Anbei ein Security Advisory betreffend neuer Erkenntnisse zu eingesetzter Schadsoftware HermeticWiper, die aktuell verstärkt bei Angriffen gegen ukrainische Unternehmen und Institutionen eingesetzt wird.
Hierbei handelt es sich um Schadcode, der in dieser Form bisher nicht bekannt war und von gängigen Virenschutz-Lösungen noch nicht flächendeckend erkannt werden dürfte. Da sich die Ziele dieser Angriffe nicht sicher eingrenzen lassen und sich die Situation innerhalb kürzester Zeit dramatisch verändern kann, empfehlen wir dringend sich vor Angriffen mit der besagten Malware zu schützen.
Präventive Maßnahmen sind besonders wichtig, da
Updates: Das Installieren vorhandener Sicherheitsupdates für Betriebssysteme und Software wird grundsätzlich empfohlen, um die Angriffsfläche für eine initiale Kompromittierung, die in der Folge für die Verbreitung der Schadsoftware genutzt werden kann möglichst gering zu halten.
Wir empfehlen die eingesetzte Antivirus-Lösungen, Endpoint Protection-Systeme und andere Schutzsysteme, die signaturbasiert Bedrohungen erkennen können mit den beigefügten IoCs und Detektionsregeln zu versorgen.
Folgende Hashwerte der Malware sind bekannt:
HermeticWiper | SHA1 |
Win32 EXE | 912342f1c840a42f6b74132f8a7c4ffe7d40fb77 |
Win32 EXE | 61b25d11392172e587d8da3045812a66c3385451 |
Die Hashwerte der ausgebrachten Treiber (ms-compressed) sind in der folgenden Auflistung dargestellt. Da die EaseUS-Treiber legitim sind, könnten sie False Positives generieren. Sie können aber dennoch dazu dienen, einen Hinweis auf eine mögliche Kompromittierung zu geben.
ms-compressed | SHA1 |
RCDATA_DRV_X64 | a952e288a1ead66490b3275a807f52e5 |
RCDATA_DRV_X86 | 231b3385ac17e41c5bb1b1fcb59599c4 |
RCDATA_DRV_XP_X64 | 095a1678021b034903c85dd5acb447ad |
RCDATA_DRV_XP_X86 | eb845b7a16ed82bd248e395d9852f467 |
Yara-Rules können nur detektieren, sie verhindern nicht die Ausführung. Eine Detektion erlaubt es aber schnell zu reagieren.
Die folgende Yara-Regel dient der Suche nach dem bereits ausgebrachten
NEARMISS auf den eigenen Systemen:
rule MAL_HERMETIC_WIPER {
meta:
desc = "HermeticWiper - broad hunting rule"
author = "Friends @ SentinelLabs"
version = "1.0"
last_modified = "02.23.2022"
hash =
"1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
strings:
$string1 = "DRV_XP_X64" wide ascii nocase
$string2 = "EPMNTDRV\\%u" wide ascii nocase
$string3 = "PhysicalDrive%u" wide ascii nocase
$cert1 = "Hermetica Digital Ltd" wide ascii nocase
condition:
uint16(0) == 0x5A4D and
all of them
}
Der Windows Defender ist bereits in der Lage die Malware zu erkennen, wenn er über aktuelle Signaturen verfügt. Detektionen der eingesetzten Malware werden vom Windows Defender unter folgendem Namen erkannt.
DoS:Win32/ FoxBlade.A!dha
DoS:Win32/ FoxBlade.A!dha
TrojanDownloader:Win32/ PandoraBlade.A!dha
Trojan:Win64/ PandoraBlade.B!dha
Wir verwenden Cookies, und Google reCAPTCHA, das Google Fonts lädt und mit Google-Servern kommuniziert. Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu.