WannaCry Ransomware

Fünf Empfehlungen für WannaCry-Opfer

15.05.2017
Von 


Oliver Keizers verantwortet als Regional Director das DACH-Geschäft beim IT-Sicherheitsunternehmen Fidelis Cybersecurity. Der studierte Volkswirt hat jahrelange Erfahrung im Bereich Cybersecurity, Threat Protection und mit ganzheitlichen IT-Sicherheitskonzepten. Als Experte beschäftigt er sich größtenteils mit aktuellen Angriffsszenarien und den häufigsten Fehlern, die Unternehmen auch heute noch in der IT-Sicherheit machen.
Der am Freitag bekannt gewordene Ransomware-Angriff "WannaCry" auf Rechnersysteme weltweit - in Deutschland sind u.a. die Deutsche Bahn, Schenker, aber auch zahllose kleine Unternehmen betroffen - hat nach Presseberichten nie zuvor dagewesene Ausmaße an Geschwindigkeit und Verbreitung erreicht.

Während der Kern der Berichterstattung heute meist noch das "Wie?" sein wird, möchten wir hiermit das "Was tun?" beantworten:

  1. Umgehend den Patch MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) installieren. Wer noch Windows XP, Windows 8, oder Windows Server 2003 nutzt, findet unter https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/weitere Informationen.

  2. Auf der Firewall die TCP Ports 137, 139 und 445 und UDP Ports 137 und 138 blockieren, über welchen die Kommunikation mit den Backend Services des Schadcodes läuft.

  3. Server Message Block (SMB) Deaktivieren: Folgen Sie den Anleitungen von Microsoft um SMB zu deaktivieren. https://support.microsoft.com/en-in/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

  4. Der Schadcode in der aktuellen Version hat einen Kill-Switch und lässt sich beenden durch eine URL Abfrage auf: www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Eine neuere Version benutzt jedoch auch die URL www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Wer einen Proxy im Unternehmen einsetzt, muss sicherstellen, dass diese URLs erreichbar sind oder ein Redirect auf ein eigenes Sink-Hole mit einer validen Antwort auf eine Webanfrage einrichten. (Trittbrettfahrer haben mittlerweile auch Versionen ohne diesen Kill-Switch gehackt, so dass dies alleine nicht ausreichend ist.)

  5. Der Schadcode kommuniziert mit seinen Command & Control Servern über das Tor-Protokoll, welches deshalb am Perimeter unbedingt geblockt werden muss. Bisher bekannte C&C-Server sind cwwnhwhlz52ma.onion, gx7ekbenv2riucmf.onion, xxlvbrloxvriy2c5.onion, 57g7spgrzlojinas.onion, 76jdd2ir2embyv47.onion

Dass unbedingt die jeweiligen Updates für Anti-Virus und Anti-Ransomware Software eingespielt werden müssen, sollte nicht erwähnt werden müssen, sondern selbstverständlich sein. Auch eine funktionierende Backup-Strategie ist immer eine gute Sache.

Wannacry: Die Malware beginnt damit, die lokalen Daten zu verschlüsseln.
Wannacry: Die Malware beginnt damit, die lokalen Daten zu verschlüsseln.
Foto: Juniper

Erkennungsmethoden für "WannaCry"

Prozesse des Schadcodes lassen sich durch geeignete Tools am Endpunkt erkennen, indem die folgenden vier Erkennungsmerkmale aktiviert werden:

  1. Shadow Copy: delete

  2. Persistence: File created in roaming startup folder.

  3. Behavior: Process executed by cmd.exe /c start

  4. Behavior: Filename with one character

Ebenso erstellt der Schadcode auf dem Endpunkt Registry Einträge, über welche er erkennbar ist:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = "\tasksche.exe"

HKLM\SOFTWARE\WanaCrypt0r\\wd = ""

HKCU\Control Panel\Desktop\Wallpaper: "\@WanaDecryptor@.bmp"

Es ist jedoch zu beachten, dass die Empfehlung die Ports zu blockieren nur vor dem SMB-Wurm schützen. Sollten Sie den Schadcode via E-Mail, einem böswilligen Torrent oder andere Angriffsvektoren außerhalb des SMB-Protokolls erhalten haben, so gilt zumindest die Aufforderung des Patches von Microsoft weiterhin und unbedingt.

Fidelis hat für Unternehmen entsprechende Yara-Regeln zur Erkennung verfügbar gemacht, welche unter der URL https://raw.githubusercontent.com/felmoltor/rules/5be0f43f2fca0b5ff0e385534da9a94c273c172f/malware/malw_ms17-010_wannacrypt.yar geladen werden können.

Der Angriff ist jedoch noch nicht ausgestanden oder gar beendet, da zwar diese Welle durch den Kill-Switch beendet wurde, aber jederzeit eine neue Angriffswelle den selben Exploit ausnutzen kann. Ohne die Umsetzung dieser Empfehlungen ist die Gefahr hoch, weiterhin für diese Sicherheitslücke verwundbar zu sein. (mb)