Tags: Sicherheit, Windows 7, Malware
Der weltweite Angriff mit der Erpresser-Software "WannaCry" auf Windows-Rechner ist noch nicht vorbei. Es dürfte sich um eine der größten Attacken auf IT-Systeme handeln, die bislang stattfand. Das IT-Sicherheitshaus Fidelis Cybersecurity hat Tipps zusammengestellt, mit denen sich die Schadsoftware neutralisieren lässt.
Laut Fidelis sind folgende fünf Schritte empfehlenswert:
- Umgehend den Patch MS17-010 installieren. Wer noch Windows XP, Windows 8, oder Windows Server 2003 einsetzt, findet in diesem Blog-Post von Microsoft TechNet zusätzliche Informationen.
- Folgende Firewall-Ports blockieren: die TCP-Ports 137, 139 und 445 und UDP-Ports 137 und 138. Über diese kommuniziert WannaCry mit Backend-Services auf externen Servern der Angreifer.
- Das Protokoll Server Message Block (SMB) deaktivieren: Wie das funktioniert, hat Microsoft in diesem Support-Dokument beschrieben.
- Die Ausführung des Schadcodes mittels Kill-Switch stoppen: Laut Fidelis Cybersecurity weist die aktuelle Version einen solchen Mechanismus auf. Er wird durch folgende URL-Abfrage aktiviert:
www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Eine neuere Version benutzt jedoch auch die URL
www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Wer einen Proxy einsetzt, muss sicherstellen, dass diese URLs erreichbar sind oder ein Redirect auf ein eigenes Sink-Hole mit einer validen Antwort auf eine Web-Anfrage einrichten. - Das Tor-Protokoll blockieren: Der Schadcode kommuniziert mit den Command&Control-Servern der Hacker mithilfe des Tor-Protokolls. Deshalb muss dieses am Sicherheits-Perimeter geblockt werden.
Bisher bekannte C&C-Server sind:
- cwwnhwhlz52ma.onion
- gx7ekbenv2riucmf.onion
- xxlvbrloxvriy2c5.onion
- 57g7spgrzlojinas.onion
- 76jdd2ir2embyv47.onion
Zudem sollten unbedingt die Updates für die eingesetzte Anti-Virus- und Anti-Ransomware-Software eingespielt werden. Auch eine funktionierende Backup-Strategie ist hilfreich, um nötigenfalls Daten wiederherzustellen, die von der Ransomware verschlüsselt wurden.
Erkennungsmethoden
Prozesse des Schadcodes lassen sich durch Mionitoring-Tools am Endpunkt erkennen, indem die folgenden Erkennungsmerkmale aktiviert werden:
- Shadow Copy: delete
- Persistence: File created in roaming startup folder
- Behavior: Process executed by cmd.exe /c start
- Behavior: Filename with one character
Außerdem erstellt der Schadcode auf den Endsystemen, also Windows-Rechnern, Registry-Einträge. Auch mithilfe dieser Einträge lässt sich die Schadsoftware identifizieren:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = "\tasksche.exe"
- HKLM\SOFTWARE\WanaCrypt0r\\wd = ""
- HKCU\Control Panel\Desktop\Wallpaper: "\@WanaDecryptor@.bmp"
Patch unbedingt einspielen
Es ist jedoch zu beachten, dass die Empfehlung, die Ports zu blockieren, nur vor dem SMB-Wurm schützt. Sollte ein Anwender den Schadcode via E-Mail, Torrent oder andere Angriffsvektoren außerhalb des SMB-Protokolls erhalten, gilt: Unbedingt den Patch von Microsoft einspielen.
Fidelis hat für Unternehmen entsprechende Yara-Regeln zur Erkennung verfügbar gemacht. Sie stehen auf Github unter dieser URL zur Verfügung.
Der Angriff ist jedoch noch nicht ausgestanden. Zwar lässt sich die aktuelle Welle durch den Kill-Switch stoppen. Neue Attacken können jedoch denselben Exploit nutzen. Daher ist es in jedem Fall wichtig, die genannten Empfehlungen umzusetzen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Bernd Reder ist seit über 20 Jahren als Journalist zu den Themen IT, Netzwerke und Telekommunikation tätig. Zu seinen beruflichen Stationen zählen unter anderem die Fachtitel "Elektronik" und "Gateway".Bei der Zeitschrift "Network World" war Reder als stellvertretender Chefredakteur tätig. Von 2006 bis 2010 baute er die Online-Ausgabe "Network Computing" auf.Derzeit ist Bernd Reder als freier Autor für diverse Print- und Online-Medien sowie für Firmen und PR-Agenturen aktiv.
// Kontakt: E-Mail, XING //
Verwandte Beiträge
- Übersicht: Die wichtigsten Features von Windows Defender
- Überwachter Ordnerzugriff: Ransomware-Schutz mit Gruppenrichtlinien und PowerShell konfigurieren
- Reduktion der Angriffsfläche in Microsoft Defender mit Gruppenrichtlinien oder PowerShell aktivieren
- Schädliche Apps und unsichere Treiber mit Microsofts WDAC-Regeln blockieren
- KrbRelayUp: Domänen-Controller gegen Angriffe auf Resource-based constrained Delegation absichern
Weitere Links
3 Kommentare
Ich denke eine Deaktivierung des SMB-Protokolls macht gerade in einem Unternehmens-Netzwerk wenig Sinn, ohne dabei auch eine produktive Arbeit mit dem Server zu verhindern!
Doch, sofern man nur SMBv1 abschaltet. Bei Windows 7 muss man folgenden Key erstellen.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistrierungseintrag: SMB1
REG_DWORD: 0
Hallo Tobi, danke für die Antwort! Ab Windows 8.1 und Server 2012 R2 kann man SMB v1 auch deinstallieren. Siehe dazu meine Anleitung.