WannaCrypt – Was die Medien verschweigen !

 

Nachdem der Hype um den neuen „Computervirus“ WannaCrypt sich (medial) etwas gelegt hat ist es an der Zeit Fakt von Fiktion bzw. Berichterstattung zu trennen. Die Gefahr ist noch lange nicht gebannt. Mir ist aufgefallen dass selbst renommierte IT Medien wie Golem und Heise anfangs nur zögerlich berichtet haben wo es bereits die Spatzen von den Dächern pfiffen. Entweder wollten sie Ihre Leser nicht mit den Details belästigen oder sie wussten es schlicht selbst nicht. Dabei ist es aber von besonderer Wichtigkeit zu verstehen wie sich WannaCrypt verbreitet um sich selbst effektiv davor zu schützen. Ganz besonders am Anfang einer solchen Welle, denn ab Montag sind die Büros wieder besetzt …

Worum geht es ?

Die Schadsoftware, genannt WannaCrypt/WannaCry/WannaCrypt0r oder WCry. Ist nicht nur eine einfache Verschlüsselungssoftware (eng. Ransomware) sondern es handelt sich in Wahrheit um einen Computerwurm der eine entsprechende Nutzlast (eng. Payload) mit sich trägt und diese eigenständig verbreitet. Bei der Nutzlast handelt es sich um den Kypto-Trojaner „WannaCrypt“ der eine Reihe von vordefinierten Dateitypen verschlüsselt die auf dem Zielrechner und eventuell eingebundenen Netzwerklaufwerken vorhanden sind und für die der aktuell angemeldete Benutzer Schreibrechte hat. Der Kypto-Trojaner verlangt dann vom Benutzer eine Lösegeld in Höhe von 300 US Dollar zahlbar in Bitcoin um seine Dateien wieder „freizukaufen“.

Der Computerwurm ist in der Lage sich selbstständig in einem Windows Netzwerk zu verbreiten in dem er eine vorhandene Schwachstelle ausnutzt. Bisher waren solche Krypto-Trojaner (zb. Locky) dazu nicht in der Lage. Diese verblieben auf dem selben Rechner auf denen sie gestartet wurden. Verfügbare Netzwerklaufwerke und angeschlossene Speichermedien wurden meist mit verschlüsselt.

Verschiedene Angriffsvektoren

Hier fängt die Verwirrung der Medien bereits an. Da diese Schadsoftware wie bereits erwähnt aus 2 Komponenten besteht die jeweils ihre eigenen Mechanismen haben müssen diese auch getrennt beachtet werden.

Da wären im einzelnen:

  • Erstinfektion des Zielrechners über Email Anhang
  • Der Computerwurm der sich über die Schwachstelle „Eternalblue“ verbreitet
  • Der Krypto-Trojaner „WannaCrypt“ der die Daten verschlüsselt und Lösegeld verlangt

Erstinfektion

Die Erstinfektion erfolgt laut Berichten bisher über infizierte Email Anhänge und Links die es durch (eventuell vorhandene) Firewall und Email Filter geschafft haben und von einem Benutzer unvorsichtigerweise geöffnet wurde. Ein Erstinfektion via USB Stick ist sicher auch möglich, wurde jedoch meines Wissens nach noch nicht beobachtet. Hier gibt es noch Bedarf an Recherche denn es präsentieren sich teilweise widersprüchliche Angaben. Es könnte natürlich auch sein dass mehrere Versionen dieses Schädlings gleichzeitig in Umlauf gebracht wurden.

Der Computerwurm

Hier wird es spannend. Hat der Benutzer einen infizierten Email Anhang geöffnet dann wird der Wurm aktiv. Seine erste Aktion ist es die Verfügbarkeit der folgenden Domain zu überprüfen: „www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com“. Ist die Seite erreichbar , so stellt der Wurm sofort seine Verbreitung ein. Ist sie es nicht, wird das Lokale Netzwerk (LAN) nach weiteren Rechnern durchgeforstet. In einer weiteren Version wurde die Prüfung der Domain entfernt, siehe Abschnitt Killswitch.

Die eigentliche Verbreitung des Wurms, sofern er im Lokalen Netzwerk neue Opfer gefunden hat, geschieht über eine Schwachstelle im SMB Protokoll (Datei und Druckerfreigabe) und über RDP (Remote Desktop Verbindung). Diese Schwachstelle wurde von dem US Geheimdienst NSA entdeckt und nicht an den Hersteller Microsoft gemeldet. Gerüchten zufolge hat die NSA diese Schwachstelle selbst zur Spionage ausgenutzt bis diese im Februar 2017 auf der Whistleblower Plattform Wikileaks auftauchte unter dem Namen EternalBlue bzw. DoublePulsar. Nach Bekanntwerden dieser Schwachstelle hat Microsoft unter der Nummer MS17-010 (Link) eine Sicherheitsmeldung herausgegeben. Im März 2017 hatte Microsoft dann für alle aktuellen Windows Plattformen unter der Nummer 4013389 Sicherheitsupdates (Link) bereitsgestellt.

