Indexsinas SMB-Wurmkampagne infiziert ganze Unternehmen

  • Die Angriffskette der sich selbst verbreitenden Malware ist komplex, nutzt ehemalige NSA-Cyberwaffen und setzt schließlich Kryptomineralien auf den Zielrechnern ab.

    Der SMB-Wurm Indexsinas ist auf der Jagd nach anfälligen Umgebungen, um sich selbst zu verbreiten, so die Forscher – mit besonderem Fokus auf das Gesundheitswesen, das Gastgewerbe, das Bildungswesen und die Telekommunikation. Sein Ziel ist es, Kryptominer auf kompromittierten Rechnern abzulegen.

    Indexsinas, alias NSABuffMiner, lauert seit 2019. Er nutzt das alte Waffenarsenal der Equation Group, einschließlich der berüchtigten EternalBlue- und EternalRomance-Exploits zum Eindringen in Windows-SMB-Freigaben sowie der DoublePulsar-Backdoor. Das Markenzeichen von Indexsinas ist die aggressive Nutzung von Seitwärtsbewegungen, um die Zielumgebung vollständig zu übernehmen. In letzter Zeit hat die Aktivität wieder zugenommen.

    “Die Ausbreitung wird durch die Kombination eines Open-Source-Port-Scanners und drei Exploits der Equation Group – EternalBlue, DoublePulsar und EternalRomance – erreicht”, heißt es in einer am Mittwoch veröffentlichten Analyse von Guardicore Labs. “Diese Exploits werden verwendet, um in neue Opferrechner einzudringen, privilegierten Zugriff zu erhalten und Backdoors zu installieren.”

    EternalBlue und EternalRomance, die von der NSA entwickelten Exploits, die durch ihre Schlüsselrolle bei den Cyberangriffen WannaCry und NotPetya vor vier Jahren bekannt wurden, sind nach wie vor wirksam, so die Forscher. Nach Angaben von Shodan gibt es heute mehr als 1,2 Millionen SMB-Server mit Internetanschluss.

    Seit 2019 nutzt Indexsinas eine große Infrastruktur, die aus mehr als 1.300 Geräten besteht, die als Angriffsquellen dienen (höchstwahrscheinlich kompromittierte Maschinen, stellte Guardicore fest, hauptsächlich in Indien, den USA und Vietnam), wobei jedes Gerät nur für wenige Angriffsvorfälle verantwortlich ist. In der Telemetrie von Guardicore wurden bisher etwa 2.000 separate Angriffe registriert.

    Es bleibt schwierig, den Schleier der Angriffe zu durchdringen, um mehr über die Cyberangreifer hinter Indexsinas zu erfahren.

    “Die Indexsinas-Angreifer sind sorgfältig und kalkuliert”, so die Firma. “Die Kampagne läuft seit Jahren mit der gleichen Command-and-Control-Domain, die in Südkorea gehostet wird. Die [command-and-control] C2-Server ist hochgradig geschützt, gepatcht und weist keine redundanten Ports zum Internet auf. Die Angreifer verwenden einen privaten Mining-Pool für ihre Kryptomining-Operationen, was verhindert, dass jemand auf die Statistiken ihrer Geldbörsen zugreifen kann.”

    Angriffsfluss für Kryptomining-Kampagne

    Laut Guardicore Labs beginnt der Angriff, wenn ein Rechner mit den oben erwähnten Exploitation-Tools der NSA angegriffen wird.

    “Diese Exploits führen Code im Kernel des Opfers aus und sind in der Lage, über asynchrone Prozeduraufrufe (APCs) Payloads in User-Mode-Prozesse zu injizieren”, so die Forscher. “Indexsinas nutzt die Exploits, um Code entweder in explorer.exe oder lsass.exe zu injizieren. Die injizierten Payloads – EternalBlue.dll für 32-Bit und DoublePulsar.dll für 64-Bit – laden drei ausführbare Dateien vom Haupt-C2-Server herunter.”

    Die heruntergeladenen Dateien enthalten eine ganze, umgekehrte DLL, eine Portable Executable-Datei, die sich als eine Version des Gh0stCringe Remote Access Tools (RAT) entpuppt, so die Forscher.

    Der Lader ruft auch ein Paar exportierte Funktionen auf – Install und MainThread. Die erste installiert das RAT, und die zweite führt die Kernfunktionalität aus, Befehle vom C2 zu erwarten und Maschineninformationen zu melden, z. B. Computername, Malware-Gruppen-ID, Installationsdatum und technische Daten der CPU.

