Buch „Krisenfall Ransomware“

Zusatzinformation zum Buch „Krisenfall Ransomware“:

OSINT Links

Listen der aktuell aktiven Ransomware Gruppen:

• https://github.com/fastfire/deepdarkCTI/blob/main/ransomware_gang.md
• http://ransomwr3tsydeii4q43vazm7wofla5ujdajquitomtd47cxjtfgwyyd.onion/
  (TOR-Browser benötigt)
• Vorsicht beim Hochladen von nicht-anonymisierten Ransomnotes: https://id-ransomware.malwarehunterteam.com/

Kuratierte Listen von Angreifergruppen (nicht nur Ransomware):

• Die Auflistung bekannter Gruppen auf der Seite des MITRE ATT&CK Framework: https://attack.mitre.org/groups/
• Die Malpedia des Fraunhofer Instituts: https://malpedia.caad.fkie.fraunhofer.de/
• Die Suchfunktion im AlienVault Open Threat Exchange (auch ohne Account nutzbar): https://otx.alienvault.com/
• https://www.ransomlook.io/ enthält eine Liste vieler Ransomwareseiten und indiziert deren Ankündigungen für eine Suche
• Eine Liste der Ransomwaregruppen, für die eventuell ein Entschlüsselungsprogramm verfügbar ist, das ohne Bezahlung funktioniert findet sich auf https://www.nomoreransom.org/ – auch hier sollten aber keine sensiblen Daten hochgeladen werden
• Die Alerts des CISA (US Version des BSI) in Zusammenarbeit mit dem FBI und die Suchfunktion auf deren Seite https://www.cisa.gov/stopransomware/official-alerts-statements-fbi
• Das wohl größte Archiv von Malware und Analyse Papers findet sich auf https://www.vx-underground.org. Die Seite selbst hat keine Suche, aber eine „inurl:vx-underground.org“ Google Suche mit dem Namen der Ransomwaregang hilft weiter.
• Veraltet, aber immer noch eine Recherche wert ist die Aufstellung der Threat Actors des ThaiCERT: https://apt.etda.or.th/img/Threat_Group_Cards_v2.0.pdf

Startpunkte für gute OSINT Quellen:

• https://start.me/p/OmxDbb/digital-forensics
• https://start.me/p/jj2KwQ/malware-analysis
• https://start.me/p/OmOrJb/threat-hunting

Forensik Tools

Bewährte Tools für Ransomware-Fälle:

• Event Log Explorer https://www.eventlogxp.com/
• Eric Zimmerman’s Tools https://ericzimmerman.github.io/#!index.md
• Sleuthkit & Autopsy https://sleuthkit.org/
• Sysinternals Sigcheck https://learn.microsoft.com/en-us/sysinternals/downloads/sigcheck, Achtung kann Samples zu VirusTotal laden!
• Exploder wie z.B. Anyrun https://any.run/ oder Hybrid Analysis https://www.hybrid-analysis.com/ – Achtung: meist liefert nur die bezahlte Version die notwendige Vertraulichkeit
• Nirsoft Tools https://www.nirsoft.net/
• I2 Analyst’s Notebook https://i2group.com/products

Startpunkte für den Aufbau eines eigenen Labors:

• Forensik-VM SIFT von SANS: https://www.sans.org/tools/sift-workstation/
• Die Security-Distribution Kali: https://www.kali.org/
• Eine ergiebige Linkliste zu weiteren forensischen Tools: https://start.me/p/OmxDbb/digital-forensics

