WannaCry Analyse und Tipps
Trustwave Analyse zu WannaCry mit Anwendertipps
Funktionsweise und Tipps für Anwender
Die Experten des Sicherheitsunternehmen Trustwave haben WannaCry ausführlich analysiert und zeigen, wie die Ransomware funktioniert und wie sie sich so schnell ausbreiten konnte. Außerdem geben die Experten Tipps, welche Maßnahmen Nutzer sofort ergreifen sollten, um sich gegen WannaCry und weitere Ransomware-Angriffe zu schützen.
In den letzten Tagen hat die Ransomware WannaCry weltweit für Chaos gesorgt. WannaCry nutzte eine Sicherheitslücke von Windows aus, für die Microsoft bereits vor zwei Monaten einen Patch bereitgestellt hatte. Die von der Ransomware betroffenen Unternehmen hätten sich gegen die Attacke ganz leicht schützen können, indem sie eine unterstützte Version von Windows verwenden und den zur Verfügung gestellten Patch sofort installiert hätten.
Die Sicherheitsexperten von Trustwave haben die Ransomware WannaCry ausführlich untersucht. Auch wenn der eigentliche Infektionsvektor noch nicht bekannt ist, gibt es Hinweise darauf, dass eine Low-Volume-E-Mail-Seeding-Kampagne der Auslöser war. Diese enthielt Links, über die die Malware heruntergeladen wurde. Im Unterschied zu anderen Ransomware-Attacken wurde WannaCry aber definitiv nicht über eine großangelegte E-Mail-Kampagne verteilt. Ein Umstand, der sich aber nach Meinung der Trustwave-Experten jederzeit ändern könnte.
So funktioniert WannaCry
Auch wenn der Auslöser also noch unbekannt ist, verbreitete sich die Malware schnell über die Netzwerke. Die Malware-Binary enthält die Wurmkomponente und die WannaCry-Ransomware-Komponente ist im Ressourcenbereich dieser Binärdatei enthalten.
Sobald die Malware ausgeführt wird, extrahiert sie die WannaCry-Ransomware und führt diese auf dem System aus. WannaCry versucht sich dann über die "Eternal-Blue"-Sicherheitslücke in Microsoft Windows SMB Server (MS17-010) zu verbreiten.
Für die Verbreitung listet der Wurm die IP-Adressen im lokalen Netzwerk auf und scannt über diese Hosts den Port 445 auf Schwachstellen. Zusätzlich generiert WannaCry zufällige IP-Adressen zum Scannen des Internets. Sobald ein erfolgreicher "Treffer" vermeldet wird, erfolgt ein weiteres Scannen dieses Subnetzes. Auf diese Weise konnte sich die Malware blitzschnell ausbreiten.
Durch einen Zufall – und weil der Entwickler der Ransomware eine Art Notausschalter eingebaut hatte – konnte die Ausbreitung der Malware zunächst gestoppt werden. Der Hauptstarter der Malware hat nämlich eine eigenartige Funktion: Er checkt zuerst die Verbindung zu einer bestimmten Domain. Sobald diese Domain aufgelöst wird, wird die Malware beendet. Ein IT-Experte, der auf Twitter unter dem Namen @malwareTechBlog unterwegs ist, hatte die Domain zufällig entdeckt und registriert. Da die Anfrage des Kryptotrojaners nun beantwortet wird, konnte die Ausbreitung von WannaCry so gestoppt werden. Bereits befallene Rechner bleiben aber nach wie vor verschlüsselt.
Um sich vor WannaCry zu schützen, empfiehlt Trustwave, diese Domains nicht zu blockieren:
Wenn es keine Antwort von der Killswitch-Domain gibt, sucht die Ransomware per Kommandozeilenargumenten nach einem Feedback und erstellt, wenn dieses weniger als 2 ist, einen neuen Dienst mit dem Namen "Microsoft Security Center (2.0) Service" und dem Servicenamen "mssecsvc2.0".
Danach wird die WannaCry-Ransomware aus dem Ressourcenbereich heraus extrahiert, unter C:\WINDOWS abgelegt und erstellt hier den neuen Prozess C:\WINDOWS\tasksche.exe.
Wenn das Kommandozeilenargument 2 oder mehr ist, wird der Malware-Dienst "mssecsvc2.0" geöffnet und die Service-Konfiguration auf "SERVICE_CONFIG_FAILURE_ACTIONS" geändert. Danach startet der Dienst, der – unter Ausnutzung der SMB-Sicherheitslücke – für die Verbreitung der Malware sorgt.