    “Das Tool hat verschiedene Fähigkeiten; es kann zusätzliche Module herunterladen und ausführen, sie als Dienste installieren und mit dem Benutzer interagieren, indem es Nachrichtenboxen öffnet und URLs im Internet Explorer präsentiert”, erklären die Forscher.

    Währenddessen installieren die Dateien iexplore.exe und services.exe zwei Dienste mit Hilfe eines Tools, das sich als die Windows-Funktion svchost.exe ausgibt. Der erste Dienst ist für das Ablegen des Cryptominers (eine Version des XMRig Monero-Mining-Codes) verantwortlich, während der zweite einfach das Cryptominer-Modul ausführt.

    Eine weitere Nutzlast, die als Teil der ersten Stufe heruntergeladen wird, ist c64.exe, die wiederum zwei Dateien ablegt. Eine davon ist die ausführbare Datei ctfmon.exe – das Verbreitungswerkzeug.

    “Ctfmon.exe ist dafür verantwortlich, potenzielle Opfer zu finden und sie mit den Tools der Equation Group auszunutzen – und das tut es extrem gründlich”, so die Forscher. “Er nutzt Exploits sowohl für 32-Bit- als auch für 64-Bit-Rechner und scannt sowohl RPC- (TCP 139) als auch SMB-Ports (TCP 445). Außerdem versucht er, sich sowohl seitlich innerhalb des Unternehmensnetzwerks zu bewegen als auch über das Internet zu verbreiten.”

    Eine täglich geplante Aufgabe führt ein Batch-Skript aus, das einen Dienst installiert. Der Dienst führt ein weiteres Batch-Skript aus, das den Port-Scan und die Ausnutzung durchführt.

    “Die Batch-Skripte in diesen Abläufen deinstallieren auch die Dienste der Konkurrenten, beenden deren Prozesse und löschen deren Dateien”, heißt es in der Analyse. “Darüber hinaus säubern sie alte Indexsinas-Spuren.”

    Das Schreiben fügte hinzu: “Der Angriffsfluss besteht aus vielen Batch-Skripten, ausführbaren Payloads, Downloadern, Diensten und geplanten Aufgaben. Ein auffälliges Merkmal der Kampagne ist ihre Wettbewerbsfähigkeit; sie beendet Prozesse, die mit anderen Angriffskampagnen in Verbindung stehen, löscht deren Dateisystemreste und stoppt Dienste, die von anderen Angriffsgruppen erstellt wurden. Sie versucht auch, sich der Erkennung zu entziehen, indem sie Programme zur Prozessüberwachung und -analyse abschießt. Darüber hinaus stellt er sicher, dass er seine eigenen Dateien sofort nach der Ausführung löscht.”

    Wie man Indexsinas Wurm-Infektionen verhindert

    Es gibt einige Standard-Best-Practices, die Unternehmen helfen können, eine Infektion zu vermeiden.

    “Indexsinas und andere Angriffskampagnen nutzen verwundbare SMB-Server aus, um in Netzwerke einzudringen und sich seitlich darin zu bewegen”, so die Forscher. “Es gibt mehr als 1 Million SMB-Server, die für jeden im Internet zugänglich sind, und viele von ihnen sind immer noch anfällig für MS-17010; genau das macht Indexsinas und ähnliche Angriffskampagnen profitabel.”

    Das Patchen von SMB-Servern wäre also die erste Aufgabe. Als Nächstes gilt es, verwundbare Einstiegspunkte in die Organisation zu identifizieren. Und dann sind das Erreichen von Umgebungstransparenz und die Verwendung von Netzwerksegmentierung zwei bewährte Wege, um zu vermeiden, ein Opfer zu werden, so die Forscher.

    “Es ist entscheidend, dass Netzwerkadministratoren, IT-Teams und Sicherheitspersonal in der Lage sind, Anlagen und die von ihnen ausgeführten Dienste leicht zu identifizieren”, erklärten sie. “Insbesondere sollte es einfach sein, Server mit Internetanschluss zu erkennen, einschließlich SMB. Wenn die Sichtbarkeit gegeben ist, sollten Netzwerkadministratoren den Zugriff von und auf verschiedene Assets und die Netzwerkdienste, die sie bereitstellen, einschränken.”

    So sollten beispielsweise Unternehmensfunktionen und Fertigungs-/Produktionsbetriebe getrennt werden. Außerdem können Richtlinienregeln implementiert werden, die die SMB-Server eines Unternehmens schützen, wie z. B. das Verbot des Zugriffs aus dem Internet über SMB oder die Erlaubnis, dass nur bestimmte IP-Adressen auf die dem Internet zugewandten Dateiserver im Unternehmen zugreifen dürfen.

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com