Phone call Mail
Jetzt kostenfreie Erstberatung per Mail oder Telefon: +49 228 33 8889 0
EnBITCon GmbH

OT-Sicherheit - Dragos meldet neue OT-Ransomware EKANS

7. Februar 2020   Bastian Seibel
In eigener Sache

Anfang Januar entdeckten Sicherheitsexperten der Firma Dragos eine neue Ransomware welche EKANS getauft wurde. EKANS steht hier für Snake (Schlange) rückwärts. Da es bereits eine Malware mit dem Namen Snake gab, wurde der Name EKANS gewählt.

Während der Untersuchung von EKANS beobachtete Dragos eine Liste von Prozessen, die mit dem Betrieb von industriellen Steuerungssystemen (ICS) verbunden sind. Die Malware war darauf ausgelegt, die genannten Prozesse auf den betroffenen Maschinen zu beenden. Dies ist für EKANS besonders hervorzuheben, da Ransomware zwar schon früher ICS-Umgebungen angegriffen hat, aber alle früheren Ereignisse mit IT-orientierter Ransomware verbunden sind. Bisher wurden OT, ICS und SCADA System nicht direkt angegriffen. Die OT war bei Ransomware Angriffen bisher zufällig statt absichtlich betroffen.

EKANS ist eine verschleierte Ransomware-Variante, die in der Programmiersprache Go geschrieben wurde, welche Ende Dezember 2019 erstmals in kommerziellen Malware-Repositories beobachtet wurde.

Die Binärdatei allein besteht aus mehreren kodierten Zeichenfolgen. Das Kodierungsschema kann jedoch identifiziert und umgekehrt werden, und bereits am 07. Januar 2020 wurde eine öffentlich zugängliche Analyse bereitgestellt.  Die Überprüfung der kodierten Zeichenfolgen zusammen mit der Überwachung der Malware-Ausführung in einer Sandbox-Umgebung identifiziert den Programmfluss der Ransomware.

Zunächst prüft die Malware das System auf das Vorhandensein eines Mutex-Wertes, "EKANS". Falls vorhanden, stoppt die Lösegeldforderung mit der Meldung "bereits verschlüsselt! Andernfalls wird der Mutex-Wert gesetzt und die Verschlüsselung mit Hilfe von Standardfunktionen der Verschlüsselungsbibliothek fortgesetzt. Die primäre Funktionalität auf den Systemen der Opfer wird über Aufrufe der Windows-Management-Oberfläche (WMI) erreicht, die mit der Ausführung von Verschlüsselungsoperationen beginnt und die Datenträger-Schattenkopie-Sicherungen auf dem Opfer entfernt.

Bevor mit den Dateiverschlüsselungsoperationen fortgefahren wird, stoppt ("terminiert") die Lösegeldforderung Prozesse, die nach Prozessnamen in einer fest kodierten Liste innerhalb der verschlüsselten Zeichenfolgen der Malware aufgelistet sind. Während einige der referenzierten Prozesse sich auf Sicherheits- oder Verwaltungssoftware zu beziehen scheinen (z.B. Qihoo 360 Safeguard und Microsoft System Center), betrifft die Mehrzahl der aufgelisteten Prozesse Datenbanken (z.B. Microsoft SQL Server), Datensicherungslösungen (z.B. IBM Tivoli) oder ICS-bezogene Prozesse.

Zu den referenzierten ICS-Produkten gehören zahlreiche Verweise auf den Proficy-Datenhistoriker von GE, wobei sowohl Client- als auch Server-Prozesse enthalten sind. Zu den zusätzlichen ICS-spezifischen Funktionen, auf die verwiesen wird, gehören GE Fanuc-Lizenzserverdienste und Honeywells HMIWeb-Anwendung. Die restlichen ICS-bezogenen Elemente bestehen aus einer Fernüberwachung (z.B. historikerähnlich) oder einer Lizenzserver-Instanz wie FLEXNet und Sentinel HASP Lizenzmanager und ThingWorx Industrial Connectivity Suite. Wie bereits erwähnt, führt die Malware keine andere Aktion aus, als den referenzierten Prozess gewaltsam zu stoppen. Die Malware ist daher nicht in der Lage, Befehle in ICS-bezogene Prozesse einzufügen oder diese anderweitig zu manipulieren. Die Ausführung auf dem richtigen System (z. B. einem Datenhistoriker) würde jedoch einen Sichtverlust im Netzwerk verursachen.

