Wie schützte ich mich vor WannaCrypt / WannaCry ?

Blog
Johannes Bedrech23. 05. 2017

Wie schützte ich mich vor WannaCrypt / WannaCry ?

Wie arbeitet WannaCrypt (auch bekannt als WanaCrypt0r 2.0, WanaCry or Wcry)?

 

Die Verbreitung dieses Cryptotrojaners findet hauptsächlich durch Mailverkehr statt.
Wanna Crypt nutzt Phishing Techniken, die den User dazu verleiten sollen, die Mail bzw. den beinhalteten Schadcode/Malware zu öffnen.
Wenn der User nun das Mail öffnet, wird die Malware installiert und beginnt sofort Dateien zu verschlüsseln.

Wanna Crypt ist ein Worm, er ist also in der Lage sich selbst auf weitere Maschinen zu vervielfältigen.
Das tut er entweder durch das LAN oder auch über das Internet und benutzt dabei eine Vulnerabilität im SMB V1.0 Protokoll von Microsoft Windows.

Alle Windows Versionen von Windows XP bis hin zu Windows Server 2016, haben SMBv1 standardmäßig aktiviert. Windows 10 ist hingegen nicht betroffen. Microsoft hat einen Emergency Security Patch für Windows XP, Vista, Windows 8, Server 2003 und 2008 veröffentlicht, zu finden ist er unter http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 .
Für die anderen Windows Versionen wurde bereits im März ein Patch von Microsoft veröffentlicht um diese Sicherheitslücke zu schließen https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

 

Indikatoren, dass mein System von WannaCrypt befallen ist:

 

WannaCrypt erstellt folgenden Registry Key:

HKLM\SOFTWARE\WanaCrypt0r\wd = ""

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ = "\tasksche.exe"

 

Es wird eine Lösegeld-(Ransom-)Meldung am Desktop Wallpaper angezeigt, durch die Änderung des folgenden Registry Key:
HKCU\Control Panel\Desktop\Wallpaper: "\@WanaDecryptor@.bmp"

Folgende Dateien werden im Working Directory der Malware erstellt:

  • %SystemRoot%\mssecsvc.exe
  • %SystemRoot%\tasksche.exe
  • %SystemRoot%\qeriuwjhrf
  • b.wnry
  • c.wnry
  • f.wnry
  • r.wnry
  • s.wnry
  • t.wnry
  • u.wnry
  • taskdl.exe
  • taskse.exe
  • 00000000.eky
  • 00000000.res
  • 00000000.pky
  • @WanaDecryptor@.exe
  • @Please_Read_Me@.txt
  • m.vbs
  • @WanaDecryptor@.exe.lnk
  • @WanaDecryptor@.bmp
  • 274901494632976.bat
  • taskdl.exe
  • Taskse.exe
  • Dateien mit “.wnry” Endung
  • Dateien mit “.WNCRY” Endung

 

Wie kann ich Ransomware vorbeugen?

Um Ransomware und deren Verbreitung vorzubeugen, gibt es vier Strategien[1]:



1)      Privilege Management/Rechteverwaltung
Verringern von (lokalen) Administratoren, durch dedizierte Rechtevergabe.

Gerade ein Fall von Ransomware könnte unter Umständen von einem administrativen User weitaus mehr im Unternehmensnetzwerk verbreitet werden als dies mit einem gewöhnlichen Useraccount der Fall wäre. Die Begründung liegt darin, dass der Admin User mehr Zugriffsrechte auf die Netzwerkshares hat.

Bei dem Ziel diese Anzahl der administrativen User zu verringern, kann die Ivanti Application Control behilflich sein. Mit dieser ist es möglich, dem User punktuell höhere Rechte z.B. für einen bestimmten Task, eine Datei oder einen Windows Dienst zu vergeben.

Darüber hinaus kann mittels dem Challenge Response Verfahren eine spontane Rechtevergabe für User, die mit ihren Geräten offline arbeiten, vorgenommen werden.


2)      Application Whitelisting

Das Ausführen unbekannter Software verhindern!

Das Application Whitelisting hilft dem IT Management den Zugriff auf Applikationen zu steuern, es kann also zentral festgelegt werden welche Applikationen verwendet werden dürfen und welche nicht. Ein wirkungsvolles Feature, welches den Implementierungsvorgang einer solchen Software erheblich vermindert, bietet die Ivanti Application Control mit dem Trusted Ownership Checking

Das Trusted Ownership Checking, ist ein pflegefreier Grundschutz der Benutzerumgebung durch Prüfen der Besitzereigenschaften aller ausführbaren Dateien und Vermeidung von unautorisierten Anwendungsstarts.

Dabei sind für die User all diejenigen Applikationen verwendbar, die auf dem System von einem sogenannten Trusted Owner (z.B. System Account, Domänen-Administrator,…) installiert worden sind.

 

Die Ivanti Application Control bietet somit zuverlässigen Schutz vor unbekannten Codes und benötigt dafür keinerlei Signatur oder Definitionsdatenbank.