Über den Netzwerkport 445 versucht der Wurm mit dem Opfer zu kommunizieren und über SMB eine Verbindung herzustellen. Dabei wird die Schwachstelle MS17-010 ausgenutzt um dem Opfer versteckten Code unterzujubeln und um sich weiterzuverbreiten. Interessanterweise bricht der Wurm die Weiterverbreitung nach 10 Minuten ab wenn sich die Schwachstelle nicht ausnutzen lässt. Alle Systeme die bis dato die Sicherheitsupdates von Microsoft nicht eingespielt haben sind für diese Art der Weiterverbreitung verwundbar. Mit eingespieltem Sicherheitsupdate ist die Weiterverbreitung innerhalb eines Windows Netzwerks erst einmal gestoppt. Der Rechner kann aber immer noch über die Erstinfektion infiziert werden. Vorhandene Antivirus und gegebenenfalls Antimalware Software mit aktueller Signatur Datenbank sollte jedoch nun in der Lage sein die Ausführung des Wurmes und Krypto-Trojaners auf dem Rechner zu stoppen.

Der Krypto-Trojaner „WannaCrypt“

Zum Krypto-Trojaner selbst gibt es nicht viel zu sagen, alter Wein in neuen Schläuchen … Diese Art der Lösegeldforderung gab es bereits vorher (zb. Locky). Neu ist jedoch dass WannaCrypt droht die Daten bei Nichtzahlung nach einer gesetzten Frist von 3 Tagen zu löschen. Erwähnenswert wäre die RSA-2048 Bit Verschlüsselung die nicht so ohne weiteres geknackt werden kann. Ansonsten gibt es nichts spezielles, im Netz tauchten einige Bildschirmfotos mit einer Lösegeldforderung von 300 US Dollar andere mit 500 US Dollar auf. Hier scheinen zumindest mehrere Versionen im Umlauf zu sein.

Zahlen sollte man in keinem Fall, denn es ist mehr als Ungewiss ob tatsächlich ein Entschlüsselungscode verschickt wird.

Der berüchtigte „Killswitch“

Wie bereits erwähnt versucht der Wurm nach seiner Aktivierung die folgende Webseite zu erreichen: „www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com“. Augenscheinlich dient diese Abfrage als Notschalter (eng. Killswitch) um die Verbreitung zu stoppen. In den Medien geistern unterschiedliche Beschreibungen umher nachdem Obengenannte Domain von einer Privatperson registriert wurde und somit die Verbreitung kurzfristig gestoppt wurde. Mittlerweile sind aber neue Versionen des Wurms unterwegs die eine andere Domain nutzen oder gänzlich Killswitch auskommen.

Sicherheitsmaßnahmen

Folgende Sicherheitsmaßnahmen sind umgehend anzuwenden:

  • Installieren der aktuellsten Windows Updates um die Verbreitung des Wurmes innerhalb eines Netzwerkes zu stoppen. Siehe Link
  • Installation/Aktualisierung der Antivirus bzw. Antimalware Software und Datenbanken
  • Deaktivierung der Datei und Druckerfreigabe (SMB) falls nicht benötigt
  • Deaktivierung der Remote Desktop Unterstützung (RDP) falls nicht benötigt

Folgende Sicherheitsmaßnahmen sind zusätzlich empfehlenswert:

  • Ausführung der Datei „mssecsvc.exe“ per gpedit.msc verhindern (blacklist) oder generell nur bekannte ausführbare Dateien erlauben (whitelist)
  • Installation von Windows mit einem anderen Laufwerksbuchstaben als „C:\„. Der Wurm hat effektiv den Pfad „C:\WINDOWS\mssecsvc.exe“ im Programmcode „hart“ codiert. Der Wurm dürfte also nicht funktionieren sollte Windows mit einem anderen Laufwerksbuchstaben installiert sein und C:\ nicht verfügbar sein. Die Code Instruktionen werden dann ins leere laufen und er kann nicht starten.

Quellen

https://blog.malwarebytes.com/cybercrime/2017/05/wanacrypt0r-ransomware-hits-it-big-just-before-the-weekend/

https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/ 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.