Trellix Threat Labs-Forschungsbericht: April 2022

Einblicke in die Bedrohungsforschung des 4. Quartals 2021 sowie die jüngsten Erkenntnisse und Entdeckungen von Trellix Threat Labs

Im 4. Quartal 2021 blickte die Welt bereits auf zwei Jahre Pandemie zurück, in der sich böswillige Akteure das standortunabhängige Arbeiten bei ihren Angriffen zunutze gemacht haben und Log4Shell ein ungebetener Weihnachtsgast war. Im 1. Quartal 2022 verlagerte sich der Fokus der Bedrohungen auf Kampagnen, bei denen Cyber-Bedrohungen im Konflikt in Eurasien als Waffe gegen ukrainische Infrastruktur eingesetzt wurden. Der neueste Forschungsbericht des Trellix Threat Labs-Teams enthält unsere Erkenntnisse aus dem 4. Quartal 2021, Informationen zur Aufdeckung eines mehrstufigen Spionageangriffs auf hochrangige Regierungsvertreter sowie unsere vor Kurzem durchgeführte Analyse der gegen die Ukraine gerichteten Cyber-Angriffe und der kürzlich identifizierten HermeticWiper-Malware im 1. Quartal.

Brief unseres Lead Scientist

Willkommen bei unserem neuesten Threats-Report.

Das 1. Quartal des neuen Jahres ist fast vorbei und wir können nicht wirklich behaupten, dass der Jahresanfang einfach war. Wir lassen die Pandemie zwar langsam hinter uns, aber die Ungewissheit wegen der jüngsten Konflikte in Eurasien beherrscht unseren Alltag und unsere Gespräche.

Trellix steht für Frieden. Ganz gleich, welche Parteien an einem Konflikt beteiligt sind – unsere Mission ist es, unsere Kunden zu schützen und die Einhaltung internationaler Gesetze sicherzustellen. Auch während der Vorbereitung dieses Berichts haben wir weiter geforscht und waren wachsam. Die Lapsus$-Gruppe hat beispielsweise große Unternehmen auf der ganzen Welt angegriffen, wobei der anfängliche Fokus auf Zielen in Südamerika lag. Bei diesen Angriffen wurden sensible Daten wie Quellcodes und Zertifikate offengelegt.

Wir haben beobachtet, dass diese Zertifikate z. B. zum Signieren von Malware-Binärdateien missbraucht wurden, um so die Vertrauenswürdigkeitsprüfungen von Betriebssystemen und Sicherheitsprodukten zu umgehen. Details zu dieser Gruppe, ihrer jüngsten Kompromittierung sowie zu Gegenmaßnahmen finden Sie hier.

In unserem zweiten Threats-Report seit der Gründung unseres neuen Unternehmens behandeln wir die Cyber-Sicherheitsereignisse, die weltweit die Schlagzeilen beherrschten. Von Angriffen auf ukrainische Infrastruktur bis hin zu HermeticWiper-Malware, die die Boot-Sektoren infizierter Maschinen vernichtet – Cyber-Sicherheit war für viele im neuen Jahr von zentraler Bedeutung. Wir blicken auch zurück auf das 4. Quartal 2021, in dem Hunderte Millionen Geräte von der Log4Shell-Sicherheitslücke betroffen waren, und viele bereiten sich jetzt auf neue Bedrohungen im laufenden Jahr vor.

Das Trellix Threat Labs-Team ist seit vielen Jahren aktiv an der Analyse und Untersuchung von Ransomware-Varianten beteiligt. Wir haben mit staatlichen Stellen zusammengearbeitet und sind stolz, dass im Dezember 2021 böswillige Akteure festgenommen und Ransomware-Operationen stillgelegt werden konnten. Die jüngsten Leaks von Chats der Conti-Ransomware-Gruppe und der Trickbot-Malware-Gruppe haben gezeigt, wie professionell diese Operationen ablaufen. Es verdeutlicht, dass diese Angriffe nur durch gemeinsame Reaktionen des öffentlichen und privaten Sektors gestoppt werden können.

