Die Insikt Group® von Recorded Future hat neue Nachweismethoden für Thanos entwickelt Ransomware im Rahmen einer eingehenden Untersuchung. Zu den Datenquellen gehörten die Recorded Future® Platform, Online-Multiscanner-Repositories und verschiedene OSINT-Werkzeuge.

Zur Zielgruppe dieser Untersuchung gehören Sicherheitsexperten, Netzwerkverteidiger und Experten für Bedrohungsinformationen, die sich für neue Bedrohungen durch Ransomware interessieren.

Executive Summary

Im Januar 2020 entdeckte die Insikt Group mithilfe der Recorded Future ® Plattform den Einsatz der RIPlace-Technik als Waffe und entdeckte dabei eine neue Ransomware-Familie namens Thanos, die im Exploit Forum zum Verkauf angeboten wurde und von einem Bedrohungsakteur mit dem Pseudonym „Nosophoros“ entwickelt wurde.

Nosophoros bot Thanos als privaten Ransomware-Builder an mit der Möglichkeit, neue Thanos-Ransomware-Clients basierend auf 43 verschiedenen Konfigurationsoptionen zu generieren. Recorded Future hat den Builder der Thanos-Ransomware analysiert, um die Bandbreite der von der Thanos-Ransomware unterstützten Funktionen zu erkennen, zu verstehen und auszunutzen. Der Thanos-Client ist in seiner Gesamtstruktur und Funktionalität einfach. Es ist in C# geschrieben und auch mit Verschleierung leicht zu verstehen, enthält jedoch einige erweiterte Funktionen wie die RIPlace-Technik.

Während dieser Untersuchung stellten wir eine Überschneidung zwischen unseren Erkennungen und einer Ransomware-Familie namens Hakbit fest. Aufgrund der Codeähnlichkeit, der Wiederverwendung von Zeichenfolgen und der Kernfunktionalität geht die Insikt Group mit hoher Sicherheit davon aus, dass als Hakbit verfolgte Ransomware-Beispiele mit dem von Nosophoros entwickelten Thanos-Ransomware-Builder erstellt wurden.

Die Benutzerfreundlichkeit von Thanos war für seinen Entwickler ein Vorteil, da Recorded Future die steigende Popularität der Malware in mehreren Untergrundforen beobachtet hat. Unserer Ansicht nach ist dies ein Hinweis auf den anhaltenden Trend, dass Bedrohungsakteure nach gebrauchsfertiger Ransomware suchen. Nosophoros hat Thanos in den letzten sechs Monaten mit regelmäßigen Updates und neuen Funktionen weiterentwickelt. Thanos wird als „Ransomware-Partnerprogramm“ beworben, ähnlich einem Ransomware-as-a-Service-Modell (RaaS). Thanos wird im Rahmen des Partnerprogramms weiterhin von Bedrohungsakteuren einzeln oder gemeinsam als Waffe eingesetzt.

Wichtige Urteile

• Thanos war die erste Ransomware-Familie, die mit der Verwendung der RIPlace-Technik wirbt. Dies ist ein reales Beispiel dafür, wie Untergrundakteure Proofs of Concept aus der Sicherheitsforschung als Waffe einsetzen.
• Die Thanos-Ransomware beinhaltet, mit Ausnahme der Verwendung von RIPlace, keine neuen Funktionen oder Techniken. Mit bewährten Methoden der Informationssicherheit, beispielsweise dem Verbot externer FTP-Verbindungen und dem Blacklisting von Downloads bekanntermaßen anstößiger Sicherheitstools, lassen sich die Risiken im Zusammenhang mit den beiden Hauptkomponenten von Thanos – Data Stealer und Lateral Movement – abwenden.
• Aufgrund der Codeähnlichkeit, der Wiederverwendung von Zeichenfolgen und der Kernfunktionalität geht Recorded Future mit hoher Sicherheit davon aus, dass es sich bei der Thanos-Ransomware um die gängige Ransomware handelt, die von anderen Sicherheitsforschern als Hakbit identifiziert wurde.
• Standardmäßig verwendet Thanos eine zufällige, zur Laufzeit generierte 32-Byte-Zeichenfolge als Kennwort für die AES-Dateiverschlüsselung. Die Zeichenfolge wird dann mit dem öffentlichen Schlüssel des Ransomware-Betreibers verschlüsselt und der Lösegeldforderung hinzugefügt. Ohne den entsprechenden privaten Schlüssel ist eine Wiederherstellung verschlüsselter Dateien unmöglich.
• Der Thanos Builder beinhaltet die Option, ein statisches Passwort für die AES-Dateiverschlüsselung zu verwenden. Wenn diese Option ausgewählt ist, enthalten die von Thanos generierten Clients das zum Verschlüsseln von Dateien verwendete AES-Passwort. Durch die Analyse des Clients könnte eine Datenwiederherstellung ohne Zahlung des geforderten Lösegelds möglich sein.
• Während der Ausführung des Thanos-Clients können die Verschlüsselungs- und Entschlüsselungsschlüssel aus dem Speicher wiederhergestellt werden, was einen Datenverlust ohne Zahlung des geforderten Lösegelds verhindern sollte.

Hintergrund

Im November 2019 veröffentlichte das Sicherheitsunternehmen Nyotron einen Proof of Concept für eine Ransomware-Technik namens RIPlace. Zum Zeitpunkt der Veröffentlichung umging RIPlace die meisten vorhandenen Anti-Ransomware-Methoden, schlüpfte an getesteten Antivirenprodukten (AV) vorbei und entzog sich der Erkennung durch EDR-Produkte (Endpoint Detection and Response). Nyotron gab den Fehler an die aufgeführten Anbieter, einschließlich Microsoft, weiter. Laut der Erklärung von Microsoft, die BleepingComputer gegeben wurde, wurde RIPlace jedoch zum Zeitpunkt des Schreibens nicht als Schwachstelle angesehen, und da CFA eine Defense-in-Depth-Funktion ist, erfüllt sie nicht unsere Sicherheitskriterien, da RIPlace zum Zeitpunkt des Schreibens nicht bei Ransomware beobachtet wurde. Laut BleepingComputer haben nur Kaspersky und Carbon Black ihre Software modifiziert, um die Ausführung dieser Technik zu verhindern, wie zuletzt im November 2019 berichtet wurde. Bereits seit Januar 2020 beobachtet die Insikt Group jedoch Mitglieder des Dark Web und von Untergrundforen, die die RIPlace-Technik anwenden.

Die Insikt Group beobachtete die Thanos-Ransomware erstmals im Februar 2020, als sie vom Bedrohungsakteur Nosophoros im XSS-Forum aufgrund eines Funktionsupdates mit der RIPlace-Technik beworben wurde. Nosophoros bietet für den Thanos Builder entweder ein monatliches „Light“-Abonnement oder ein lebenslanges „Company“-Abonnement an. Die Unternehmensversion beinhaltet im Vergleich zur Light-Version zusätzliche Funktionen, wie etwa RootKit, RIPlace-Technologie, Client-Ablaufeinstellungen für Partnerprogramme und Verbreitung im LAN. Dieser Bericht basiert auf einer Analyse der lebenslangen „Unternehmens“-Version, die alle Funktionen der Thanos-Ransomware abdeckt.

Bedrohungsanalyse

Builder-Analyse

Der Thanos-Ransomware-Builder gibt den Betreibern der Ransomware die Möglichkeit, die Ransomware-Clients mit vielen verschiedenen Optionen zu erstellen. Die vollständige Benutzeroberfläche des Builders ist in Abbildung 2 zu sehen. Der Builder bietet einige Standardoptionen, erfordert jedoch die Konfiguration anderer Optionen durch den Betreiber, wie beispielsweise die Bitcoin-Adresse, die in die Lösegeldforderung aufgenommen wird. Weitere Optionen können nach Ermessen des Betreibers aktiviert werden.

Sobald der Bediener die Konfigurationsphase abgeschlossen hat, generiert der Builder eine ausführbare .NET-Datei im Verzeichnis seiner Wahl. Die generierten Binärdateien scheinen das Ergebnis des Ersetzens von Zeichenfolgen in einer Binärvorlagendatei basierend auf den ausgewählten Konfigurationsoptionen zu sein und basieren auf den Konfigurationsoptionen, die die Zeichenfolgenwerte „JA“ und „NEIN“ anstelle von tatsächlichen Booleschen Werten verwenden. Ein Beispiel für ein nicht verschleiertes Beispiel mit den Konfigurationsoptionen ist in Abbildung 3 zu sehen. Wenn Sie im Builder mit der Maus über jede dieser Optionen fahren, wird eine Hilfemeldung für die Option angezeigt. Die vollständige Liste der Optionen und ihrer Hilfemeldungen finden Sie in Anhang A.

Der Ersteller ist auch für die Verwaltung der Verschleierung der endgültigen Binärdateien verantwortlich. Wenn keine Verschleierung aktiviert ist, enthalten die generierten ausführbaren .NET-Dateien Klartextzeichenfolgen, weisen jedoch weiterhin zufällige Namen für Variablen, Methoden, Klassen und Namespaces auf. Der Builder bietet zwei Verschleierungsmethoden. Die primäre Methode ist die Verwendung einer gecrackten Version des kommerziellen Verschleierungstools namens SmartAssembly, das von der Firma Redgate entwickelt wurde. Die sekundäre Methode ist eine Konfigurationsoption, die eine Inno Setup-Installationsdatei mit dem Client als eingebettete Ressourcendatei erstellt.

Ransomware-Client-Übersicht

Der Thanos-Client ist in C# geschrieben. Die generierten Clients hatten alle zufällige Zeichenfolgen für die Methodennamen, Variablennamen und Klassennamen.

Der Thanos-Client enthält 12 bis 17 Klassen, abhängig von den während der Erstellungsphase gewählten Optionen und Einstellungen. Einige der Klassen, wie etwa Program und Crypto, sind in jedem Build enthalten. Andere, wie etwa NetworkSpreading und Wake on LAN, sind nur dann in der endgültigen Binärdatei enthalten, wenn die entsprechende Option ausgewählt ist. Die folgende Tabelle enthält die Kernklassen und unsere Beschreibung ihres beabsichtigten Zwecks.

Insikt hat im Abschnitt „Analyse der Thanos-Client-Funktionen“ zusätzliche Analysen zu einigen der interessanteren Klassen bereitgestellt.

Ausführungsablauf des Thanos-Clients

Der allgemeine Ausführungspfad von Thanos umfasst drei Hauptaktivitäten, die unten gezeigt und in Abbildung 4 dargestellt sind.

1. Erweiterte Optionen: Führt Aktionen im Zusammenhang mit den Konfigurationseinstellungen aus
2. Beendigung und Wiederherstellung verhindern: Stoppt Dienste und Prozesse, die die Ausführung verhindern, und löscht Sicherungsdateien und Schattenkopien.
3. Verschlüsseln und Hochladen: Dateien verschlüsseln und auf FTP hochladen, wenn dies zum Zeitpunkt der Erstellung konfiguriert wurde, und die Lösegeldforderung anzeigen

Erweiterte Optionen

Die erste Phase besteht hauptsächlich aus der Ausführung der während des Builds festgelegten erweiterten Optionen. Hierzu gehören Aktionen wie Kill Defender, Anti-VM und AMSI Bypass. Innerhalb des Clients selbst können die Konfigurationseinstellungen durch eine Liste von Variablen und Zeichenfolgenarrays am Ende der Programmklasse bestimmt werden. Abbildung 5 zeigt, wie die Konfigurationseinstellungen innerhalb des Clients auf „Ja“ oder „Nein“ gesetzt werden.

Kündigung und Wiederherstellung verhindern

Nachdem der Client die Konfigurationsaktionen ausgeführt hat, führt er als Nächstes eine Reihe von Aufgaben aus, um einen erfolgreichen Betrieb sicherzustellen und Backups und Schattenkopien zu löschen. Diese Tasks verursachen mehrere Kindprozesse, jeder mit unterschiedlichen Argumenten für net.exe, taskkill.exe, del.exe und vssadmin.exe. Anhang B behandelt diese Maßnahmen ausführlicher.

