[Warning] Ransomware/Wurm WannaCry
Otmar Lendl
lendl at cert.at
Sun May 14 08:55:35 CEST 2017
14. Mai 2017
Seit 12. Mai gibt es eine massive Welle von Ransomware-Vorfällen durch
"WannaCry" (auch WanaCrypt0r oder WannaCrypt genannt). Durch das
Ausnutzen einer Schwachstelle in Windows-Fileservern kann die Malware
direkt auf diesen aktiv werden und sich weiterverbreiten.
Beschreibung
Ransomware [1] ist kein neues Phänomen, dieses "Geschäftsmodell" wird
schon seit Jahren erfolgreich benutzt, um Geld zu erpressen. Die Liste
der bekannten Ransomware-Varianten ist lang, bekannte Namen sind Locky,
CryptoLocker, TeslaCrypt, Samsam oder Reveton. Computer-Würmer sind
auch nichts Neues, darunter versteht man Programme, die sich
selbstständig weiterverbreiten. Dazu enthalten sie eine Komponente, die
aktiv nach einer Schwachstelle in anderen Computern sucht und diese
ausnutzt, um sich selber dorthin zu kopieren und zu starten.
Beispiele [2] für Würmer sind ILOVEYOU, Code Red, Nimda, SQL Slammer,
Conficker oder Mirai.
"WannaCry" ist die erste Kombination von Ransomware mit den
Fortpflanzungsmöglichkeiten eines Wurmes.
Die Ransomware-Komponente ist nichts Neues oder besonders Innovatives.
Die Wurm-Komponente basiert auf einem Fehler in der Fileserver (SMB)
Implementation von Windows. Dieser Fehler wurde als MS17-010 [3] im März
2017 von Microsoft im Rahmen des monatlichen Patchdays für alle noch
betreuten Versionen von Windows gefixt. Am 14. April 2017 wurde ein
Exploit (Codename EternalBlue) [4] für diese Schwachstelle im Rahmen der
Dumps von Shadow Brokers [5] bekannt.
Ob es neben der Verbreitung per SMB noch einen weiteren Weg für die
initiale Infektion gibt, ist mit Stand 13.5.2017 noch nicht
zweifelsfrei geklärt. Einige Quellen sprechen von typischen
Phishing-Emails mit Attachments die Macros oder Scripting-Code
enthalten (etwa .hta oder .docm Files, die eventuell auch noch in
anderen Files eingebettet sind). Das FBI erwähnt das Remote Desktop
Protocol (RDP) als möglichen Vektor.
Auswirkungen
Die zusätzliche Wurm-Funktionalität hat zu deutlich schwereren
Schadensfällen im Vergleich zu klassischer Ransomware geführt. Waren
bisher primär Windows-Clients und die von den Usern schreibbaren
Fileshares betroffen, so erreichte WannaCry auch Systeme, die bisher
verschont blieben und kann durch das Ausnutzen von MS17-010 auch mit
erhöhten Rechten laufen.
Diese Kombination hat dazu geführt, dass es global zu einigen
signifikanten IT-Ausfällen gekommen ist.
Betroffene Systeme
Durch die Wurm-Funktionalität sind alle Windows-Fileserver gefährdet,
die nicht den MS17-010 Patch eingespielt haben (und auch neu gestartet
wurden). Im März wurde dieser Patch nur für die noch gewarteten
Windows-Versionen veröffentlicht, damit bekamen etwa Windows XP oder
Windows Server 2003 diesen Fix nicht und sind daher akut gefährdet.
Abhilfe
* Einspielen von MS17-010. Microsoft hat inzwischen auch für ältere
Systeme die Patches freigegeben. Diese sollten dringend auf allen
Systemen, die als Fileserver aktiv sind, angewendet werden.
* Generische Ransomware Abwehr. Da der initiale Vektor noch nicht
bekannt ist, sollte die Abwehrstrategie gegen jegliche Infektionen
überprüft und nachgeschärft werden. Insbesondere aktive (Macros,
Scripte, ...) Inhalte in eingehenden Mails sollten gefiltert
werden. Funktionierende und aktuelle Backups sind ein essentieller
Teil der Ransomware-Abwehr: Dies ist ein guter Anlass, dieses Thema
zu überprüfen. Auch eine Einschränkung der Programmausführung aus
TEMP Verzeichnissen könnte helfen.
* Abdrehen von SMBv1. Diese alte Version des Filesharing-Protokolls
sollte nicht mehr aktiv sein. Siehe Microsoft Knowledge Base
Artikel 2696547 [6].
* Erreichbarkeit von SMB Servern von außen verhindern. Windows
Fileserver sollten nicht aus dem Internet erreichbar sein.
Eingehende Anfragen auf Port 445 sollten daher von der Firewall
unterbunden werden.
* Isolieren von unpatchbaren Systemen. Falls ein Windows-System nicht
gegen die SMB-Lücke gepatcht werden kann, so muss dieses System vom
Rest des internen Netzes isoliert werden.
* Spezielle Anti-WannaCry Tools. Die aktuelle Version von WannyCry
lässt sich durch ein paar technische Tricks stoppen. Das basiert
auf Tests innerhalb der Malware, die eine Doppelinfektion [7]
verhindern sollen, oder aber die Analyse [8] in Testsystemen
erschweren sollen. Achtung: es ist trivial für den Urheber der
Malware, eine neue Version zu verbreiten, die diese Maßnahmen
aushebelt. Laut ersten Meldungen [9] ist das bereits passiert.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, für alle Arten von
Browser-Plugins (Flash, Java, ...) auf die
"Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen,
sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu
halten.
__________________________________________________________________
Informationsquelle(n):
1. https://cert.at/warnings/specials/20160325.html
2. https://en.wikipedia.org/wiki/Timeline_of_computer_viruses_and_worms
3. https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
4. https://en.wikipedia.org/wiki/ETERNALBLUE
5. https://en.wikipedia.org/wiki/The_Shadow_Brokers
6.
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
7. https://twitter.com/EC3Europol/status/863492271911645184
8.
https://www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack?CMP=twt_a-technology_b-gdntech
9. http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html
Weitere Links:
10.
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
11. https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
12.
https://blog.malwarebytes.com/cybercrime/2017/05/wanacrypt0r-ransomware-hits-it-big-just-before-the-weekend/
13.
https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
14. https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND
15.
https://blog.comae.io/wannacry-the-largest-ransom-ware-infection-in-history-f37da8e30a58
16.
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
17.
https://www.bleepingcomputer.com/news/security/wana-decryptor-wanacrypt0r-technical-nose-dive/
18.
https://blog.fox-it.com/2017/05/12/massive-outbreak-of-ransomware-variant-infects-large-amounts-of-computers-around-the-world/
--
// Otmar Lendl <lendl at cert.at> - T: +43 1 5056416 711
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20170514/eb387762/attachment.sig>
More information about the Warning
mailing list