In unserem Trellix Threat Labs-Blog stellen wir Ihnen darüber hinaus unsere neuesten Bedrohungsinformationen, Videos und Links zum Sicherheitsbulletin zur Verfügung.

Darüber hinaus beleuchtet dieser Bericht auch andere weit verbreitete Bedrohungen und Angriffe.

– Christiaan Beek
Lead Scientist

Trellix-Analyse der Cyber-Angriffe auf die Ukraine sowie der HermeticWiper-Malware

Eine vom Trellix-Team durchgeführte Analyse der in der Ukraine bereitgestellten Wiper gibt Grund zur Annahme, dass es wahrscheinlich eine Verbindung zwischen Whispergate und der kürzlich identifizierten HermeticWiper-Malware gibt.

Erfahren Sie mehr über unsere Daten und Analysen der Bedrohungsaktivitäten in der Region Ukraine.

Empfohlene Schritte zum Verhindern des Erstzugriffs

Um ihre Umgebungen proaktiv vor Infiltrierungen zu schützen, sollten sich Unternehmen über die Taktiken, Techniken und Prozeduren (TTPs) informieren, die staatliche Akteure aus Russland bei ihren Aktivitäten für den Erstzugriff nutzen.

  • Phishing-/Spearphishing-Angriffe mit gekürzten URLs böswilliger Domänen
  • Überprüfung auf Brute-Force-Aktivitäten zur Identifizierung gültiger Kontoanmeldedaten und Microsoft 365-Konten
  • Aktivierung der Mehrfaktor-Authentifizierung (MFA) für ausnahmslos alle Benutzer
  • Ausnutzung öffentlich zugänglicher Systeme (Die CISA pflegt eine umfassende Liste von CVEs, die bekanntermaßen ausgenutzt werden.)
  • Deaktivierung aller nicht unbedingt erforderlichen Ports und Protokolle – insbesondere alle Elemente, die mit Remote-Services verbunden sind
  • Aufspüren und Blockieren von Open-Source-Tools, die nicht mit Unternehmensaktivitäten verbunden sind und in früheren Angriffen beobachtet wurden, z. B. UltraVNC, AdvancedRun, wget und impacket

Andere Bedrohungskampagnen und Gruppen, die die Ukraine ins Visier nehmen:

ACTINIUM (APT)

Agent Tesla

CaddyWiper

CERT-AU 4109

DDoS-Angriffe

Gamaredon (APT)

GlowSpark

IsaacWiper

NOBELIUM (APT)

OutSteel

RURansom Wiper

SaintBot

Shuckworm (APT)

UAC-0056

ACTINIUM (APT)

Agent Tesla

CaddyWiper

CERT-AU 4109

DDoS-Angriffe

Gamaredon (APT)

GlowSpark

IsaacWiper

NOBEpUM (APT)

OutSteel

RURansom Wiper

SaintBot

Shuckworm (APT)

UAC-0056

Besuchen Sie unser Trellix-Bedrohungszentrum, um sich ein Bild von neuen Bedrohungen – auch HermeticWiper – zu machen und ihnen einen Schritt voraus zu bleiben.

Trellix Threat Labs entdeckt vermutlich neue DarkHotel-APT-Aktivitäten

Im März hat Trellix die erste Phase einer böswilligen Kampagne aufgedeckt, die seit der 2. Novemberhälfte 2021 auf Luxushotels in Macao, China, abzielt. Der Angriff begann mit einer Spearphishing-E-Mail an das Management der Hotels, also an Rollen wie Vice President of HR, Assistant Manager und Front-Office-Manager. Basierend auf den Positionen können wir davon ausgehen, dass die ins Visier genommenen Personen über weitreichenden Zugriff auf das Netzwerk des Hotels, einschließlich der Buchungssysteme verfügen. Und so sind die Angreifer vorgegangen:

