Praxis: Die Schadsoftware WannaCry erkennen und abwehren


    Tags: , ,

    600 Dollar sollen Opfer der Ransomware WannaCry für einen Entschlüsselungscode für Daten auf Festplatten und SSD zahlen.Der welt­weite Angriff mit der Erpresser-Software "WannaCry" auf Windows-Rechner ist noch nicht vorbei. Es dürfte sich um eine der größten Attacken auf IT-Systeme handeln, die bis­lang statt­fand. Das IT-Sicher­heits­haus Fidelis Cybersecurity hat Tipps zusammen­ge­stellt, mit denen sich die Schad­software neu­trali­sieren lässt.

    Laut Fidelis sind folgende fünf Schritte empfehlenswert:

    1. Umgehend den Patch MS17-010 installieren. Wer noch Windows XP, Windows 8, oder Windows Server 2003 einsetzt, findet in diesem Blog-Post von Microsoft TechNet zusätzliche Informationen.
    2. Folgende Firewall-Ports blockieren: die TCP-Ports 137, 139 und 445 und UDP-Ports 137 und 138. Über diese kommuniziert WannaCry mit Backend-Services auf externen Servern der Angreifer.
    3. Das Protokoll Server Message Block (SMB) deaktivieren: Wie das funktioniert, hat Microsoft in diesem Support-Dokument beschrieben.
    4. Die Ausführung des Schadcodes mittels Kill-Switch stoppen: Laut Fidelis Cybersecurity weist die aktuelle Version einen solchen Mechanismus auf. Er wird durch folgende URL-Abfrage aktiviert:
      www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
      Eine neuere Version benutzt jedoch auch die URL
      www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
      Wer einen Proxy einsetzt, muss sicherstellen, dass diese URLs erreichbar sind oder ein Redirect auf ein eigenes Sink-Hole mit einer validen Antwort auf eine Web-Anfrage einrichten.
    5. Das Tor-Protokoll blockieren: Der Schadcode kommuniziert mit den Command&Control-Servern der Hacker mithilfe des Tor-Protokolls. Deshalb muss dieses am Sicherheits-Perimeter geblockt werden.

    Bisher bekannte C&C-Server sind:

    • cwwnhwhlz52ma.onion
    • gx7ekbenv2riucmf.onion
    • xxlvbrloxvriy2c5.onion
    • 57g7spgrzlojinas.onion
    • 76jdd2ir2embyv47.onion

    Zudem sollten unbedingt die Updates für die eingesetzte Anti-Virus- und Anti-Ransomware-Software eingespielt werden. Auch eine funk­tionierende Backup-Strategie ist hilfreich, um nötigenfalls Daten wiederher­zustellen, die von der Ransomware verschlüsselt wurden.

    Erkennungsmethoden

    Prozesse des Schadcodes lassen sich durch Mionitoring-Tools am Endpunkt erkennen, indem die folgenden Erkennungs­merkmale aktiviert werden:

    • Shadow Copy: delete
    • Persistence: File created in roaming startup folder
    • Behavior: Process executed by cmd.exe /c start
    • Behavior: Filename with one character

    Außerdem erstellt der Schadcode auf den Endsystemen, also Windows-Rechnern, Registry-Einträge. Auch mithilfe dieser Einträge lässt sich die Schad­software identifizieren:

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = "\tasksche.exe"
    • HKLM\SOFTWARE\WanaCrypt0r\\wd = ""
    • HKCU\Control Panel\Desktop\Wallpaper: "\@WanaDecryptor@.bmp"

    Patch unbedingt einspielen

    Es ist jedoch zu beachten, dass die Empfehlung, die Ports zu blockieren, nur vor dem SMB-Wurm schützt. Sollte ein Anwender den Schadcode via E-Mail, Torrent oder andere Angriffsvektoren außerhalb des SMB-Protokolls erhalten, gilt: Unbedingt den Patch von Microsoft einspielen.

    Fidelis hat für Unternehmen entsprechende Yara-Regeln zur Erkennung verfügbar gemacht. Sie stehen auf Github unter dieser URL zur Verfügung.

    Der Angriff ist jedoch noch nicht ausgestanden. Zwar lässt sich die aktuelle Welle durch den Kill-Switch stoppen. Neue Attacken können jedoch denselben Exploit nutzen. Daher ist es in jedem Fall wichtig, die genannten Empfehlungen umzusetzen.

    3 Kommentare

    Bild von Richard89
    Richard89 sagt:
    16. Mai 2017 - 7:46

    Ich denke eine Deaktivierung des SMB-Protokolls macht gerade in einem Unternehmens-Netzwerk wenig Sinn, ohne dabei auch eine produktive Arbeit mit dem Server zu verhindern!

    Bild von Tobi
    Tobi sagt:
    16. Mai 2017 - 10:35

    Doch, sofern man nur SMBv1 abschaltet. Bei Windows 7 muss man folgenden Key erstellen.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistrierungseintrag: SMB1
    REG_DWORD: 0

    Bild von Wolfgang Sommergut
    16. Mai 2017 - 12:31

    Hallo Tobi, danke für die Antwort! Ab Windows 8.1 und Server 2012 R2 kann man SMB v1 auch deinstallieren. Siehe dazu meine Anleitung.