Zusatzinformation zum Buch „Krisenfall Ransomware“:
OSINT Links
Listen der aktuell aktiven Ransomware Gruppen:
- https://github.com/fastfire/deepdarkCTI/blob/main/ransomware_gang.md
- http://ransomwr3tsydeii4q43vazm7wofla5ujdajquitomtd47cxjtfgwyyd.onion/
(TOR-Browser benötigt) - Vorsicht beim Hochladen von nicht-anonymisierten Ransomnotes: https://id-ransomware.malwarehunterteam.com/
Kuratierte Listen von Angreifergruppen (nicht nur Ransomware):
- Die Auflistung bekannter Gruppen auf der Seite des MITRE ATT&CK Framework: https://attack.mitre.org/groups/
- Die Malpedia des Fraunhofer Instituts: https://malpedia.caad.fkie.fraunhofer.de/
- Die Suchfunktion im AlienVault Open Threat Exchange (auch ohne Account nutzbar): https://otx.alienvault.com/
- https://www.ransomlook.io/ enthält eine Liste vieler Ransomwareseiten und indiziert deren Ankündigungen für eine Suche
- Eine Liste der Ransomwaregruppen, für die eventuell ein Entschlüsselungsprogramm verfügbar ist, das ohne Bezahlung funktioniert findet sich auf https://www.nomoreransom.org/ – auch hier sollten aber keine sensiblen Daten hochgeladen werden
- Die Alerts des CISA (US Version des BSI) in Zusammenarbeit mit dem FBI und die Suchfunktion auf deren Seite https://www.cisa.gov/stopransomware/official-alerts-statements-fbi
- Das wohl größte Archiv von Malware und Analyse Papers findet sich auf https://www.vx-underground.org. Die Seite selbst hat keine Suche, aber eine „inurl:vx-underground.org“ Google Suche mit dem Namen der Ransomwaregang hilft weiter.
- Veraltet, aber immer noch eine Recherche wert ist die Aufstellung der Threat Actors des ThaiCERT: https://apt.etda.or.th/img/Threat_Group_Cards_v2.0.pdf
Startpunkte für gute OSINT Quellen:
- https://start.me/p/OmxDbb/digital-forensics
- https://start.me/p/jj2KwQ/malware-analysis
- https://start.me/p/OmOrJb/threat-hunting
Forensik Tools
Bewährte Tools für Ransomware-Fälle:
- Event Log Explorer https://www.eventlogxp.com/
- Eric Zimmerman’s Tools https://ericzimmerman.github.io/#!index.md
- Sleuthkit & Autopsy https://sleuthkit.org/
- Sysinternals Sigcheck https://learn.microsoft.com/en-us/sysinternals/downloads/sigcheck, Achtung kann Samples zu VirusTotal laden!
- Exploder wie z.B. Anyrun https://any.run/ oder Hybrid Analysis https://www.hybrid-analysis.com/ – Achtung: meist liefert nur die bezahlte Version die notwendige Vertraulichkeit
- Nirsoft Tools https://www.nirsoft.net/
- I2 Analyst’s Notebook https://i2group.com/products
Startpunkte für den Aufbau eines eigenen Labors:
- Forensik-VM SIFT von SANS: https://www.sans.org/tools/sift-workstation/
- Die Security-Distribution Kali: https://www.kali.org/
- Eine ergiebige Linkliste zu weiteren forensischen Tools: https://start.me/p/OmxDbb/digital-forensics
Whitelist Dateiendungen