  • Die für diesen Spearphishing-Angriff verwendete E-Mail enthält eine Excel-Datei, in die böswillige Makros integriert sind. Wenn das Opfer die Excel-Datei öffnet, werden diese Makros aktiviert.
  • Daraufhin aktivieren diese Makros verschiedene Mechanismen, die im Abschnitt zur technischen Analyse detailliert erläutert und im Diagramm zum Ablauf der Infektion zusammengefasst werden.
  • Zuerst erstellen die Makros eine geplante Aufgabe für die Erkennung, Auflistung und Exfiltrierung von Daten.
  • Für die Kommunikation mit dem Befehls- und Steuerungs-Server (Command-and-Control Server, C & C), über den die Daten des Opfers exfiltriert werden, verwenden die Makros dann eine bekannte LOLBAS-Technik (Living Off the Land Binaries and Scripts), um PowerShell-Befehlszeilen als vertrauenswürdiges Skript auszuführen.

In unserem Blog finden Sie weitere Informationen zu den Hintergründen sowie zur Attribution, Kampagne und technischen Analyse der DarkHotel-APT.

Darkhotel Attack Flow Diagram

Trellix Threat Labs deckt Kompromittierung des Büros des Premierministers auf

Im Januar gab unser Team bekannt, dass es eine mehrstufige Spionage-Kampagne identifiziert hat, bei der in Westasien hochrangige Regierungsvertreter für den Bereich nationale Sicherheitsrichtlinien und Personen aus dem Verteidigungssektor ins Visier genommen wurden. Trellix hat die Opfer vor der Veröffentlichung informiert und ihnen alle nötigen Inhalte bereitgestellt, damit sie alle bekannten Angriffskomponenten aus ihren Umgebungen entfernen konnten.

Unsere Analyse hat ergeben, dass der Angriff mit der Ausführung einer Excel-Datei beginnt, die einen Exploit für die MSHTML-Remote-Code-Ausführungsschwachstelle (CVE-2021-40444) enthält. Dies dient der Ausführung einer böswilligen DLL-Datei, die als Downloader für die Malware der dritten Stufe namens Graphite fungiert. Graphite ist eine vor Kurzem entdeckte Malware-Variante, die sich auf einen OneDrive Empire-Stager stützt und OneDrive-Konten über die Microsoft Graph-API als Befehls- und Steuerungs-Server nutzt.

Die letzten Phasen dieses mehrstufigen Angriffs, der unserer Meinung nach mit APT-Aktivitäten zusammenhängt, umfassen die Ausführung verschiedener Empire-Stager, um schlussendlich einen Empire-Agenten auf die Computer der Opfer herunterzuladen und den Befehls- und Steuerungs-Server einzuschalten, damit die Systeme remote gesteuert werden können.

Die folgende Grafik veranschaulicht den allgemeinen Prozess dieses Angriffs.

Prime Minister's Office Comprimise Attack Flow Diagram

Eine detailliertere Analyse der Phasen, Infrastruktur und Attribution finden Sie in unserem Blog.

Methoden

Die Backend-Systeme von Trellix stellen Telemetriedaten bereit, die wir als Input für unsere vierteljährlichen Threats-Reports nutzen. Wir kombinieren unsere Telemetriedaten mit Open-Source-Daten zu Bedrohungen und unseren eigenen Untersuchungen weit verbreiteter Bedrohungen wie Ransomware, Aktivitäten staatlicher Akteure usw.

Bei Telemetrie geht es um Erkennungen, nicht um Infektionen. Eine Erkennung liegt vor, wenn eines unserer Produkte eine Datei, URL, IP-Adresse oder einen anderen Indikator erkennt und dies an uns meldet.

