Verteidigen Sie Ihre Zeit: Bekämpfung des Infostealers LummaC2
“Defend Your Time” ist der Podcast, der Sicherheitsverantwortlichen hilft, mehr aus ihren Microsoft-Sicherheitsinvestitionen herauszuholen. Hören und abonnieren Sie ihn über Spotify oder Apple Podcasts.
In dieser Folge berichtet Rhys Downing über seine Forschungen zu einer neuen Probe des LummaC2 Infostealers.
Entdeckung der Bedrohung
Rhys' Reise in die Abgründe von LummaC2 begann mit einem Vorfall, der von Microsoft Defender für Endpoint entdeckt wurde. Diese spezielle Malware verwendet PowerShell-Befehle zum Herunterladen und Ausführen ihrer Nutzdaten und verschleiert ihre Aktionen geschickt mit Base64-Kodierung, um die Erkennung zu umgehen. Die erste Entdeckung führte zu einer tieferen Untersuchung, die einen mehrstufigen Angriff zum Diebstahl vertraulicher Informationen enthüllte.
Die Anatomie von LummaC2
LummaC2 ist ein klassisches Beispiel für Malware as a Service (MaaS), was ihn zu einer opportunistischen Bedrohung macht. Ihr primäres Ziel ist es, Zielendpunkte zu infiltrieren und wertvolle Daten wie Passwörter, Kryptowährungs-Wallets und Browser-Anmeldeinformationen zu exfiltrieren. Die Malware arbeitet in zwei Phasen: In der ersten Phase wird eine bösartige Datei heruntergeladen, während in der zweiten Phase zusätzliche PowerShell-Befehle zur weiteren Verschlüsselung und Ausführung der Nutzdaten verwendet werden.
Entschlüsselung des Angriffs
Rhys entschlüsselte den Entschlüsselungsschlüssel mithilfe eines benutzerdefinierten Python-Skripts, das es ihm ermöglichte, das volle Ausmaß der Fähigkeiten der Malware aufzudecken, einschließlich zusätzlicher URLs, die zum Herunterladen des LummaC2-Hauptbeispiels verwendet wurden. Die Verwendung von “living off the land”-Binärdateien (LOLBins) war eine wichtige Taktik, bei der vorhandene Systemanwendungen zur Ausführung der bösartigen Nutzlast genutzt wurden.
Sanierung und Schutz
Angesichts solch ausgeklügelter Angriffe ist eine wirksame Abhilfemaßnahme von entscheidender Bedeutung. Rhys betonte, wie wichtig es ist, infizierte Endpunkte zu isolieren, um eine weitere Datenexfiltration zu verhindern. Er betonte auch den Bedarf an robusten EDR-Lösungen (Endpoint Detection and Response) wie Microsoft Defender for Endpoint, um bösartige Aktivitäten zu überwachen und zu blockieren. Die Implementierung von Regeln zur Reduzierung der Angriffsfläche und von Netzwerkschutzmaßnahmen kann den Schutz eines Unternehmens vor ähnlichen Bedrohungen erheblich verbessern.
Der Nervenkitzel der Jagd
Für Rhys besteht der lohnendste Aspekt seiner Arbeit darin, dass es spannend ist, neue Malware zu entschlüsseln und komplexe Rätsel zu lösen. Er vergleicht es mit dem Lösen eines Zauberwürfels, bei dem jedes Teil des Puzzles ein Erfolgserlebnis bringt und zum übergeordneten Ziel des Kundenschutzes beiträgt.
Schlussfolgerung
Besonderen Dank an Rhys Downing für die Bereitstellung seiner Erkenntnisse und seines Fachwissens über den LummaC2 Infostealer. Wenn Sie die Sicherheit Ihres Unternehmens mithilfe von Microsoft-Tools verbessern möchten, zögern Sie nicht, uns zu kontaktieren sich melden. Folgen Sie uns auf Spotify oder Apple Podcasts für weitere Einblicke und Gespräche, die Ihnen helfen, das Beste aus Ihren Microsoft-Investitionen herauszuholen.
Die vollständige Studie finden Sie in unserem Verschleierte PowerShell führt zu Lumma C2 Stealer Blogbeitrag.