Netwalker

Überblick

NetWalker ist eine Ransomware-Operation, die dem unter dem Namen „CIRCUS SPIDER“ bekannten Bedrohungsakteur zugeschrieben wird. Der Schwerpunkt der Aktivitäten liegt auf der Region Asien-Pazifik, wobei die Gruppe grundsätzlich weltweit zuschlagen kann. Charakteristisch ist die Ausrichtung auf das Gesundheitswesen, dessen Einrichtungen wiederholt ins Visier geraten. Für ihre Angriffe stützt sich die Gruppe nicht nur auf spezialisierte Schadsoftware, sondern in erheblichem Umfang auf legitime, im Betriebssystem oder als reguläre Verwaltungssoftware vorhandene Werkzeuge, sogenannte LOLBINS. Dazu zählen die Fernwartungslösungen AnyDesk und TeamViewer, die PSTools-Sammlung sowie das Brute-Force-Werkzeug NLBrute. Mit diesem Mix aus eigener Schadsoftware und missbrauchten Standardprogrammen verschleiert NetWalker seine Aktivitäten im regulären Netzwerkverkehr. Die Infrastruktur der Gruppe, einschließlich ihrer Server und der im Darknet betriebenen Webseiten, wurde schließlich durch Ermittlungsbehörden zerschlagen, die dabei auch eingenommene Lösegelder beschlagnahmten.

Taktiken & Vorgehen

NetWalker kombiniert spezialisierte Angriffswerkzeuge mit legitimer Verwaltungssoftware, um innerhalb kompromittierter Netzwerke unauffällig zu agieren. Zum Abgreifen von Zugangsdaten kommt „Mimikatz“ zum Einsatz, ergänzt durch „ProcDump“, mit dem sich Speicherinhalte laufender Prozesse auslesen lassen. Zur Erkundung der Active-Directory-Umgebung dient „AdFind“, das Informationen über Benutzer, Rechner und Strukturen des Verzeichnisdienstes sammelt. Für die seitliche Bewegung und die Ausführung von Befehlen auf entfernten Systemen nutzt die Gruppe „PsExec“ aus der PSTools-Sammlung. Als Rahmen für die weitere Steuerung kompromittierter Systeme setzt NetWalker zudem das Post-Exploitation-Framework „Cobalt Strike“ ein. Brute-Force-Angriffe mittels „NLBrute“ sowie die Fernwartungswerkzeuge „AnyDesk“ und „TeamViewer“ runden das Vorgehen ab.

Schutzmaßnahmen

Da Zugangsdaten mit „Mimikatz“ und „ProcDump“ aus dem Arbeitsspeicher abgegriffen werden, sollten Speicherzugriffe auf den LSASS-Prozess überwacht und privilegierte Konten strikt getrennt verwaltet werden. Der Einsatz von „PsExec“ und „Cobalt Strike“ zur seitlichen Bewegung sollte durch Überwachung der Prozessausführung und Segmentierung des Netzwerks erschwert werden. Verzeichnisabfragen wie durch „AdFind“ sollten protokolliert und auf ungewöhnliche Muster geprüft werden. Gegen Brute-Force-Angriffe mit „NLBrute“ sollten Fernzugänge mit Kontosperrmechanismen und Mehr-Faktor-Authentisierung abgesichert werden. Der Einsatz der Fernwartungswerkzeuge „AnyDesk“ und „TeamViewer“ sollte mittels Anwendungssteuerung auf autorisierte Fälle beschränkt werden.