Die Privatsphäre unserer Kunden ist uns immer wichtig, auch bei der Telemetrie und Abbildung der Sektoren und Länder unserer Kunden. Der Kundenstamm variiert je nach Land und es ist möglich, dass die Zahlen zwar einen Anstieg zeigen, wir uns die Daten aber genauer ansehen müssen, um sie richtig interpretieren zu können. Der Telekommunikationssektor liegt in unseren Daten beispielsweise immer weit oben. Das muss aber nicht zwangsläufig bedeuten, dass dieser Sektor übermäßig häufig angegriffen wird. Der Telekommunikationssektor umfasst auch Internetdienstanbieter (Internet Service Provider, ISP) mit eigenen IP-Adressräumen, die von Unternehmen erworben werden können. Das bedeutet, dass Meldungen aus dem IP-Adressraum des ISP zwar als Erkennungen für den Telekommunikationsbereich gewertet werden, aber von ISP-Kunden stammen könnten, die in einem anderen Sektor tätig sind.

Ransomware

Im 4. Quartal 2021 hat sich die Ransomware-Landschaft weiter verändert. Anstelle der groß angelegten Angriffe, die wir in unserem vorherigen Bericht beschrieben haben, mussten Ransomware-Akteure sich eine neue Basis im Untergrund suchen und die Strafverfolgungsbehörden konnten allmählich gegen verschiedene hochkarätige Ransomware-Gruppen vorgehen. Eine dieser Gruppen war REvil/Sodinokibi, die im 3. Quartal noch zu den bedeutendsten Ransomware-Familien gehörte. Nach einer koordinierten Stilllegung ihrer Infrastruktur, internen Streitigkeiten und der Festnahme von Mitgliedern ist REvil aber von der Bildfläche verschwunden. Trellix ist stolz, durch Malware-Analysen, das Aufspüren wichtiger Infrastruktur und die Identifizierung mehrerer Verdächtiger zu den Ermittlungen gegen die REvil-Gruppe beigetragen zu haben.

Im 4. Quartal 2021 führten Lockbit, Cuba und Conti unsere Top 3 der Ransomware-Familien an. Wir gehen davon aus, dass die verbliebenen Mitglieder der REvil-Gruppe wahrscheinlich bei diesen Ransomware-Familien untergekommen sind.

Dieser Bericht war kaum fertig gestellt, schon hatte sich die Bedrohungslandschaft erneut verändert. Tausende der internen Chats von Conti – mittlerweile eine der größten Ransomware-Familien – wurden im Internet geleakt, wodurch Geheimnisse von Conti offenbart wurden. Wir haben dieses Datenleck die "Panama Papers der Ransomware" getauft und werden unsere Erkenntnisse in den nächsten vierteljährlichen Bericht aufnehmen.

Um Unternehmen bei der Analyse und Abwehr von Ransomware-Angriffen in der Bedrohungslandschaft zu unterstützen, präsentiert unser Threat Labs-Team seine Forschung und Ergebnisse in Bezug auf die Verbreitung vieler verschiedener Ransomware-Bedrohungen im 4. Quartal 2021, einschließlich Familien, Techniken, Ländern, Sektoren und Vektoren.

289 %

Anstieg in der Kategorie Medien und Kommunikation vom 3. zum 4. Quartal 2021.

61

Die Ransomware-Erkennungen bei Kunden in den USA sind zwischen dem 3. und 4. Quartal 2021 zurückgegangen.

Die am häufigsten gemeldeten MITRE ATT&CK-Techniken bei Ransomware

1.

Datenverschlüsselung für mehr Auswirkung

2.

Datei- und Verzeichniserkennung

3.

Verschleierte Dateien oder Informationen

4.

Prozesserkennung

5.

Prozessinjektion

Erkennungen von Ransomware-Familien

Lockbit

Cuba

Conti

Ryuk

BlackMatter

3. Q.

4 %

8 %

6,7 %

7 %

n. z.

4. Q.

23 %

19 %

17 %

11 %

7 %

3. Q.

4. Q.

Lockbit

4 %

23 %

Cuba

8 %

19 %

Conti

6,7 %

17 %

Ryuk

7 %

11 %

BlackMatter

n. z.