 

1)      Patch Operating System

Versorgen Sie Ihre Systeme mit den aktuellsten Patches, denn es ist wichtig diese up-to-date zu halten!
Natürlich kann man diese Tätigkeiten, mit dem WSUS, SCCM oder ähnlichem ausführen, das funktioniert auch ziemlich gut. Leider aber werden Dritthersteller Produkte nur unzureichend durch diese Lösungen gepatcht. Produkte die wir unseren Kunden empfehlen sind daher Ivanti Patch oder Symantec Patch Management. Hier werden alle Microsoft Updates, also auch eine Vielzahl

von Dritthersteller Produkten, unterstützt.


Abb. 2: Umfang von Ivanti Patch und Symantec Patch Management

 

1)      Patch Applications

Keep your Applications up-to-date!
Dies trifft auch auf Applikationen zu. Gerade im Adobe Reader, als auch in den Java Runtimes, gibt es immer wieder Sicherheitslücken die gerne von den Hackern in Anspruch genommen werden, wie folgende Übersicht zeigt:

Abb. 3: Sicherheitslücken in Dritthersteller Produkten

Ein hilfreiches Tool zum Patchen von 3rd Party Applications wie im vorigen Punkt schon angemerkt, ist Ivanti Patch.
Ivanti Patch ermöglicht es, Systeme auf dem neuesten Patchstand zu halten – und das agentless! Dadurch, dass die Lösung ohne Agent auskommt und bereits sämtliche vorkonfigurierte Patchvorlagen nach der Installation vorhanden sind, kann man dieses Produkt schnell in Betrieb nehmen.

 

Ein weiteres Produkt von Symantec unterstützt ebenfalls das Patchen von Windows und ca. 30 Drittherstellerprodukten. Im Gegensatz zu Ivanti Patch wird ein Agent (Patch Agent) installiert, der dafür sorgt, dass die benötigten Patche auf den jeweiligen Computern aufgebracht werden können. Zusätzlich werden von Symantec Patch Management auch Mac OS X, Red Hat Linux und SUSE Linux unterstützt.

 

Parallel dazu ist das Patch Management System von Symantec in ein vollwertiges Client Management System integrierbar. Damit lassen sich auch Skripte, Software Deployments, OS Deployments, Inventarisierung usw. aus einer Konsole realisieren.Zusätzlich ist auch eine leistungsstarke Reporting Engine im Produkt integriert. Über diese Reporting Engine lassen sich auch ganz einfach Patch Compliance Level Reports erstellen, die einen sehr guten Überblick über den aktuellen Status der Clients im Unternehmen geben.

 
Abb. 4  Symantec Patch Remediation Center

 

Wer schon einmal versucht hat Java, Adobe Reader oder Adobe Flash auf seinen Clients aktuell zu halten, der wird mit Sicherheit bemerkt haben, dass dies ohne ein entsprechendes Tools ein sehr aufwendiges Unterfangen ist. Mit den oben genannten Lösungen (Ivanti Patch oder Symantec Patch Management) entfällt ein Großteil der extrem aufwendigen Arbeit da die Hersteller bereits „fertig paketierte“ Applikationspatche zur Verfügung stellen die sich im unbeaufsichtigten Modus installieren lassen. Anpassungen an spezielle Installationsparameter können derzeit nur im Symantec Patch Management abgebildet werden.

Abb.5 Patch Distribution Wizard




 Abb.6 Anpassen der Pach Command-line Optionen

 

Was kann ich tun wenn meine Systeme kompromittiert wurden?

Sobald Ransomware die Daten verschlüsselt hat, ist nicht mehr viel zu retten. Derzeit wurde noch kein Weg gefunden durch WannaCrypt verschlüsselte Daten wiederherzustellen.

 

Conclusio

Als „First Line of Defence“ sollte ein Antivirenprogramm zum Einsatz kommen. Dieses schützt
aber natürlich auch nur dann wenn die AV-Pattern vom Hersteller bereits dahingehend aktualisiert wurden. Einer der wichtigsten Punkte ist aber die Geräte auf den aktuellen Patchstand zu halten, damit solche Sicherheitslücken erst gar nicht ausgenutzt werden können.


Zusätzlich kann auch ein Privilege Management System dabei helfen solche Angriffe zu erschweren. Am besten kann man sich gegen solche Angriffe schützen, wenn man eine Kombination oder am besten alle drei dieser Möglichkeiten implementiert.


Wenn Sie eine Patch Management Lösung, ein Privilege Management System oder ein Antiviren Produkt suchen melden Sie sich bei uns, wir beraten Sie gerne bei der Auswahl der richtigen Produkte.


Quellen: [1] Australian Government Department of Defense, Strategies to Mitigate Targeted Cyber Intrusions,   https://www.asd.gov.au/infosec/mitigationstrategies.htm

written by Daniel Möser und Johannes Bedrech

 



 

Kein Kommentar