Verschlüsseln und Hochladen

Schließlich durchsucht der Thanos-Client die angeschlossenen Speicherlaufwerke und versucht, Dateien mit den im Builder konfigurierten Dateierweiterungen zu finden und zu verschlüsseln (die Standarderweiterungen finden Sie in Anhang C). Wenn die Option zum Hochladen von Dateien auf einen FTP-Server aktiviert ist (im Builder „Datastealer“ genannt), werden Dateien mit Erweiterungen, die mit einer zum Build-Zeitpunkt konfigurierten Liste übereinstimmen, vor der Verschlüsselung hochgeladen. Die Standarderweiterungen zum Hochladen sind „.docx“, „.pdf“, „.xlsx“ und „.csv“. Die Erweiterungen verschlüsselter Dateien werden in einen beim Build-Typ festgelegten Wert geändert, mit dem Standardwert „.crypted“.

Nach der Verschlüsselung der Dateien wird die Lösegeldforderung (siehe Abbildung 6) auf dem Desktop sowie in allen Ordnern gespeichert, in denen Dateien verschlüsselt wurden. Der standardmäßige Lösegelddateiname lautet „HELP_ME_RECOVER_MY_FILES.txt.“ Der Thanos-Client hat außerdem die Möglichkeit, das Hintergrundbild in ein Bild zu ändern, das von einem vom Bedrohungsakteur festgelegten HTTP-Server heruntergeladen wird.

Der Thanos-Client kann so konfiguriert werden, dass er ein Protokoll des abgeschlossenen Verschlüsselungsprozesses erstellt und dieses Protokoll auf den FTP-Server eines Bedrohungsakteurs hochlädt. Abgesehen von der FTP-Funktionalität und der Möglichkeit, ein Hintergrundbild von einem Webserver herunterzuladen, verfügt der Thanos-Client über keine integrierte Funktionalität für die Command-and-Control-Kommunikation (C2).

Wenn dies konfiguriert ist, löscht sich der Thanos-Client nach Abschluss aller vorherigen Schritte selbst.

Analyse der Thanos-Clientfunktionen

Um die Fähigkeiten der Thanos-Ransomware zu verstehen, hat Recorded Future über 80 Clients mit unterschiedlichen aktivierten Konfigurationsoptionen generiert. In diesem Abschnitt werden sechs der Hauptmerkmale der Ransomware hervorgehoben.

Verschlüsselungsprozess

Der Thanos-Client verwendet AES-256 im CBC-Modus, um Benutzerdateien zu verschlüsseln. Der für die AES-Verschlüsselung verwendete Schlüssel wird aus einem Kennwort und Salt mithilfe des Windows-Funktionsaufrufs rfc2898DeriveBytes abgeleitet. Nachdem der Client diesen Schlüssel zum Verschlüsseln aller erkannten Dateien verwendet hat, verwendet der Client einen eingebetteten öffentlichen RSA-Schlüssel 2048, um das verwendete AES-Kennwort zu verschlüsseln. Die Base64-Zeichenfolge dieses verschlüsselten Passworts wird der Lösegeldforderung hinzugefügt und weist das Opfer an, die verschlüsselte Passwortzeichenfolge an die Bedrohungsakteure zu senden, um ihre Dateien zu entschlüsseln. Der private Schlüssel, der mit dem öffentlichen Schlüssel gekoppelt ist, der zum Verschlüsseln des Kennworts verwendet wird, wird benötigt, um das AES-Kennwort zu entschlüsseln. Nur der Operator, der den Thanos-Client erstellt hat, sollte Zugriff auf den privaten Schlüssel haben.

Dieses Kennwort ist entweder statisch in der Binärdatei enthalten oder wird zur Laufzeit dynamisch erstellt. Die Auswahl wird durch eine Builder-Option zur Verwendung eines statischen Passworts bestimmt. Der Hilfetext zu dieser Option lautet: „Alle Computer im selben Netzwerk werden mit demselben Verschlüsselungskennwort verschlüsselt.“ Wenn ein dynamischer Schlüssel gewählt wird, generiert der Thanos-Client vor dem Starten des Verschlüsselungsprozesses mithilfe des Windows RNGCryptoServiceProvider eine zufällige 32-Byte-Base64-Zeichenfolge, die als AES-Kennwort verwendet wird. Wenn der Thanos-Client für die Verwendung eines statischen Kennworts konfiguriert ist, wird das Kennwort in der Binärdatei selbst gespeichert. Dies bedeutet, dass, wenn ein Thanos-Client nach der Verschlüsselung wiederhergestellt wird, die Chance besteht, dass die Opfer ihre Dateien wiederherstellen können, ohne das Lösegeld zu zahlen.