7 %

Aktivitäten staatlicher Akteure

Unser Team verfolgt und überwacht Kampagnen von staatlichen Akteuren und die damit verbundenen Indikatoren und Techniken. Unsere Forschungsergebnisse geben Aufschluss über die Bedrohungsakteure, Tools, Kundenländer, Kundensektoren und MITRE ATT&CK-Techniken im 4. Quartal 2021. Alle Daten rund um diese Ereignisse, einschließlich Indikatoren, YARA-Regeln und Erkennungslogik, sind in Insights verfügbar.

Die am häufigsten gemeldeten MITRE ATT&CK-Techniken staatlicher Akteure

1.

PowerShell

2.

Geplanter Task

3.

Verschleierte Dateien oder Informationen

4.

Windows

5.

Web-Protokolle

95

Cobalt Strike wurde unter den Bedrohungs-Tools staatlicher Akteure im 4. Quartal 2021 am häufigsten beobachtet.

30

APT 29 wurde im 4. Quartal 2021 unter den staatlichen Akteuren insgesamt am häufigsten beobachtet – ein Anstieg von 30 % im Vergleich zum 3. Quartal.

26

Die Aktivitäten staatlicher Akteure in der Türkei machten im 4. Quartal 2021 26 % der Erkennungen insgesamt aus.

Statistiken zu weit verbreiteten Bedrohungen

Unser Team hat Bedrohungskategorien im 4. Quartal 2021 verfolgt. Die Untersuchung gibt Aufschluss über die Prozentwerte der Erkennungen nach Typ der beobachteten weit verbreiteten Malware-Familien, die zugehörigen Kundenländer, die Sektoren der Unternehmenskunden und die MITRE ATT&CK-Techniken.

75

RedLine Stealer (20 %), Raccoon Stealer (17 %), Remcos RAT (12 %), LokiBot (12 %) und Formbook (12 %) machten zusammen fast 75 % der im 4. Quartal 2021 beobachteten Bedrohungen durch Tools aus Malware-Familien aus.

62

Im 4. Quartal 2021 wurden Kunden aus dem Transportwesen am häufigsten ins Visier genommen (62 %). Das ist mehr als alle anderen Sektoren aus den Top 10 zusammen.

80

Anstieg bei Beobachtungen seit dem 3. Quartal 2021, die US-Kunden betreffen.

Die am häufigsten gemeldeten-MITRE ATT&CK-Techniken

1.

Verschleierte Dateien oder Informationen

2.

Anmeldeinformationen aus Web-Browsern

3.

Datei- und Verzeichniserkennung

4.

Schlüssel zur Registrierungsausführung/Systemstartordner

5.

Erkennung von Systeminformationen

Erkennungen von Ransomware-Familien

RedLine Stealer

Raccoon Stealer

Remcos RAT

LokiBot

Formbook

3. Q.

1,2 %

n. z.

24 %

19 %

36 %

4. Q.

20 %

17 %

12 %

12 %

12 %

3. Q.

4. Q.

RedLine Stealer

1,2 %

20 %

Raccoon Stealer

n. z.

17 %

Remcos RAT

6,7 %

12 %

LokiBot

19 %

12 %

Formbook

36 %

12 %

Bedrohungen gegen Länder, Kontinente, Branchen und eingesetzte Vektoren

Bei Ländern und Kontinenten wurden im 4. Quartal 2021 folgende erhebliche Zunahmen öffentlich gemeldeter Open-Source-Zwischenfälle verzeichnet:

150

Deutschland verzeichnete den stärksten Anstieg (150 %) bei den im 4. Quartal 2021 gemeldeten Zwischenfällen.

38

Die USA registrierten die meisten gemeldeten Zwischenfälle im 4. Quartal 2021 – 38 % der insgesamt gemeldeten Zwischenfälle.

