HermeticWiper Malware

Inhaltsverzeichnis

Einleitung zur Malware HermeticWiper

Anbei ein Security Advisory betreffend neuer Erkenntnisse zu eingesetzter Schadsoftware HermeticWiper, die aktuell verstärkt bei Angriffen gegen ukrainische Unternehmen und Institutionen eingesetzt wird.

Hierbei handelt es sich um Schadcode, der in dieser Form bisher nicht bekannt war und von gängigen Virenschutz-Lösungen noch nicht flächendeckend erkannt werden dürfte. Da sich die Ziele dieser Angriffe nicht sicher eingrenzen lassen und sich die Situation innerhalb kürzester Zeit dramatisch verändern kann, empfehlen wir dringend sich vor Angriffen mit der besagten Malware zu schützen.

Allgemeine Informationen

  • Bekannte Namen der Malware: HermeticWiper, DriveSlayer, Kill-Disk.NCV, NEARMISS,
  • Die Malware ist mit einem gültigen Zertifikat signiert:
    • Zertifikatsseriennummer: 0C 48 73 28 73 AC 8C CE BA F8 F0 E1 E8 32 9C EC
    • SHA256: 1ae7556dfacd47d9efbe79be974661a5a6d6d923
  • Die Malware ist ca. 114 KB groß
  • Um erweiterte Rechte zu erlangen, verwendet die Malware einen bekannten Windows Treiber C:\Windows\System32\empntdrv.sys“.
  • Die Original epmntdrv.sys Datei gehört zur EaseUS Partition Master Software von EaseUS
  • Die Registrierungsunterschlüsseln SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled wird auf den Wert 0 gesetzt
    • Folge: Crash dumps werden deaktiviert
    • Indiz dafür, dass die Malware bereits läuft
  • Möglich ist ein sprunghafter Anstieg bei der Auslastung des RAM z.B. durch den Prozess svchost.exe

Handlungsempfehlung

Präventive Maßnahmen sind besonders wichtig, da

  1. die Malware nur ein kleines Zeitfenster benötigt, um erheblichen Schaden bei einem System anzurichten
  2. die Schadsoftware noch nicht von allen Sicherheitssystemen (z.B: EPP, IDS/IPS) erkannt wird


Updates: Das Installieren vorhandener Sicherheitsupdates für Betriebssysteme und Software wird grundsätzlich empfohlen, um die Angriffsfläche für eine initiale Kompromittierung, die in der Folge für die Verbreitung der Schadsoftware genutzt werden kann möglichst gering zu halten.

Wir empfehlen die eingesetzte Antivirus-Lösungen, Endpoint Protection-Systeme und andere Schutzsysteme, die signaturbasiert Bedrohungen erkennen können mit den beigefügten IoCs und Detektionsregeln zu versorgen.

Hashwerte der Malware

Folgende Hashwerte der Malware sind bekannt:

HermeticWiper

SHA1

Win32 EXE

912342f1c840a42f6b74132f8a7c4ffe7d40fb77

Win32 EXE

61b25d11392172e587d8da3045812a66c3385451

Die Hashwerte der ausgebrachten Treiber (ms-compressed) sind in der folgenden Auflistung dargestellt. Da die EaseUS-Treiber legitim sind, könnten sie False Positives generieren. Sie können aber dennoch dazu dienen, einen Hinweis auf eine mögliche Kompromittierung zu geben.

ms-compressed

SHA1

RCDATA_DRV_X64

a952e288a1ead66490b3275a807f52e5

RCDATA_DRV_X86

231b3385ac17e41c5bb1b1fcb59599c4

RCDATA_DRV_XP_X64

095a1678021b034903c85dd5acb447ad

RCDATA_DRV_XP_X86

eb845b7a16ed82bd248e395d9852f467

Gibt es einen Sicherheitsvorfall?
Vertraue bei Angriffen unseren zertifizierten IT Forensikern.
Zum Kontakt

YARA-Regel

Yara-Rules können nur detektieren, sie verhindern nicht die Ausführung. Eine Detektion erlaubt es aber schnell zu reagieren.

Die folgende Yara-Regel dient der Suche nach dem bereits ausgebrachten

NEARMISS auf den eigenen Systemen:

				
					rule MAL_HERMETIC_WIPER {
meta:
desc = "HermeticWiper - broad hunting rule"
author = "Friends @ SentinelLabs"
version = "1.0"
last_modified = "02.23.2022"
hash =
"1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
strings:
$string1 = "DRV_XP_X64" wide ascii nocase
$string2 = "EPMNTDRV\\%u" wide ascii nocase
$string3 = "PhysicalDrive%u" wide ascii nocase
$cert1 = "Hermetica Digital Ltd" wide ascii nocase
condition:
uint16(0) == 0x5A4D and
all of them
}
				
			

Windows Defender

Der Windows Defender ist bereits in der Lage die Malware zu erkennen, wenn er über aktuelle Signaturen verfügt. Detektionen der eingesetzten Malware werden vom Windows Defender unter folgendem Namen erkannt.

  DoS:Win32/ FoxBlade.A!dha

  DoS:Win32/ FoxBlade.A!dha

  TrojanDownloader:Win32/ PandoraBlade.A!dha

  Trojan:Win64/ PandoraBlade.B!dha

TEILEN
ANDERE BEITRÄGE

Inhaltsverzeichnis