Der am Freitag bekannt gewordene Ransomware Angriff mit den Namen „WannaCry“ auf Rechnersysteme weltweit – in Deutschland sind u.a. die Deutsche Bahn, Schenker, aber auch zahllose kleine Unternehmen und Privatcomputer betroffen – hat nach Presseberichten nie zuvor dagewesenen Ausmaße an Geschwindigkeit und Verbreitung erreicht. Oliver Keizers, Regional Director DACH, Fidelis Cybersecurity gibt 5 konkrete Handlungsempfehlungen zur Ransomware „WannaCry“.
Während der Kern der Berichterstattung heute meist noch das „Wie?“ sein wird, möchten wir hiermit das „Was tun?“ beantworten:
- Umgehend den Patch MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) installieren. Wer noch Windows-XP, Windows-8, oder Windows-Server-2003 nutz, findet unter https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ weitere Informationen.
- Auf der Firewall die TCP-Ports 137, 139 und 445 und UDP-Ports 137 und 138 blockieren, über welchen die Kommunikation mit den Backend-Services des Schadcodes läuft.
- Server-Message-Block (SMB) deaktivieren: Folgen Sie den Anleitungen von Microsoft um SMB zu deaktivieren. https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
- Der Schadcode in der aktuellen Version hat einen Kill-Switch und lässt sich beenden durch eine URL-Abfrage auf: www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Eine neuere Version benutzt jedoch auch die URL www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Wer einen Proxy im Unternehmen einsetzt, muss sicherstellen, dass diese URLs erreichbar sind oder ein Redirect auf ein eigenes Sink-Hole mit einer validen Antwort auf eine Webanfrage einrichten. (Trittbrettfahrer haben mittlerweile auch Versionen ohne diesen Kill-Switch gehackt, so dass dies alleine nicht ausreichend ist.)
- Der Schadcode kommuniziert mit seinen Command&Control-Servern über das Tor-Protokoll, welches deshalb am Perimeter unbedingt geblockt werden muss. Bisher bekannte C&C Server sind:
- cwwnhwhlz52ma.onion.
- gx7ekbenv2riucmf.onion.
- xxlvbrloxvriy2c5.onion.
- 57g7spgrzlojinas.onion.
- 76jdd2ir2embyv47.onion.
Dass unbedingt die jeweiligen Updates für Antivirus und Anti-Ransomware-Software eingespielt werden, sollte nicht erwähnt werden müssen, sondern selbstverständlich sein. Auch eine funktionierende Backup-Strategie ist immer eine gute Sache.
Erkennungsmethoden für „WannaCry“
Prozesse des Schadcodes lassen sich durch geeignete Tools am Endpunkt erkennen, indem die folgenden vier Erkennungsmerkmale aktiviert werden:
- Shadow Copy: delete.
- Persistence: File created in roaming startup folder.
- Behavior: Process executed by cmd.exe /c start..
- Behavior: Filename with one character.
Ebenso erstellt der Schadcode auf dem Endpunkt Registry-Einträge, über welche er erkennbar ist:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = “\tasksche.exe”
HKLM\SOFTWARE\WanaCrypt0r\\wd = “”
HKCU\Control Panel\Desktop\Wallpaper: “\@WanaDecryptor@.bmp”
Es ist jedoch zu beachten, dass die Empfehlung die Ports zu blockieren nur vor dem SMB-Wurm schützen. Sollten Sie den Schadcode via E-Mail, einem böswilligen Torrent oder andere Angriffsvektoren außerhalb des SMB-Protokolls erhalten haben, so gilt zumindest die Aufforderung des Patches von Microsoft weiterhin und unbedingt.
Fidelis hat für Unternehmen entsprechende Yara-Regeln zur Erkennung verfügbar gemacht, welche unter der URL https://raw.githubusercontent.com/felmoltor/rules/5be0f43f2fca0b5ff0e385534da9a94c273c172f/malware/malw_ms17-010_wannacrypt.yar geladen werden können.
Der Angriff ist jedoch noch nicht ausgestanden oder gar beendet, da zwar diese Welle durch den Kill-Switch beendet wurde, aber jederzeit eine neue Angriffswelle den selben Exploit ausnutzen kann. Ohne die Umsetzung dieser Empfehlungen ist die Gefahr hoch, weiterhin für diese Sicherheitslücke verwundbar zu sein.
#Netzpalaver #Fidelis #Ransomware #Wannacry