Nach Prozessstopp und Verschlüsselungsaktionen legt EKANS eine Lösegeldforderung an das Stammverzeichnis des Systemlaufwerks (normalerweise C:\) und den Desktop des aktiven Benutzers. In der Lösegeldforderung wird eine Kontakt-E-Mail genannt, sowie ein Angebot gemacht, die Rettbarkeit der Daten zu demonstrieren. Es handelt sich hierbei also nicht um Ransomware wo die Daten nicht wiederhergestellt werden können, selbst nach Zahlung des Lösegelds.

EKANS besitzt keinen eingebauten Ausbreitungs- oder Verteilungsmechanismus. Die Malware muss stattdessen entweder interaktiv oder per Skript gestartet werden, um einen Rechner zu infizieren. Damit folgt EKANS einem Trend, der u.a. in anderen Ransomware-Familien wie Ryuk und MEGACORTEX beobachtet wurde, wo eine Selbstverbreitung zugunsten einer groß angelegten Kompromittierung eines Unternehmensnetzwerks vermieden wird. Einmal erreicht, kann die Ransomware im gesamten Netzwerk per Skript, Active Directory-Kompromittierung oder einem anderen Mechanismus platziert und zeitgesteuert werden, um eine gleichzeitige Infektion und Systemunterbrechung zu erreichen.

In der Vergangenheit konzentrierte sich die Besorgnis über Ransomware in ICS-Umgebungen auf die Verbreitungsmechanismen. Im Wesentlichen könnte IT-orientierte Ransomeware die Kontrollsystemumgebungen beeinträchtigen, wenn sie in Windows-basierte Teile von Kontrollsystemnetzwerken migrieren und so den Betrieb stören könnten. Daher stellte jede durch Ransomware verursachte ICS-Störung das Ergebnis einer übermäßig aggressiven Malware-Ausbreitung dar, die zu ICS-Auswirkungen führte.

EKANS (und anscheinend auch einige Versionen von MEGACORTEX) verschieben diese Darstellung, da die ICS-spezifische Funktionalität direkt in der Malware referenziert wird. Während einige dieser Prozesse in typischen Unternehmens-IT-Netzwerken wie Proficy-Servern oder Microsoft SQL-Servern vorkommen können, weist die Einbeziehung von HMI-Software, Historiker-Clients und zusätzlichen Elementen auf eine minimale, wenn auch grobe Kenntnis der Prozesse und Funktionen der Steuerungssystemumgebung hin.

Das tatsächliche Ausmaß der Auswirkungen, die EKANS oder das ICS-bewusste MEGACORTEX auf das industrielle Umfeld haben könnte, ist unklar. Die Ausrichtung auf Historiker und Datenerfassungsprozesse sowohl auf Client- als auch auf Serverebene verursacht erhebliche Kosten für ein Unternehmen und könnte zu einem Sichtverlust in der gesamten Anlagenumgebung führen. Die Auswirkungen auf die Beendigung von Lizenzserver- und HMI-Prozessen sind weniger klar, da möglicherweise noch andere Prozesse im Spiel sind, um die Funktionalität zu ermöglichen, und Fallbacks oder "Karenzzeiten" für Lizenzserver können den weiteren Betrieb für einige Zeit ohne das Lizenzverwaltungssystem ermöglichen.

