Hummel

Betrifft den Punkt „Zustellung“, „Schwachstellenausnutzung“, „Installation“ und „Fernsteuerung“ der Cyber Kill Chain.


In den vergangenen Monaten gibt es immer mehr Ransomware-Angriffe mit einem neuen Angriffswerkzeug namens „BumbleBee“.

Der Angriff mit „BumbleBee“ läuft immer per eMail ab.

Das Opfer erhält eine eMail mit einem Anhang.

Wird der Anhang geöffnet läd der betroffene Computer selbstständig Daten aus dem Internet nach. Bei diesem speziellen Angriff ist das eine ISO-Datei; also quasi eine Art virtuelles Laufwerk.

Diese ISO-Datei wird von Windows als virtuelles Laufwerk erkannt und eingebunden. In diesem Laufwerk gibt es zwei Dateien. Eine sichtbare Datei mit der Endung *.lnk und eine versteckte Datei mit der Endung *.dat, *.vhd oder ähnlich. Das Betriebssystem führt dann die Anweisungen aus, die in den Skripten der virtuellen Festplatte hinterlegt sind. In der Regel wird dann das Angriffswerkzeugt „Cobalt Strike“ nachgeladen um den betroffenen Computer zu infizieren. „Cobalt Strike“ kann hier geladen werden cobaltstrike.com.

Die erwähnten Anweisungen können verschiedenster Art sein:

– die Festplatte verschlüsseln und den Benutzer zu einer Lösegeldzahlung auffordern

– alle Daten der Benutzerverzeichnisse werden ins Internet hochladen und dort „benutzt“

– Fotos von Kindesmissbrauch werden in den Benutzerverzeichnissen abgelegt und eine eMail an die örtliche Polizei versendet

– Oder, oder, oder …

Das macht diese Angriffsmethode so spannend. Der Angreifer ist also nicht unbedingt nur auf Lösegelderpressung eingeschränkt, sondern kann auch anders „Spass haben“.

Wie kann man sich schützen?

„BumbleBee“ wird von allen gängigen Virenscannern erkannt; darauf blind verlassen sollte man sich allerdings nicht.

eMails mit „komischen“ Dateianhängen sollten weggefiltert werden. Am Besten alle eMails rausfiltern die irgendeinen Dateianhang haben.

Der Benutzer sollte nicht als Administrator am Computer arbeiten. Bedauerlicherweise ist bei vielen Windows Installationen genau nur ein Benutzerkonto eingerichtet. Dieses Konto hat aber dann, prinzipbedingt, automatisch Administratorrechte. Viele Anwender wissen das gar nicht und Microsoft weißt auch nicht explizit darauf hin. Daher gilt, bei Windows mindestens zwei Konten einrichten. Ein Administratorkonto und ein „normales“ Konto mit dem die tägliche Arbeit erledigt wird.

Das eMail-Programm sollte in einer Sandbox oder in einer virtuellen Maschine laufen. Falls es mal zu einer „Infektion“ kommt, kann die Schadsoftware dann nur geringen Schaden anrichten. Für den Privatgebrauch oder für kleine Unternehmen kann ich, als Sandbox, das Programm „Sandboxie-Plus“ empfehlen.

Info für das Selbststudium

„BumbleBee“ ist quasi ein Nachfolger des „BazarLoader“, welcher durch die Angreifergruppe „Conti“ entwickelt wurde.

Mehr zu „Conti“ unter https://en.wikipedia.org/wiki/Conti_(ransomware).

Mehr zu den Angriffstechniken von „Conti“ (entlang der Cyber Kill Chain) unter https://jkb-s.github.io/snake-attack/malware%20and%20tools%20-%20techniques%20graphs/S0575-Conti.html

Mehr zu „BazarLoader“ unter https://heimdalsecurity.com/blog/bazarbackdoor-malware-distributed-via-corporate-website-contact-forms/

Hier wurde mal durchgespielt wie man mit „BumbleBee“ sogar Domain Admin wird https://thedfirreport.com/2022/08/08/bumblebee-roasts-its-way-to-domain-admin/


weitere Fachbeiträge …


Informationssicherheit und Datenschutz – Beratung und Konzeption – Landsberg am Lech