Living off the Land

Cyber-Kriminelle entwickeln nach wie vor individuelle Tools, setzen aber oft auf LotL-Techniken (Living off the Land), um seriöse Binärdateien und administrative Dienstprogramme für die Bereitstellung böswilliger Schaddaten auf Zielsystemen zu missbrauchen. In Bezug auf die Ereignisse im 4. Quartal 2021 hat Trellix eine leichte Trendwende bei den Tools ausgemacht, die von Angreifern verwendet werden, die unentdeckt bleiben wollen.

Mit zunehmender Stärkung der Verteidigungsmaßnahmen und da Sicherheits-Community Informationen zu Kompromittierungsindikatoren untereinander teilen, ändern sich auch die Taktiken, Techniken und Prozeduren der Angreifer. In unserem Bericht aus dem 3. Quartal haben wir nicht nur einige der Windows-Binärdateien hervorgehoben, die auf einem Produktionssystem vorhanden sind, sondern auch einige Windows-Binärdateien, die von Administratoren für tägliche Aufgaben verwendet werden. Außerdem wurde empfohlen, die nötige Geräte-Software bereitzustellen, Systeme auf Anomalien zu überwachen und für beständige Systemeffizienz zu sorgen. Bedrohungsakteure haben die Nützlichkeit dieser Dienstprogramme für unerwünschte Aktivitäten missbraucht. Im Anschluss an den Bericht vom 3. Quartal haben wir uns angesehen, welche Dienstprogramme im 4. Quartal von Bedrohungsakteuren ausgenutzt wurden und haben eine leichte Änderung festgestellt. Unverändert ist aber, dass Bedrohungsakteure unerkannt bleiben möchten und bereits auf Systemen vorhandene Infrastruktur ausnutzen, um Schaddaten wie Ransomware, Beacons, Programme zum Diebstahl von Informationen sowie Erkundungs-Tools bereitzustellen.

Um diese Binärdateien oder administrativ verwendeten Tools für die Erkundung zu identifizieren, können Angreifer Informationen zu den verwendeten Technologien aus Stellenanzeigen, Kundenreferenzen, mit denen die Hersteller werben, oder von Insider-Komplizen sammeln.

Native Binärdateien der Betriebssysteme Anmerkungen (für mehr Infos mit Maus darauf zeigen) (für mehr Infos antippen)

Windows-Befehlszeile (CMD) (53,44 %)

T1059.003

Die Windows-Befehlszeile ist das primäre CLI-Dienstprogramm für Windows. Es wird oft genutzt, um Dateien und Befehle in einem alternativen Datenstrom auszuführen.

PowerShell (43,92 %)

T1059.001

PowerShell wird oft genutzt, um Skripte und PowerShell-Befehle auszuführen.

WMI/WMIC (33,86 %)

T1218 T1564.004

WMIC ist eine Befehlszeilenschnittstelle für WMI und kann von Angreifern genutzt werden, um Befehle oder Schaddaten lokal, in alternativen Datenströmen oder auf einem Remote-System auszuführen.

Rundll32 (24.34%)

T1218.011 T1564.004

Rundll32 kann genutzt werden, um lokale DLL-Dateien, DLL-Dateien aus einer Freigabe, DLL-Dateien aus dem Internet und alternativen Datenströmen auszuführen.

Regsvr32 (14.29%)

T1218.010

Mit Regsvr32 können Angreifer DLL-Dateien registrieren, schädlichen Code ausführen und Anwendungs-Whitelists umgehen.

Schtasks (12,70 %)

T1053.005

Ein Angreifer kann Tasks planen, die die Persistenz erhalten, weitere Malware ausführen oder automatisierte Tasks durchführen.

MSHTA (10,05 %)

T1218.005

Mit MSHTA können Angreifer JavaScript-, JScript- und VBScript-Dateien ausführen, die in HTA-Dateien lokal und in alternativen Datenströmen versteckt oder von einem Remote-Standort geladen werden können.

Excel (8,99 %)

T1105

Auf vielen Systemen findet sich nicht nativ installierte Tabellenkalkulationssoftware. Wenn Angreifer Anhänge mit schädlichen Codes oder Skripten senden, die von Benutzern ausgeführt werden, können Schaddaten von einem Remote-Standort geladen werden.