Der Thanos-Client unterstützt auch einen "schnellen" Verschlüsselungsmodus, bei dem nur ein Teil jeder Datei verschlüsselt wird. Die Größe des verschlüsselten Teils wird zur Buildzeit festgelegt. Wenn dieser Modus aktiviert ist, verschlüsselt der Client eine konfigurierte Datenmenge aus der Datei, überschreibt die Datei mit dem verschlüsselten Inhalt ab dem Anfang des finally-Modus und stellt eine Zeichenfolge im Format "Thanos--" voran. Der dafür verantwortliche Code ist in Abbildung 7 zu sehen.

RIPlace

Eine der Funktionen auf der „Unternehmensebene“ ist die Möglichkeit, den Verschlüsselungsprozess des Thanos-Clients so zu ändern, dass die RIPlace-Technik verwendet wird. Wie bereits erwähnt, handelt es sich bei RIPlace um eine im November 2019 vom Sicherheitsunternehmen Nyotron veröffentlichte Technik, mit der bestimmte Anti-Ransomware-Maßnahmen umgangen werden können.

Einen detaillierten Blick auf die Technik finden Sie auf der Website von Nyotron. Im Allgemeinen beschreibt die Technik einen Prozess zum Verschlüsseln einer Zieldatei, indem symbolische Verknüpfungen über einen MS-DOS-Gerätenamen genutzt werden, um eine verschlüsselte Version der Datei an den ursprünglichen Dateispeicherort zu kopieren.

Wenn diese Option im Thanos-Builder aktiviert ist, verfügen generierte Clients über eine zusätzliche Klasse und eine Modifikation des Verschlüsselungs-Workflows, um die RIPlace-Technik zu verwenden.

Der geänderte Workflow ist relativ einfach. Die Funktion, die für den RIPlace-Workflow verantwortlich ist, ist in Abbildung 8 zu sehen. Zuerst kopiert der Thanos-Client den Inhalt der Zieldatei in ein temporäres Verzeichnis, verschlüsselt den Inhalt der Datei und speichert den verschlüsselten Dateiinhalt in der Datei im temporären Verzeichnis. Anschließend führt der Client den in Abbildung 9 gezeigten Code aus, in dem ein MS-DOS-Gerätename mit dem Pfad zur Zieldatei und dem Gerätenamen "Resolve" erstellt wird. MoveFileExW wird aufgerufen, um die verschlüsselte Datei im temporären Verzeichnis auf das neue MS-DOS-Gerät zu verschieben, das als symbolischer Zeiger auf den Zieldateipfad fungiert. Das Endergebnis ist, dass die Zieldatei mit der verschlüsselten Kopie der Datei überschrieben wird.

Seitliche Bewegung

Die Lateral-Movement-Funktion des Thanos-Clients wird hauptsächlich durch die Verwendung des SharpExec-Tools gesteuert, einem offensiven Sicherheitstool, das speziell für laterale Bewegungen entwickelt wurde. Der Client lädt die SharpExec-Tools aus seinem GitHub-Repository herunter (die Download-URLs finden Sie im Abschnitt Erkennung und Abwehr).

Zuerst scannt der Thanos-Client das lokale Netzwerk, um eine Liste der Online-Hosts zu erhalten. Dann verwendet Thanos die PSEXEC-ähnliche Funktionalität von SharpExec, die es ermöglicht, den Thanos-Client auf Remotecomputern auszuführen.

Wake on LAN (WoL)

Um sich seitlich über das lokale Netzwerk eines Opfers zu verbreiten, nutzt Thanos eine Hardwarefunktion einiger Computer namens „Wake on LAN“ (WoL), die dazu führt, dass sich der Host einschaltet. Dies geschieht durch das Senden eines WoL-„Magic Packet“ im in Anhang D beschriebenen Format.