Dennoch bleibt diese Unsicherheit inakzeptabel angesichts der Möglichkeit, je nach präziser Umgebungskonfiguration und Prozessverbindungen unbeabsichtigte Kontrollverlust-Situationen zu erzeugen. Folglich stellen EKANS und seine mutmaßliche Muttergesellschaft MEGACORTEX-Variante ein einzigartiges und spezifisches Risiko für industrielle Operationen dar, das bisher bei Lösegeldoperationen nicht beobachtet wurde. Während einige Organisationen im Notfall auf den "manuellen Modus" zurückgreifen können, sind die Kosten und die Ineffizienz eines solchen Rückfalls (wenn eine solche Umstellung ohne größere Probleme erfolgt) immer noch erheblich. Angesichts dieser Aspekte stellen EKANS und ähnliche Ransomware spezifische und einzigartige Risiken und Kostenauflagen für industrielle Umgebungen dar.

Was man dagegen unternehmen kann

Host:

  • Im Gegensatz zu einigen anderen neueren Lösegeld-Varianten ist EKANS nicht code-signiert. Die Implementierung von Kontrollen in Kontrollsystemnetzwerken, die die Ausführung von nicht signierten Binärdateien verbieten, kann daher die Ausführung von Malware wie dieser abschwächen. Leider werden viele Softwarepakete legitimer Anbieter weiterhin in unsignierter Form verteilt, so dass diese Strategie zur Abschwächung in vielen Fällen nicht praktikabel ist.
  • Ähnlich wie oben beschrieben, aber auf generischere Mechanismen angewiesen, können Organisationen die Ausführung von bisher ungesehenen ausführbaren Dateien aus nicht standardisierten oder nicht aktualisierten Quellen verbieten oder zumindest überwachen. Auch hier gilt: Auch wenn dies angesichts der Art und Weise, wie einige legitime Softwarepakete erstellt und verteilt werden, unvollkommen ist, kann dies dennoch zumindest als erster Alarm dienen, um weitere Untersuchungen zu veranlassen und möglicherweise die Verbreitung von bösartiger Software in sensiblen Netzwerken zu begrenzen.
  • Insbesondere im Rahmen der Tätigkeit von ICS-Historikern können Organisationen einen möglicherweise laufenden Störungsangriff erkennen, indem sie eine Logik oder Überwachung ihres Historikers (wie in diesem Fall GE Proficy) implementieren, um Fälle zu identifizieren, in denen mehrere Endpunkte die Kommunikation und die Berichterstattung an den Historiker etwa zur gleichen Zeit einstellen. Auch wenn die Systeme möglicherweise noch offline oder gefährdet sind, erleichtert die Identifizierung dieses Datenpunkts zu einem frühen Zeitpunkt der Untersuchung die Analyse der Grundursache des Ereignisses, indem potenzielle ICS-spezifische Funktionen, wie die in EKANS angezeigte, identifiziert werden.
  • Obwohl eine häufige Empfehlung für Lösegeld-Ereignisse, müssen Organisationen den Schwerpunkt auf die Erstellung regelmäßiger Backups wichtiger Dateien und Systeme und deren Speicherung an einem sicheren Ort legen, der vom regulären Netzwerk aus nicht leicht zugänglich ist. Insbesondere bei ICS-Operationen müssen die Sicherungen die letzten bekannten Konfigurationsdaten, Projektdateien und verwandte Elemente enthalten, um eine schnelle Wiederherstellung im Falle eines Störfalls zu ermöglichen.

Netzwerk:

Wenn möglich, identifizieren Sie die Übertragung unbekannter Binärdateien über Netzwerkmittel von Unternehmensnetzwerken zu Kontrollsystem-Enklaven. Auch wenn die Identifizierung, wann ausführbarer Code in die ICS-Umgebung gelangt, unvollkommen ist, kann es den Verteidigern zumindest ermöglichen, diese Aktivität mit anderen verdächtigen Beobachtungen (wie z.B. Neuanmeldung oder promiskuitive Anmeldeaktivitäten) zu korrelieren, die auf einen Einbruch hinweisen könnten.