Als nächstes wird ein Thread zum Scannen lokaler IPs und 128 Threads zum Scannen öffentlicher IPs gestartet.
Beim Scannen lokaler IP-Adressen sammelt WannaCry diese unter Verwendung von GetAdaptersInfo() API, überprüft dann die Ziel-IPs auf die MS17-010-Schwachstelle und überträgt die Payload, sobald die IP eine Lücke aufweist.
Für das Scannen von öffentlichen IP-Adressen erzeugt die Malware standardmäßig Ziel-IP-Adressen mit der CryptGenRandom() API, alternativ verwendet sie die Funktion rand ().Das zufällig generierte erste Oktett der IP-Adresse darf nicht gleich 127 oder> = 224 sein. Die zweite, dritte und vierte Oktette werden auch zufällig erzeugt. Es prüft dann, ob Port 445 der Ziel-IP geöffnet ist.
Wenn es den Port 445 für offen hält, beginnt die Malware den gesamten IP-Bereich zu scannen, erstellt für jeden Thread eine Ziel-IP und versucht, die Schwachstelle auszunutzen.
Die Experten von Trustwave haben die ausführbare Datei manuell entpackt. Für das Entpacken kann jede Art von Tool, dass den Ressourcenbereich (.rsrc) eine PE-Datei dumpen kann, verwendet werden.
Die Datei "R-1381" ist die eingebettete PE-Datei im Launcher. Wenn man diese Datei mit dem RSRC-Dumper ausführt, sieht man, dass diese unter anderem die Datei "XIA-2058" enthält. “XIA-2058" ist eigentlich eine passwortgeschützte Zip-Datei, die sich mit dem Passwort "WNcry@2ol7" öffnen und extrahieren lässt. Diese Datei enthält dann unter anderem eine verschlüsselte Datei namens ".t.wnry". Sobald diese Datei entschlüsselt ist, wird die WannaCry-Ransomware ausgeführt.
Des Weiteren kann man nach dem Entpacken folgende Dateien sehen:
- "b.wnry" ist eine BMP-Datei, die für das Ransom-Note-Desktop-Wallpaper verwendet wird.
- "c.wnry" enthält eine Liste von TOR-Seiten (*.onion).
- "r.wnry" enthält einen einfachen Text "readme ransom note".
- Der msg-Ordner enthält Lösegeld-Notizen in verschiedenen Sprachen.
- Die Datei "s.wnry" ist eine weitere ZIP-Datei, die TOR-bezogene Binärdateien enthält, die später für C2-Beaconing verwendet werden.
Die bisherigen Untersuchungen zeigen, dass WannaCry sich eigentlich nicht von anderen Ransomware-Varianten unterscheidet. WannaCry verschlüsselt eine breite Palette von Dateien und verlangt dann Lösegeld in Form von Bitcoins, um diese wieder zu entschlüsseln.
So kann man sich vor WannaCry schützen
Die Experten von Trustwave gehen davon aus, dass WannaCry nur der Anfang von weltweit durchgeführten Ransomware-Angriffen ist. Mittlerweile gibt es zum Beispiel Hinweise darauf, dass eine neue WannaCry-Variante ohne Killswitch-Funktion, also ohne Notausschalter, im Umlauf ist. Selbst wenn man die bekannte Sicherheitslücke gepatcht hat, kann es immer noch sein, dass sich WannaCry und andere Ransomware-Varianten in Zukunft über großangelegte E-Mail-Kampagnen verbreitet.
Aktuell empfiehlt Trustwave die folgende Schritte zu befolgen:
-
Sofort den aktuellen Patch von Microsoft (MS17-010) auf allen Systemen installieren.
-
Überprüfen, ob alle Antivirenprogramme mit den aktuellen Signaturen ausgestattet sind.
- Auf keinen Fall die bekannten Killswitch-Domains am Gateway blockieren.
- Port 445 und SMB-Traffic an der Firewall blockieren
- Erwägen, den SMBv1-Verkehr im LAN zu deaktivieren.
Unternehmen, die von der aktuellen WannaCry-Attacke betroffen sind, können sich 24 Stunden am Tag an das Trustwave Incident Response Team wenden. Zudem wird eine 24 Std Hotline unter Telefonnummer +1 (866) 659-9097 (Option 5 auswählen) angeboten.