Whitelist Dateiendungen

alle Textdateien (*.txt, etc.); h; ai; bmp; catdrawing; catnls; catpart; catproduct; cgr; csv; docx; dwg; dxf; gif; ini; jpeg; jpg; mp3; mp4; m4a; m4v; msg; one; pdf; png; pptx; prop; psd; sldasm; slddrw; sldprt; stp; stx; tif; txt; vsd; xlsx; xml; bmp; bgc; pem; cert; cer; pfx; p12; szn; kra; krp; sza; vdf; mac; fig; mnu; zt; lst; kvr; kvp; dba2; fga; lst; emf; ico; skf; skd; one; bip; mi; sda; sdac; sdp; sdpc; sdc; sdcc; sdw; sdwc; tsm; pro; mov; avi; wmf; wmv; tps; iam; ipt; idw; ivb; fins; fsat; ftes; fwiz; fmsh; fres; eps; psd; idd; indd; prproj; gdc; afp; lep; lfr; afs; dt; nx; nxq; pdb; prj; ovl; s5d; s7d; seq; tsw; dscope; b2; eod; eox; lck; xml; flk; slk; cs; idx; cum; par; asc; elo; ppd; pfx; spl; elk; xlk; ema; emp; ems; edz; mif; fm; book; deu; bgr; chs; csy; dan; ell; eng; enu; esp; eti; fin; fra; hrv; hun; ita; lth; lvi; nld; nor; plk; ptb; ptg; rom; rus; sky; slv; srl; sve; trk; step; stp; tsm; nc; au3; lnk; indd; dotx; mtp; mrk; lsm; indt; psb; fla; ait; abr; webp; heif; heic; rw2; nef; xmp; icc; csf; jobobtions; c4d

Nach Sichtprüfung durch einen Forensik-Experten erlaubt: bat; ahk; tsm; md; iso; mac; hop; mcd; lic; p; msg; esp; cmd; ps1; zip; vdi; vbox; vmdk; vhd; vhdx; pkg; html; htm; lnk;

Alle anderen Dateiendungen sind verboten – dies ist eine Whitelist – und benötigen eine forensische Untersuchung auf Schadcode. Insbesondere gilt dies für folgende Dateitypen: exe; chm; dll; inf; msi; cmd; manifest; pdb; xlsm; xls ; doc; pif; ppt; docm; pptm; xll

Cyber Security Search Engines

• PulseDrive (https://pulsedive.com/) – Threat Intelligence, Suche nach Angreifergruppen
• PolySwarm (https://polyswarm.io/) – Malware-Scanner und Suchmaschine für Samples, Hashes und Scan-Ergebnissen
• VirusTotal (https://www.virustotal.com/) – Malware-Scanner und Suchmaschine für Samples, Hashes und Scan-Ergebnissen
• AlienVault (https://otx.alienvault.com/) – Community Threat Intelligence, Suche nach IoCs
• Vulners (https://vulners.com) – Index von Schwachstellen, Suche nach Tags, Datum, Hersteller, Bounty
• ExploitDB (https://www.exploit-db.com/) – Index verfügbarer Exploits
• SecurityTrails (https://securitytrails.com/) – Index von historischen DNS und WHOIS Daten
• DNSDumpster (https://dnsdumpster.com/) – DNS Recon & DNS-Lookup
• Dehashed (https://dehashed.com/) – Suche in Passwort-Leaks
• URL-Scan (https://urlscan.io/) – Scannen von Webseiten, inkl. Scan-Historie
• Shodan (https://www.shodan.io/) – Aktiver Internet Scanner, Suche nach IPs, Ports, Tags
• Censys (https://search.censys.io/) – Aktiver Internet Scanner, Suche nach IPs, Ports, Tags, Certificates
• GreyNoise (https://viz.greynoise.io/) – Aktiver Internet Scanner, Suche nach IPs, Ports, Tags und Schwachstellen
• ZoomEye (https://www.zoomeye.org/discover) – Aktiver Internet Scanner, Suche nach
• ONYPHE (https://www.onyphe.io/) – Aktiver Internet-Scanner; IPs, Domains, Historische Geolocation Daten
• Netlas (https://app.netlas.io), Activer Internet Scanner, Suche nach IPs, Domain-Namen, WHOIS
• Wigle (https://www.wigle.net/) – WIFI-Map
• GrayHatWarfare (https://grayhatwarfare.com/) – – Index öffentlicher S3-Buckets
• Hunter (https://hunter.io/) – Suche nach E-Mail-Adressen im Internet
• IntelligenceX (https://intelx.io/) – Suche nach Darknet-Links, Leaks, Domains, and E-Mails
• Grep App (https://grep.app/) – Suche in GitHub Source Code
• SearchCode (https://searchcode.com/) – Suche in 40 Mio. öffentlichen Software-Projekten
• DorkSearch (https://dorksearch.com/) – Suchen von Google Dork Queries
• WaybackMaschine (https://web.archive.org/) – Historische Versionen von Webseiten