Forensische Artefakte der Top-10-Malware-Familien

Das Lösen von Incident-Response-Fällen ist nur ein Teil der Arbeit von Computer Security Incident Response Teams (CSIRT). Andere wichtige Aufgaben sind Forensik und Analyse. Im Zeitraum von April bis Dezember 2022 wurden die Top-10-Malware-Familien in der Schweiz (gemäss govcert.ch) analysiert, um Muster und Überschneidungen in den forensischen Artefakten zu finden, die nach einer erfolgreichen Infektion auf einem Host zurückbleiben. Diese Untersuchung führte zu acht Artefakten, mit denen Infektionen dieser Malware-Familien mit hoher Wahrscheinlichkeit entdeckt werden können. Diese Artefakte können gezielt überwacht oder für das Threat Hunting im Netzwerk eingesetzt werden. Näher analysiert wurden die Malware-Familien Agent Tesla, Formbook, 404 Keylogger, Loki Password Stealer, Ave­Maria RAT, Remcos, Nanocore RAT, QakBot, Redline Stealer und Netwire RAT.

In vielen Fällen wird eine Ausnahme für Windows Defender von der Malware eingerichtet, damit ein Verzeichnis oder eine Datei nicht gescannt wird (wie in Bild 1 vom Trojaner Nanocore). Die Erstellung dieser Ausnahme wird in einem Event-Log festgehalten (ID 5007, Windows Defender). Wenn (Event-)Logs bereits in einem zentralen SIEM gespeichert werden, sollten auch die Windows Defender Logs gesammelt und überwacht werden, um gezielt nach neuen Ausnahmen Ausschau zu halten. Dadurch können nicht nur Malware-Infektionen entdeckt werden, sondern auch Fehlkonfigurationen oder unsicher geschützte Verzeichnisse.

Eine alternative Möglichkeit, diese Ausnahmen auf Endgeräten zu finden, ist das Auslesen der Registry (HKLM\SOFTWARE\Microsoft\Windows Defender\Ex­clusions\Paths). Dieser Weg ist praktikabel, wenn eine Code-Ausführung auf allen Hosts im Netzwerk möglich ist, beispielsweise über ein EDR-Produkt mit dem Befehl req query.

Interessanterweise haben diverse Malware-Familien PowerShell verwendet, um beispielsweise eine neue Persistenz einzurichten (Bild 2). Der Vorteil, wenn Malware PowerShell Code ausführt, anstatt die Windows API zu verwenden, besteht darin, dass jeder ausgeführte PowerShell Code in einem eigenen Event-Log gespeichert wird, wenn PowerShell Script Block Logging aktiviert ist. PowerShell Script Block Logging kann über eine Group Policy auf allen Hosts im Netzwerk aktiviert werden. Diese Logs sollten nach Möglichkeit ebenfalls an ein SIEM übermittelt und gezielt überwacht werden.

Die Erstellung von Scheduled Tasks für die periodische Ausführung von Malware kann schon fast als gängige Methode bezeichnet werden (Bild 3). Mit der Open-Source-Lösung Velociraptor und dem Hunt «TaskScheduler» können alle Tasks von den Hosts gesammelt werden, auf denen Velociraptor installiert ist. Velociraptor bietet neben vordefinierten Suchen («Hunts») auch eine eigene Abfragesprache, mit der Daten in Notebooks innerhalb von Velociraptor aufbereitet werden können. Dadurch ist es relativ einfach, zum Beispiel DLL-Dateien in User-Verzeichnissen zu finden. Neben den Live-Daten auf den Hosts innerhalb der Tasks Files können auch verschiedene Spuren in den Security Event Logs gefunden werden (Task-Erstellung, Löschung etc.). Darüber hinaus gibt es für den TaskScheduler ein eigenes Event-Log, das weitere Spuren zu den ausgeführten Tasks enthalten könnte.

Im User-Hive der Registry kann durch das Setzen eines Wertes im Run-Key eine Persistenz erstellt werden (Bild 4). Die eingetragene Datei wird jedes Mal gestartet, wenn sich der Benutzer am System anmeldet (Bild 5). Mit der Open-Source-Software Sysmon kann die Erstellung von Registry-Keys überwacht werden (ID 13). Ebenso können mit Velociraptor alle Run-Keys in den User- und System-Hives ausgelesen werden. Die so gesammelten Daten können wiederum mit der Abfragesprache von Velociraptor durchsucht werden.

Malware kann sich auch klassisch im Startup Folder einnisten. Dateien in diesem Verzeichnis werden ausgeführt, wenn sich ein User am System anmeldet. Zur Untersuchung dieser Persistenz wurde die Software AutoRuns von SysInternals verwendet. AutoRuns wird jedoch wiederum als Velociraptor Hunt gestartet, um Infektionen nicht nur auf einem einzigen Computer, sondern im gesamten Netzwerk zu finden.

Jede Malware-Familie hat während des Untersuchungszeitraums mindestens eine Datei im AppData-Verzeichnis (im Local- oder Roaming-Verzeichnis) abgelegt (Bild 6). Dieser «File Write»-Event kann wiederum mit Sysmon überwacht werden, analog der Registry-Keys. In diesem Fall wird die ID 11 (File created) verwendet. Auch hier eignet sich Velociraptor ideal, um verdächtige Dateien in User-Profilen zu finden. Wenn die Überwachung neu erstellter Dateien im Netzwerk möglich ist, sollte unbedingt auf jede neu erstellte Datei im Verzeichnis C:\Users\Public\ Alarm gegeben werden, da Malware dieses Verzeichnis in vielen Fällen nutzt.

Dynamische DNS-Anbieter wie DDNS.net im Beispiel (Bild 7) sind beliebte Mechanismen, um das Abschalten einer Domain zu erschweren. Diese DNS-Aufrufe sind selten und werden in den meisten Fällen nicht von legitimen Installationen durchgeführt. Es ist empfehlenswert, einen Domänen-Controller im Netzwerk als DNS einzurichten (Install-WindowsFeature Name DNS) und das DNS-Logging zu aktivieren. Diese Logs können wiederum an ein SIEM für die Weiterverarbeitung gesendet werden. Alternativ könnte ein passiver DNS-Service auf einem Mirror-Port am Netzwerkübergang eingerichtet werden, der den Netzwerkverkehr quasi in Echtzeit mitliest und DNS-Pakete (Anfragen/Antworten) ausliest und speichert. Weiter können DNS-Daten auch live auf den Hosts im Netzwerk abgefragt werden oder bequem mit dem Velociraptor Hunt DNSCache.

Das letzte Artefakt ist die Verwendung eines High-Port (Bild 8). Die Auswertung dieser Informationen auf der Firewall kann jedoch recht aufwendig sein, da die dazugehörigen Services oft nicht eindeutig erkennbar sind. Hierbei empfiehlt sich erneut, auf andere Datenquellen zurückzugreifen wie auf Sysmon, das Netzwerk-Verbindungen mit Destination, Port und dazugehöriger Applikation ausweist.

Die Identifizierung der acht Artefakte ermöglicht es, gezielte Überwachungsmethoden und Threat Hunting im Netzwerk einzusetzen. Dank der Verwendung von Open-Source-Lösungen erfolgt dies effizient und kostensparend, wodurch Aufgaben in Incident Response, Forensik und Analyse erfolgreich bewältigt werden.