[OT] DFN Institut Opfer von Ragnar Verschlüsselung

[Jan.Schmidt]

Hi,

du musst zuerst verstehen, wie die vorgehen.
In dem Fall bei uns waren die auf einem Client und haben sich dann auf einem Server - der kein Fileserver war - eingenistet.

Das sind keine Skriptkiddies ! Die schauen sich dein System in aller Ruhe an und schlagen irgendwann mit scripten los.
Wenn die mit den Scripten loslegen lebt deine Umgebung noch 2-3 Stunden.

Und dann wenn du geplante Tasks laufen läßt, die scripte mit erweiterten Rechten laufen lassen dann besteht immer noch die Gefahr dass die den NTFS Schutz deiner Scripte umbiegen und IHR script als deines ausgeben und so noch leichteres Spiel haben.

Selbst unser Symantec erkennt deren Schadsoftware - die fahren die Maschinen aber vorher im abgesicherten Modus hoch und plazieren erst danach Ihr Zeug auch dem Rechner. Bzw. nennen das von 1.ra in 1.rar um - wobei das ein Anfängerfehler ist - denn mit einer kommadozeile kann ich auch ein .xyz mit rar oder 7zip entpacken.

Bei uns hiess das Ding 1.ra - dem nächsten heisst es evtl. anders und wie willst du das vorhersehen?

Die Tipps die ich hier gebe sind immer nur die Tipps von denen ich zum Zeitpunkt des schreibens ausgehe - scheibenkleister -das hätte mir geholfen wenn ich es vorher gewußt hätte.

[SirTux]

Hattet ihr AppLocker aktiviert?

[Jan.Schmidt]

Nein Applocker war nicht aktiv.

Hätte es einen Unterschied gemacht?

Nein - die manipulieren die registry der Windows Systeme - machen einen runonce eintrag und den abgesicherten Modus aktiv
rebooten die kiste (damit abgesichert und kein Applocker aktiv)
zerschiessen vorher noch ein paar dlls vom defender usw. deaktivieren dienste, löschen ntfs snapshots und zerstückeln dann dein Zeug.

Hattet Ihr Bitlocker mit pin?

Nein - aber das hätte wahrscheinlich etwas gebracht - denn ohne die pin eingabe / ad integration ist was anderes, denn die haben zugriff auf das AD - ist evtl. so sicher, dass die aus der Ferne die pin nicht eingeben könnten und damit den reboot im abgesicherten Modus durchführen könnten.

Betonung auf Konjunktiv II "Hätte könnte"
Das werden wir (wenns nach mir geht) wohl machen.

Hättet Ihr damit alle Maschinen noch?

Im Zweifel nein - irgendein Dulli also ich - hätte das gesehen, sich gedacht da ist wohl die USV oder was anderes dran schuld und bei 1-3 Maschinen den pin eingegeben bis er gemerkt hätte scheibenkleister...

Dann nochmal - und seit den ~4 Wochen sind ja auch andere gleichartige Fälle bekannt geworden - das sind keine Skripter!!!!!!! einzelfdrölf!!!
Die schauen sich an, was geht und legen dann manuell los!!!!
siehe (hab ich bestimmt geschrieben) das "andere" Vorgehen bei refs Systemen wo deren "normaler" Weg wohl nicht geklappt hat und die "Nachgearbeitet" haben.

Wenn man dann nicht nach dem versteckten User schaut und das AD platt kloppt usw. ist man irgendwann dran.

[SirTux]

Nein Applocker war nicht aktiv.

Hätte es einen Unterschied gemacht?

Nein - die manipulieren die registry der Windows Systeme - machen einen runonce eintrag und den abgesicherten Modus aktiv
rebooten die kiste (damit abgesichert und kein Applocker aktiv)
zerschiessen vorher noch ein paar dlls vom defender usw. deaktivieren dienste, löschen ntfs snapshots und zerstückeln dann dein Zeug.

Der Schlußfolgerung kann ich nicht so ganz folgen: Um all diese Dinge tun zu können, müssen sie vorher schon auf den Rechner gekommen sein. Mit AppLocker und dem Deaktivieren von Office-Makros hätte man zumindest die üblichen Einfallswege abgesichert. Gibt es also Erkenntnisse wie sie anderweitig auf den Rechner gelangt sind?

[Jan.Schmidt]

Office Makros waren deaktiviert.
über c$ remote die registry einlesen ändern und zurückschreiben ist bei manchen Maschinen nachvollziehbar gemacht worden.

Mittlerweile haben wir auch herausgefunden, dass die mit sowas wie net view oder einem domaindump eine alphabetische Liste der Maschinen erzeugt haben müssen die ersten pcw & nbws haben die noch verschlüsselt, danach nicht mehr und sich auf srv maschinen konzentriert.

Das remote verschlüsseln haben die mit anydesk auf dem abgesichert gestarteten Kisten wohl mitverfolgt.
Auch hier anydesk lief erst als die mit dem abgesicherten Modus gebootet haben!

[SirTux]

Also sind sie vorab an Admin-Paßwörter gekommen?

[Jan.Schmidt]

Also sind sie vorab an Admin-Paßwörter gekommen?

mussten Sie das?
stichproben kein anspruch auf Vollständigkeit - die Truppe ist als RDP Lückenspezialist bekannt und wir hatten hochleistungs Statistikserver die per rdp published App genutzt wurden....

Nur mal so als Beispiel wie oft sicher gemachte Systeme kurz danach wieder als unsicher galten
Das Loch von 2020-2022 liegt an meiner Faulheit danach zu suchen - nicht daran, dass es keine Patche gab.

05/2019: https://www.heise.de/security/meldung/W ... 22969.html
09/2019: https://winfuture.de/news,110666.html
01/2020: https://www.zdnet.de/88376358/exploit-f ... fentlicht/
03/2022: https://www.webdesign-schreiber.de/news ... windows-co
06/2022: https://borncity.com/win/2022/06/21/jun ... s-ursache/
11/2022: https://www.borncity.com/blog/2022/11/0 ... -entdeckt/
hier gehts zwar um office makros - aber die exchange powershell lücke gabs ja zeitgleich auch und das script nutzt powershell/vbs.

[SirTux]

Scheint dann also keine schlechte Idee zu sein den RDP-Zugriff auf IP-Basis einzuschränken.

[Jan.Schmidt]

Scheint dann also keine schlechte Idee zu sein den RDP-Zugriff auf IP-Basis einzuschränken.

Den verstehe ich nun wieder nicht...

RDP war ausschliesslich "intern" möglich
"intern" bezieht / bezog sich aber in unserem Fall auf lokal vor Ort, VPN & VM Horizon Umgebung.

Ja wir hatten EINE Domain, EIN AD Konto für jeden Kollegen und VPN / VDI war am AD angekoppelt und ja wir haben kirz vorher viele Tickets gehabt, dass jemand seine Zugangsdaten in ein Formular von "ihr Windows Team" eingegeben hat, weil sonst das Emehl konto geperrt würde.
https://www.youtube.com/watch?v=k98mh8yCHMM

[SirTux]

Naja wenn ein Dienst bekanntermaßen löchrig wie ein schweizer Käse ist, wäre es eine denkbare Sicherheitsmaßnahme diesen abzuschalten oder zumindest den Zugriff aufs absolut notwendige einzuschränken (z.B. auf ein besonders gesichertes Admin-Netz).

Hatte dieser jemand irgendwo Admin-Rechte?