdsutil*ac * ntds*ifm*"
Da Cobalt Strike inzwischen von vielen Ransomware-Varianten – darunter auch Conti – verwendet wird, lesen Sie bitte auch unseren Blogbeitrag „So erkennen Sie verdeckte Cobalt Strike-Aktivitäten in Ihrem Unternehmen“.
Um die Persistenz zu gewährleisten, erstellt Conti einen neuen Benutzer (T1136.001) und fügt diesen der lokalen Administratoren-Gruppe hinzu. Dies können Sie sehr einfach in den Events zur Prozesserstellung erkennen.
norm_id=WinServer label="Process" label=Create
command IN ["*net* user /add *", "*net* localgroup administrators */add*"]
Es ist bekannt, dass Conti Microsoft Defender (T1562.001) vor der Bereitstellung von Cobalt Strike deaktiviert. Dies lässt sich anhand der Logdaten des Defender-Event-Channels leicht feststellen.
norm_id=WinServer event_source="Microsoft-Windows-Windows Defender" event_id=5001
Für die Ausbreitung im Unternehmensnetzwerk (Lateral Movement) legt Conti zunächst die DLL-Payload auf ADMIN$-Shares auf den Endpunkten ab (T1021.002) und führt diese Payload später mit PsExec (T1570) remote aus.
norm_id=WinServer label="Process" label=Create
command="*cmd* /c copy *.DLL *\ADMIN$"
norm_id=WinServer label="Process" label=Create
command="* -accepteula *" command="*rundll32*.DLL,*"
Conti aktiviert auch RDP-Verbindungen (T1021.001) zu Endpunkten, entweder mit netsh oder direkt über Registry-Manipulationen (T1112), die Sie in den Events zur Prozesserstellung finden.
norm_id=WinServer label="Process" label=Create
command IN ["*netsh *firewall *remote desktop* enable*", "*reg add *\Terminal Server* fDenyTSConnections*0x0*"]
Ebenso wie Egregor und FiveHands nutzt auch Conti RClone, ein Open-Source-Tool für das Storage-Management in der Cloud, um die gestohlenen Daten im Cloud-Speicher des Angreifers (T1567.002) abzulegen. Dies können Sie in den Events zur Prozesserstellung erkennen.
norm_id=WindowsSysmon label="Process" label=Create
description="Rsync for cloud storage"
Administratoren sollten auch nach unrechtsmäßigen Installationen von Atera-Agents Ausschau halten, wie in den jüngsten Conti-Vorfällen gezeigt haben.
norm_id=WinServer label=Install label=Application
application=AteraAgent
Logdaten-Quellen
LogPoint-Nutzer benötigen die folgenden Logdaten-Quellen, um die oben aufgeführten Abfragen auszuführen:
- Windows Process Creation
- Windows Software Installation
- Microsoft Defender
- Sysmon Process Creation
- Sysmon File Creation
- Firewall/Proxy Server
Detection-in-Depth ist entscheidend für die Erkennung von Ransomware
Ebenso wie der Vorgänger ist auch Conti nach wie vor einer der aktivsten Ransomware-Stämme mit einer erstaunlich hohen Anzahl an Opfern. Wie auch andere, von Menschen entwickelte Ransomware nutzt Conti gängige, kommerzielle wie auch öffentlich zugängliche Tools, um ihre Ziele zu erreichen. In der aktuellen Bedrohungslandschaft, in der Angreifer alle für ihre Zwecke sinnvollen Möglichkeiten nutzen, um die Erkennungsmöglichkeiten von Blue Teams zu umgehen, wäre es naiv, sich nur auf eine kleine Zahl von Erkennungsmaßnahmen zu verlassen.
Es ist dringend erforderlich, einen angemessenen Defense-in-Depth-Ansatz zu entwickeln. Dies ist unerlässlich, um wachsende Bedrohungen wie Ransomware zu erkennen, die gängige Tools in verschiedenen Varianten einsetzt, um ihre Ziele zu erreichen.