Um dies zu erreichen, verwendet der Client zunächst das Address Resolution Protocol (ARP), um eine Zuordnung von IP-Adressen und Media Access Control (MAC)-Adressen zu erstellen. Diese Informationen sind in einer ARP-Tabelle enthalten.

Mit den IP-Adressen und MAC-Adressen kann der Client das „Magic Packet“ erstellen und an die Remote-Hosts senden. Der Thanos-Client versucht dann, mit dem Benutzernamen „Administrator“ oder „Admin“ eine Verbindung zum Laufwerk des Remote-Hosts herzustellen. Wenn die Verbindung erfolgreich ist, wird das Remote-Laufwerk zur Liste der zu verschlüsselnden Laufwerke hinzugefügt.

Die WoL-Funktionalität ähnelt der der WoL-Implementierung, die in Ryuk beobachtet wurde.

Datendiebstahl

Der Thanos-Client folgt einem gängigen Trend bei Ransomware-Operationen, bei dem die Opfer mit der öffentlichen Verbreitung vertraulicher Dateien erpresst werden. Daher verfügt er über die Möglichkeit, alle Dateien mit einem festgelegten Satz von Erweiterungen zu exfiltrieren. Die Standarderweiterungen zum Hochladen sind „.docx“, „.pdf“, „.xlsx“ und „.csv“, diese können jedoch zur Build-Zeit geändert werden. Die Exfiltration erfolgt über einen FTP-Webclient. Die Standardparameter für die FTP-URL, den Benutzernamen und das Kennwort sind alle in den Endclients sichtbar, selbst nach einigen Verschleierungsvorgängen. Der Code, der dies verwaltet, ist in Abbildung 12 zu sehen.

Ausblick

Recorded Future veröffentlichte im Februar 2020 einen Bericht, der eine Reihe von Ransomware-Trends für das Jahr vorhersagte, darunter:

• Der Ransomware-as-a-Service-Markt wird weiter florieren
• Es wird weiterhin eine Trennung zwischen den „Besitzenden“ und den „Nichtbesitzenden“ von Ransomware geben.

Wir glauben, dass diese Vorhersagen repräsentativ für den weiteren Weg von Thanos sind. Das RaaS-Modell war für andere Betreiber äußerst erfolgreich, da es die schnellste Möglichkeit darstellte, ihre Operationen an Bedrohungsakteure auszulagern. Die Insikt Group hat beobachtet, dass Nosophoros den ursprünglichen Beitrag im Exploit Forum mit „Thanos Ransomware Affiliate Program“ betitelt hat. Wie bereits erwähnt, können diejenigen, die eine „Light“-Version von Thanos kaufen oder erwerben möchten, am Partnerprogramm teilnehmen, obwohl die Voraussetzungen für die Partnermitgliedschaft nicht bekannt sind. Andere können sich jedoch für den Erwerb der vollständigen „Firmen“-Version von Thanos entscheiden und haben die Möglichkeit, ihr eigenes Partner- oder RaaS-Unternehmen zu gründen. Zum Zeitpunkt der Veröffentlichung stellte die Insikt Group fest, dass Nosophoros von der Community positive Resonanz erhalten hat. Es wurde behauptet, das Tool „funktioniere einwandfrei“, und es wurde darum gebeten, „weiterhin Updates bereitzustellen“. Thanos wird von Nosophoros aktiv entwickelt. Recorded Future geht davon aus, dass es sehr wahrscheinlich ist, dass Bedrohungsakteure Thanos im Rahmen des Partnerprogramms weiterhin einzeln oder gemeinsam als Waffe einsetzen werden.

Und schließlich ist durch die Identifizierung der Hakbit-Samples als zur Thanos-Ransomware-Familie gehörend klar, dass Thanos in den vergangenen sechs Monaten kontinuierlich eingesetzt wurde. Wie bereits erwähnt, wurden in jede neu beobachtete Probe im Laufe der Zeit zusätzliche Funktionen integriert. Dies legt die Vermutung nahe, dass Nosophoros die Ransomware aktiv weiterentwickelt – ein Trend, der voraussichtlich nicht so schnell enden wird.

Anmerkung der Redaktion: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.