alle Textdateien (*.txt, etc.); h; ai; bmp; catdrawing; catnls; catpart; catproduct; cgr; csv; docx; dwg; dxf; gif; ini; jpeg; jpg; mp3; mp4; m4a; m4v; msg; one; pdf; png; pptx; prop; psd; sldasm; slddrw; sldprt; stp; stx; tif; txt; vsd; xlsx; xml; bmp; bgc; pem; cert; cer; pfx; p12; szn; kra; krp; sza; vdf; mac; fig; mnu; zt; lst; kvr; kvp; dba2; fga; lst; emf; ico; skf; skd; one; bip; mi; sda; sdac; sdp; sdpc; sdc; sdcc; sdw; sdwc; tsm; pro; mov; avi; wmf; wmv; tps; iam; ipt; idw; ivb; fins; fsat; ftes; fwiz; fmsh; fres; eps; psd; idd; indd; prproj; gdc; afp; lep; lfr; afs; dt; nx; nxq; pdb; prj; ovl; s5d; s7d; seq; tsw; dscope; b2; eod; eox; lck; xml; flk; slk; cs; idx; cum; par; asc; elo; ppd; pfx; spl; elk; xlk; ema; emp; ems; edz; mif; fm; book; deu; bgr; chs; csy; dan; ell; eng; enu; esp; eti; fin; fra; hrv; hun; ita; lth; lvi; nld; nor; plk; ptb; ptg; rom; rus; sky; slv; srl; sve; trk; step; stp; tsm; nc; au3; lnk; indd; dotx; mtp; mrk; lsm; indt; psb; fla; ait; abr; webp; heif; heic; rw2; nef; xmp; icc; csf; jobobtions; c4d
Nach Sichtprüfung durch einen Forensik-Experten erlaubt: bat; ahk; tsm; md; iso; mac; hop; mcd; lic; p; msg; esp; cmd; ps1; zip; vdi; vbox; vmdk; vhd; vhdx; pkg; html; htm; lnk;
Alle anderen Dateiendungen sind verboten – dies ist eine Whitelist – und benötigen eine forensische Untersuchung auf Schadcode. Insbesondere gilt dies für folgende Dateitypen: exe; chm; dll; inf; msi; cmd; manifest; pdb; xlsm; xls ; doc; pif; ppt; docm; pptm; xll
Cyber Security Search Engines
- PulseDrive (https://pulsedive.com/) – Threat Intelligence, Suche nach Angreifergruppen
- PolySwarm (https://polyswarm.io/) – Malware-Scanner und Suchmaschine für Samples, Hashes und Scan-Ergebnissen
- VirusTotal (https://www.virustotal.com/) – Malware-Scanner und Suchmaschine für Samples, Hashes und Scan-Ergebnissen
- AlienVault (https://otx.alienvault.com/) – Community Threat Intelligence, Suche nach IoCs
- Vulners (https://vulners.com) – Index von Schwachstellen, Suche nach Tags, Datum, Hersteller, Bounty
- ExploitDB (https://www.exploit-db.com/) – Index verfügbarer Exploits
- SecurityTrails (https://securitytrails.com/) – Index von historischen DNS und WHOIS Daten
- DNSDumpster (https://dnsdumpster.com/) – DNS Recon & DNS-Lookup
- Dehashed (https://dehashed.com/) – Suche in Passwort-Leaks
- URL-Scan (https://urlscan.io/) – Scannen von Webseiten, inkl. Scan-Historie
- Shodan (https://www.shodan.io/) – Aktiver Internet Scanner, Suche nach IPs, Ports, Tags
- Censys (https://search.censys.io/) – Aktiver Internet Scanner, Suche nach IPs, Ports, Tags, Certificates
- GreyNoise (https://viz.greynoise.io/) – Aktiver Internet Scanner, Suche nach IPs, Ports, Tags und Schwachstellen
- ZoomEye (https://www.zoomeye.org/discover) – Aktiver Internet Scanner, Suche nach
- ONYPHE (https://www.onyphe.io/) – Aktiver Internet-Scanner; IPs, Domains, Historische Geolocation Daten
- Netlas (https://app.netlas.io), Activer Internet Scanner, Suche nach IPs, Domain-Namen, WHOIS
- Wigle (https://www.wigle.net/) – WIFI-Map
- GrayHatWarfare (https://grayhatwarfare.com/) – – Index öffentlicher S3-Buckets
- Hunter (https://hunter.io/) – Suche nach E-Mail-Adressen im Internet
- IntelligenceX (https://intelx.io/) – Suche nach Darknet-Links, Leaks, Domains, and E-Mails
- Grep App (https://grep.app/) – Suche in GitHub Source Code
- SearchCode (https://searchcode.com/) – Suche in 40 Mio. öffentlichen Software-Projekten
- DorkSearch (https://dorksearch.com/) – Suchen von Google Dork Queries
- WaybackMaschine (https://web.archive.org/) – Historische Versionen von Webseiten