Net.exe (7.94%)

T1087 und Subtechniken

Dieses Windows-Befehlszeilendienstprogramm ermöglicht einem Angreifer Aufklärungsaktionen wie das Identifizieren von Benutzer-, Netzwerk- und Dienstfunktionen auf dem Rechner eines Opfers.

Certutil (4,23 %)

T1105, 1564.004 T1027

Dieses Windows-Befehlsdienstprogramm wird verwendet, um Zertifizierungsstelleninformationen zu erhalten und Zertifizierungsdienste zu konfigurieren. Alternativ können Angreifer mit certutil Remote-Tools und Remote-Inhalte erfassen, Dateien kodieren und dekodieren sowie auf alternative Datenströme zugreifen.

Reg.exe (3.70%)

1003.002 1564.004

Mit Reg.exe können Angreifer Registrierungswerte hinzufügen, ändern, löschen und exportieren, die in alternativen Datenströmen gespeichert werden können. Darüber hinaus kann reg.exe verwendet werden, um Anmeldedaten aus einer SAM-Datei herunterzuladen.

Verwaltungs-Tools Anmerkungen (für mehr Infos mit Maus darauf zeigen) (für mehr Infos antippen)

Remote-Dienste (35,98 %)

T1021.001 T1021.004 T1021.005

AnyDesk, ConnectWise Control, RDP, UltraVNC, PuTTY

WinSCP Remote-Dienst-Tools in Windows und in Drittanbieter-Software können von Angreifern genutzt werden, um sich zusammen mit gültigen Konten Remote-Zugriff auf einen Rechner oder eine Infrastruktur zu verschaffen, Eintrittstools zu übertragen und Malware auszuführen sowie Daten zu exfiltrieren.

Archivdienstprogramme (6,35 %)

T1560.001

7-Zip, WinRAR

WinZip Angreifer können mit Archivdienstprogrammen gesammelte Daten komprimieren, um ihre Exfiltrierung vorzubereiten, sowie normale und ausführbare Dateien dekomprimieren.

BITSAdmin (3,70 %)

T1105 T1218 T1564.004

BiTSAdmin wird oft genutzt, um die Persistenz aufrechtzuerhalten, Artefakte zu bereinigen und weitere Aktionen aufzurufen, sobald ein festgelegtes Kriterium erfüllt ist.

ADFind (2,65 %)

T1016 T1018 T1069 und Subtechniken, T1087 und Subtechniken T1482

Mit diesem Befehlszeilen-Dienstprogramm können Angreifer Active Directory-Informationen wie vertrauenswürdige Domänen, Berechtigungsgruppen, Remote-Systeme und Netzwerkkonfigurationen ausspionieren.

PsExec (2,12 %)

T1569.002

PsExec ist ein Tool, mit dem Befehle und Programme auf einem Remote-System ausgeführt werden.

fodhelper.exe (0,05 %)

T1548.002

Fodhelper.exe ist ein Windows-Dienstprogramm, mit dem Angreifer schädliche Dateien mit erhöhten Privilegien auf dem Rechner eines Opfers ausführen können.

Autoren und Forscher

Alfred Alvarado

Douglas McKee

Christiaan Beek

Tim Polzer

Marc Elias

Steve Povolny

John Fokker

Thibault Seret

Tim Hux

Leandro Velasco

Max Kersten

 

Alfred Alvarado

Christiaan Beek

Marc Elias

John Fokker

Tim Hux

Max Kersten

Douglas McKee

Tim Polzer

Steve Povolny

Thibault Seret

Leandro Velasco

Ressourcen

Mit unseren Team-Ressourcen können Sie die neuesten Bedrohungen und Forschungen verfolgen:
Bedrohungszentrum: Die aktuell schwerwiegendsten Bedrohungen wurden von unserem Team erkannt.

Twitter: