XDR-Untersuchung deckt mit PlugX eine einzigartige Technik bei APTs auf

Originalbeitrag von Gilbert Sison, Abraham Camba, Ryan Maglaque

Advanced Persistent Threats (APT) sind für ihre Aktionen im Verborgenen allgemein gefürchtet. Die Hintermänner entwickeln ihre Techniken aktiv weiter, um der Entdeckung zu entgehen und sicherzustellen, dass sie ihre Präsenz in einer Umgebung so lange wie möglich aufrechterhalten. Mithilfe des Apex One mit Endpoint Sensor (iES) entdeckten die Sicherheitsforscher von Trend Micro einen Vorfall, bei dem ein Angreifer ausgeklügelte Techniken einsetzte, um sensible Informationen aus einem Unternehmen zu exfiltrieren. Die einzigartigen Taktiken, Techniken und Prozeduren (TTPs), die bei diesem Angriff verwendet wurden, machen nochmals deutlich, wie wichtig mehrschichtige Erkennungs- und Reaktionslösungen sind.

Im Zuge der Analyse entdeckten die Sicherheitsforscher, dass die Image-Datei des Prozesses bezüglich des Namens und des Speicherorts Ungereimtheiten aufwies. Das Reverse Engineering der Datei zeigte, dass es sich um PlugX Loader handelte, ein Remote Access Tool (RAT), das schon früher bei Angriffen auf Regierungsbehörden und -organisationen eingesetzt wurde. Dieses Tool entschlüsselt, lädt und führt eine weitere DLL-Datei aus, die nach einer anderen Microsoft DLL-Datei benannt, doch als Binary Large Object (BLOB) codiert ist.

Bild. Verbindung zwischen der verwendeten normalen Datei, PlugX und dem bösartigen BLOB

Obwohl PlugX schon seit geraumer Zeit im Umlauf ist, gelingt es dem Tool immer noch, sich der Entdeckung zu entziehen. Die in diesem Angriff verwendete Variante besteht aus drei Teilen:

  1. Eine normale Datei
  2. Ein DLL-Loader, dessen Anwesenheit die normale Datei erwartet
  3. Eine verschlüsselte BLOB-Datei, die den bösartigen Code enthält

Von den drei Dateien wäre der Loader am einfachsten zu erkennen. Da die Datei jedoch so einfach ist, können Angreifer leicht mehrere Versionen der besagten Datei erstellen, um die Erkennung zu umgehen. Die gesamte technische Analyse beinhaltet der Originalbeitrag.

Die Erkennungsrate für BLOBs ist wahrscheinlich gering. Da es sich um eine „freie Form“ handelt, ist es für Erkennungs-Engines schwierig, den Inhalt zu analysieren, um den bösartigen Code zu finden. Das erschwert Endpoint Protection Platforms (EPPs) und EDR möglicherweise die Entdeckung. Abgesehen davon führt eine Änderung des Verschlüsselungsmechanismus oder des Packers zu einem völlig anderen BLOB. Seit 2020 beobachten die Forscher zudem eine vermehrte Verwendung von BLOB-Dateien.

Der bösartige Code läuft dann im Adressraum der normalen Datei. Damit könnte er Funktionen zur Verhaltensüberwachung umgehen, da EPPs den Prozess als normal werten würden. Die technischen Zusammenhänge hinsichtlich von PlugX lassen sich im Originalbeitrag nachlesen.

Bei diesem Vorfall verwendete der Angreifer ein spezielles Tool, um Informationen von der Organisation zu sammeln. Doch konnte er dies löschen, bevor die Forscher darauf zugriffen. Die Analyse dieser Tools könnte dazu dienen, besser zu verstehen, was in der Umgebung passiert oder passiert ist. Immer wenn ein Tool verwendet wird, löscht der Angreifer es von der Festplatte, sobald es seinen Zweck erfüllt hat – was normalerweise nicht länger als 15 Minuten dauert. Das erschwert den Analysten deren Beschaffung. Für den Angreifer verlängert das schnelle Löschen dessen Haltbarkeit.

Was Unternehmen tun müssen

Bei Vorfällen wie diesen, wo der Angreifer dafür sorgt, dass die verwendeten Tools nicht entdeckt werden, ist Threat Hunting eine gute Waffe zur Verteidigung. Das Durchsuchen verdächtiger Ereignisse und der Versuch, sie miteinander in Verbindung zu bringen, um zu verstehen, was passiert ist, können dazu beitragen, solche Angriffe zu identifizieren.

Basierend auf der Analyse dieses speziellen Angriffs geben die Forscher hilfreiche Anregungen, um PlugX und laterale Bewegungen in Unternehmensumgebungen zu erkennen.

Identifizieren von PlugX

Da PlugX eine normale Datei verwendet, ist dessen Erkennung für Antivirenprogramme (AV) oder EPP schwierig. Threat Hunter können folgendes nutzen, um möglicherweise andere Computer zu identifizieren, auf denen PlugX installiert ist: Mithilfe von Attributen, wie z. B. dem Hash und dem digitalen Signierer, die der Identifizierung der normalen Datei nützlich sind, lässt sich eine Suche durchführen, um Instanzen der normalen Datei zu identifizieren. Die Wahrscheinlichkeit ist groß, dass die normale Datei, die den Rest von PlugX lädt, einen anderen Dateinamen als den üblichen verwendet oder sich an einem Ort befindet, an dem sie normalerweise nicht gefunden wird. Zum Beispiel liegt Microsofts outlook.exe normalerweise im Verzeichnis Programme. Eine normale outlook.exe im Windows-Verzeichnis zu finden, macht sie verdächtig. Finden sich solche auffälligen Einträge, lässt sich feststellen, wie weitreichend die Infektion ist.

Erkennen lateraler Bewegungen

Bei diesem speziellen Angriff beobachteten die Sicherheitsforscher, dass der Angreifer zur Durchführung von lateralen Bewegungen Windows-Administratorfreigaben zuordnete und aus der Ferne erstellte geplante Aufgaben zum Starten von Malware verwendete. Beide Ereignisse kamen in der Umgebung des Opfers nie oder nur selten vor.

Bedeutung der Untersuchung von ungewöhnlichen Ereignissen

Bei der Identifizierung von PlugX und lateralen Bewegungstechniken, die bei Angriffen verwendet werden, ist es wichtig, ungewöhnliche Ereignisse auszumachen. Es war relativ einfach, die Ereignisse im Zusammenhang mit der Einbruch festzulegen, da es sich um Anomalien handelte. Nach der Untersuchung diese Anomalien, konnten sie bekannten Techniken zugeordnet werden, die Angreifer zuvor verwendet hatten. Ungewöhnliche Ereignisse im Blick zu behalten, könnte helfen, Vorfälle früher zu erkennen. müssen Unternehmen benötigen eine integrierte Sicht auf alle ihre miteinander verbundenen Sicherheitslösungen, um jederzeit eine effiziente Übersicht und Korrelation aufrecht zu erhalten. Automatisierter Schutz und effiziente Bedrohungssuche, -untersuchung und -reaktion, wie sie Trend Micro XDR bietet, tragen zum Schutz der Unternehmen vor fortschrittlichen Bedrohungen bei.

Trend Micro-Lösungen

Die umfassende XDR-Lösung von Trend Micro wendet die effektivsten Expertenanalysen auf  Deep Data an, die von Trend Micro-Lösungen im gesamten Unternehmen gesammelt werden — einschließlich aus E-Mail, Endpunkten, Servern, Cloud-Workloads und Netzwerken – und schafft so schnellere Verbindungen, um Angriffe zu identifizieren und zu stoppen. Leistungsstarke künstliche Intelligenz (KI) und Sicherheitsanalysen korrelieren Daten aus Kundenumgebungen und den globalen Bedrohungsdaten von Trend Micro, um weniger, dafür aber präzisere Warnungen zu liefern, die zu einer besseren, frühzeitigen Erkennung führen. Eine Konsole mit einer Quelle für priorisierte, optimierte Alarme, unterstützt durch geführte Untersuchungen, vereinfacht die Schritte, die erforderlich sind, um den Angriffspfad und die Auswirkungen auf das Unternehmen vollständig zu verstehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.