Tags: Sicherheit, Windows 7, Malware
Der weltweite Angriff mit der Erpresser-Software "WannaCry" auf Windows-Rechner ist noch nicht vorbei. Es dürfte sich um eine der größten Attacken auf IT-Systeme handeln, die bislang stattfand. Das IT-Sicherheitshaus Fidelis Cybersecurity hat Tipps zusammengestellt, mit denen sich die Schadsoftware neutralisieren lässt.
Laut Fidelis sind folgende fünf Schritte empfehlenswert:
- Umgehend den Patch MS17-010 installieren. Wer noch Windows XP, Windows 8, oder Windows Server 2003 einsetzt, findet in diesem Blog-Post von Microsoft TechNet zusätzliche Informationen.
- Folgende Firewall-Ports blockieren: die TCP-Ports 137, 139 und 445 und UDP-Ports 137 und 138. Über diese kommuniziert WannaCry mit Backend-Services auf externen Servern der Angreifer.
- Das Protokoll Server Message Block (SMB) deaktivieren: Wie das funktioniert, hat Microsoft in diesem Support-Dokument beschrieben.
- Die Ausführung des Schadcodes mittels Kill-Switch stoppen: Laut Fidelis Cybersecurity weist die aktuelle Version einen solchen Mechanismus auf. Er wird durch folgende URL-Abfrage aktiviert:
www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Eine neuere Version benutzt jedoch auch die URL
www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Wer einen Proxy einsetzt, muss sicherstellen, dass diese URLs erreichbar sind oder ein Redirect auf ein eigenes Sink-Hole mit einer validen Antwort auf eine Web-Anfrage einrichten. - Das Tor-Protokoll blockieren: Der Schadcode kommuniziert mit den Command&Control-Servern der Hacker mithilfe des Tor-Protokolls. Deshalb muss dieses am Sicherheits-Perimeter geblockt werden.
Bisher bekannte C&C-Server sind:
- cwwnhwhlz52ma.onion
- gx7ekbenv2riucmf.onion
- xxlvbrloxvriy2c5.onion
- 57g7spgrzlojinas.onion
- 76jdd2ir2embyv47.onion
Zudem sollten unbedingt die Updates für die eingesetzte Anti-Virus- und Anti-Ransomware-Software eingespielt werden. Auch eine funktionierende Backup-Strategie ist hilfreich, um nötigenfalls Daten wiederherzustellen, die von der Ransomware verschlüsselt wurden.
Erkennungsmethoden
Prozesse des Schadcodes lassen sich durch Mionitoring-Tools am Endpunkt erkennen, indem die folgenden Erkennungsmerkmale aktiviert werden:
- Shadow Copy: delete
- Persistence: File created in roaming startup folder
- Behavior: Process executed by cmd.exe /c start
- Behavior: Filename with one character
Außerdem erstellt der Schadcode auf den Endsystemen, also Windows-Rechnern, Registry-Einträge. Auch mithilfe dieser Einträge lässt sich die Schadsoftware identifizieren:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = "\tasksche.exe"
- HKLM\SOFTWARE\WanaCrypt0r\\wd = ""
- HKCU\Control Panel\Desktop\Wallpaper: "\@WanaDecryptor@.bmp"
Patch unbedingt einspielen
Es ist jedoch zu beachten, dass die Empfehlung, die Ports zu blockieren, nur vor dem SMB-Wurm schützt. Sollte ein Anwender den Schadcode via E-Mail, Torrent oder andere Angriffsvektoren außerhalb des SMB-Protokolls erhalten, gilt: Unbedingt den Patch von Microsoft einspielen.
Fidelis hat für Unternehmen entsprechende Yara-Regeln zur Erkennung verfügbar gemacht. Sie stehen auf Github unter dieser URL zur Verfügung.
Der Angriff ist jedoch noch nicht ausgestanden. Zwar lässt sich die aktuelle Welle durch den Kill-Switch stoppen. Neue Attacken können jedoch denselben Exploit nutzen. Daher ist es in jedem Fall wichtig, die genannten Empfehlungen umzusetzen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Bei der Zeitschrift "Network World" war Reder als stellvertretender Chefredakteur tätig. Von 2006 bis 2010 baute er die Online-Ausgabe "Network Computing" auf.
Derzeit ist Bernd Reder als freier Autor für diverse Print- und Online-Medien sowie für Firmen und PR-Agenturen aktiv.
// Kontakt: E-Mail, XING //
Ähnliche Beiträge
- Übersicht: Die wichtigsten Features von Windows Defender
- Überwachter Ordnerzugriff: Ransomware-Schutz mit Gruppenrichtlinien und PowerShell konfigurieren
- Reduktion der Angriffsfläche in Microsoft Defender mit Gruppenrichtlinien oder PowerShell aktivieren
- Schädliche Apps und unsichere Treiber mit Microsofts WDAC-Regeln blockieren
- KrbRelayUp: Domänen-Controller gegen Angriffe auf Resource-based constrained Delegation absichern
Weitere Links
3 Kommentare
Ich denke eine Deaktivierung des SMB-Protokolls macht gerade in einem Unternehmens-Netzwerk wenig Sinn, ohne dabei auch eine produktive Arbeit mit dem Server zu verhindern!
Doch, sofern man nur SMBv1 abschaltet. Bei Windows 7 muss man folgenden Key erstellen.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistrierungseintrag: SMB1
REG_DWORD: 0
Hallo Tobi, danke für die Antwort! Ab Windows 8.1 und Server 2012 R2 kann man SMB v1 auch deinstallieren. Siehe dazu meine Anleitung.