Backups:

Viele Ransomware-Angriffe wirken sich auch auf die Backup-Infrastruktur aus. Bei einem Lösegeldüberfall, auf den Sicherheitsexpereten von Dragos kürzlich reagierten, verschlüsselten die Angreifer den Network Attached Storage (NAS) von Synology, der als Server-Message-Block (SMB) auf allen Systemen zur Speicherung von Backups gemountet wurde. Glücklicherweise hatte sich zuvor ein Ingenieur entschieden, eine Kopie der Sicherungen auf einem externen Laufwerk zu speichern.  Leider waren die Sicherungen etwa 18 Monate alt, so dass das Opfer eine Menge Produktionsdaten und die in dieser Zeit vorgenommenen technischen Verbesserungen und logischen Änderungen verlor.

Neben der Pflege von Offline-Sicherungen sollten die Sicherungsverfahren nicht nur Systeme, sondern auch kritische Daten berücksichtigen. Während die Sicherung eines Systems z.B. alle drei Monate in Ordnung sein kann, müssen kritische Daten, die für den Geschäftsbetrieb erforderlich sind, möglicherweise auf den Tag oder die Stunde genau verfügbar sein. Unternehmen sollten sicherstellen, dass diese Informationen auf der Grundlage der Wichtigkeit identifiziert und kategorisiert werden und verfügbar sind, wenn alle Systeme verschlüsselt sind.

Fazit

Die EKANS-Ransomware ist einzigartig, da sie neben einer Handvoll ICS-spezifischer Malware-Varianten wie Havex und CRASHOVERRIDE über spezifische Referenzen zu industriellen Prozessen verfügt. Gleichzeitig ist die tatsächliche Implementierung solcher Funktionalität durch EKANS noch äußerst primitiv und von unbestimmter industrieller Bedeutung.

Nichtsdestotrotz stellen EKANS (und ihr wahrscheinlicher Vorgänger MEGACORTEX) eine negative Entwicklung dar, um Kontrollsystemumgebungen besonders zu gefährden. Daher stellt EKANS trotz seiner beschränkten Funktionalität und Natur eine relativ neue und tiefgreifende Entwicklung im Bereich der ICS-Ziel-Malware dar. Während früher die ICS-spezifische oder ICS-bezogene Malware ausschließlich die Spielwiese staatlich geförderter Einrichtungen war, scheint EKANS darauf hinzuweisen, dass nun auch nichtstaatliche Elemente, die einen finanziellen Gewinn anstreben, in diesen Bereich involviert sind, wenn auch noch nur auf einer sehr primitiven Ebene. Folglich ist es Aufgabe der Eigentümer und Betreiber von ICS-Anlagen, nicht nur aus der Funktionsweise von EKANS selbst zu lernen, sondern auch aus den unzähligen Möglichkeiten, wie sich bösartige Software wie EKANS verbreiten und in Kontrollsystemumgebungen verteilt werden kann, um eine handlungsfähige, relevante Verteidigung vorzubereiten.

Sollten Sie die Sicherheit Ihrer IT und OT über ein Monitoring-System erweitern wollen, welches passiv oder auf Wunsch auch aktiv das Netzwerk überwacht, so sind wir gerne bereit Ihnen eine Lösung oder ein Sicherheitskonzept zu präsentieren. Gerne auch im Rahmen einer Teststellung um Sie von der Leistung und Qualität überzeugen zu können. Sie können uns gerne per Telefon, E-Mail oder unser Kontaktformular erreichen.

Diese Website verwendet Cookies, um Ihnen eine bestmögliche Erfahrung bieten zu können und uns die Möglichkeit einzuräumen unseren Webauftritt kontinuierlich zu verbessern. Unsere Datenschutzinformationen finden SIe hier: Mehr Informationen