WannaCry

Handlungsempfehlungen zur Ransomware „WannaCry“

Handlungsempfehlungen zur Ransomware „WannaCry“

Fidelis Cybersecurity veröffentlicht Handlungsempfehlungen zur Ransomware „WannaCry“.

Der am Freitag bekannt gewordene Ransomware Angriff mit den Namen „WannaCry“ auf Rechnersysteme weltweit

Oliver Keizers, Regional Director DACH, Fidelis Cybersecurity

– in Deutschland sind u.a. die Deutsche Bahn, Schenker, aber auch zahllose kleine Unternehmen und Privatcomputer betroffen – hat nach Presseberichten nie zuvor dagewesenen Ausmaße an Geschwindigkeit und Verbreitung erreicht.

Während der Kern der Berichterstattung heute meist noch das „Wie?“ sein wird, möchten wir hiermit das „Was tun?“ beantworten:

  1. Umgehend den Patch MS17-010 installieren. Wer noch Windows XP, Windows 8, oder Windows Server 2003 nutzt findet hier weitere Informationen.
  2. Auf der Firewall die TCP Ports 137, 139 und 445 und UDP Ports 137 und 138 blockieren, über welchen die Kommunikation mit den Backend Services des Schadcodes läuft.
  3. Server Message Block (SMB) Deaktivieren: Folgen Sie den Anleitungen von Microsoft um den SMB zu deaktivieren
  4. Der Schadcode in der aktuellen Version hat einen Kill-Switch und lässt sich beenden. Wer einen Proxy im Unternehmen einsetzt, muss sicherstellen, dass diese URLs erreichbar sind oder ein Redirect auf ein eigenes Sink-Hole mit einer validen Antwort auf eine Webanfrage einrichten. (Trittbrettfahrer haben mittlerweile auch Versionen ohne diesen Kill-Switch gehackt, so dass dies alleine nicht ausreichend ist.)
  5. Der Schadcode kommuniziert mit seinen Command & Control Servern über das Tor Protokoll, welches deshalb am Perimeter unbedingt geblockt werden muss.

Bisher bekannte C&C Server sind

  • cwwnhwhlz52ma.onion
  • gx7ekbenv2riucmf.onion
  • xxlvbrloxvriy2c5.onion
  • 57g7spgrzlojinas.onion
  • 76jdd2ir2embyv47.onion

Dass unbedingt die jeweiligen Updates für Anti-Virus und Anti-Ransomware Software eingespielt werden müssen, sollte nicht erwähnt werden müssen, sondern selbstverständlich sein. Auch eine funktionierende Backup-Strategie ist immer eine gute Sache.

Ebenso erstellt der Schadcode auf dem Endpunkt Registry Einträge, über welche er erkennbar ist:

Erkennungsmethoden für „WannaCry“

Prozesse des Schadcodes lassen sich durch geeignete Tools am Endpunkt erkennen, indem die folgenden vier Erkennungsmerkmale aktiviert werden:

  • Shadow Copy: delete
  • Persistence: File created in roaming startup folder.
  • Behavior: Process executed by cmd.exe /c start
  • Behavior: Filename with one character

Es ist jedoch zu beachten, dass die Empfehlung die Ports zu blockieren nur vor dem SMB-Wurm schützen. Sollten Sie den Schadcode via E-Mail, einem böswilligen Torrent oder andere Angriffsvektoren außerhalb des SMB-Protokolls erhalten haben, so gilt zumindest die Aufforderung des Patches von Microsoft weiterhin und unbedingt.

Fidelis hat für Unternehmen entsprechende Yara-Regeln zur Erkennung verfügbar gemacht, welche unter der URL geladen werden können.

Der Angriff ist jedoch noch nicht ausgestanden oder gar beendet, da zwar diese Welle durch den Kill-Switch beendet wurde, aber jederzeit eine neue Angriffswelle ähnliche Exploits ausnutzen können. Ohne die Umsetzung dieser Empfehlungen ist die Gefahr hoch, weiterhin für diese Sicherheitslücke verwundbar zu sein.