Die schlechteste Nachricht vorweg: Lösegeldzahlungen sind bei WannaCry zwecklos – denn bis jetzt sind keine Opfer bekannt, deren Daten tatsächlich entschlüsselt werden konnten.
Dabei nutzt WannaCry eine vom NSA entwickelte Backdoor. Nachdem diese geleaked wurde, haben die Programmierer den Kryptotrojaner waffenfähig gemacht und die Malware auf die Reise geschickt.
Wie er sich so schnell verbreiten konnte und ein unabsichtlicher Held, die immense Verbreitung verlangsamen konnte und welche weiteren Gegenmaßnahmen Nutzer ergreifen sollten, berichtet der Sicherheitsexperte Chris Kunz in diesem Beitrag.
Microsoft kommt aus den Negativschlagzeilen nicht heraus. Nachdem Anfang letzter Woche bereits eine extrem gefährliche Sicherheitslücke für aktuelle Windows-Systeme bekannt wurde, folgte eine große Angriffswelle auf dem Fuße. Allerdings nicht für diese Lücke, sondern für ein altes, bereits teilweise repariertes Sicherheitsloch. Und die NSA hat indirekt die Finger mit im Spiel.
Der WannaCry-Wurm nutzt Sicherheitslücke EternalBlue
Der WannaCry-Wurm nutzt eine Sicherheitslücke namens „EternalBlue“, die vom NSA gefunden und zu einem Exploit ausentwickelt wurde. Die Sicherheitslücke ist in den Programmkomponenten für den Microsoft-Windows-SMB (NetBios)-Server zu finden und wurde von Microsoft im März 2017 behoben. Mehr Informationen über EternalBlue gibt es bei Microsoft (Security Bulletin MS17-010).
Die Sicherheitslücke, die von EternalBlue ausgenutzt wird, ähnelt in vielen Aspekten einer anderen Lücke, die als MS08-067 bezeichnet wird. Obwohl diese Lücke bereits ins neunte Lebensjahr geht, leistet sie bei der Infektion alter, ungepatchter Windows-Systeme (z.B. wenn veraltete Spezial- und Branchensoftware eingesetzt werden muss, die Patches nicht überleben würde) gute Dienste. Einem breiten Publikum wurde MS08-067 bekannt, weil der Wurm Conficker sie nutzte, um Windows-Systeme zu befallen. Conficker installierte jedoch damals keine Ransomware, sondern ein Spam-Tool namens Waledac sowie eine Fake-Antivirus-Software namens „SpyProtect 2009“.
Bei WannaCry ist die Malware ungleich gefährlicher – eine Vollverschlüsselung aller Daten auf dem infizierten Windows-PC ist der GAU für den Anwender.
Die Backdoor: DoublePulsar
Ein Exploit ist jedoch nur die halbe Miete. Er öffnet die Tür zu einem angreifbaren System und verschafft dem Angreifer einen Zugang – manchmal als normaler Benutzeraccount, oft jedoch als Admin-Account (unter Windows meist „Administrator“, unter unixoiden Betriebssystemen „root“). Um diesen Zugang dauerhaft nutzen zu können, ist noch eine Backdoor notwendig. Diese verschafft dem Angreifer buchstäblich eine Hintertür zum System; diese muss jedoch so gut verborgen werden, dass weder Antivirus-Software noch Firewalls oder Intrusion-Detection-Systeme sie entdecken.
WannaCry nutzt eine ebenfalls vom NSA entwickelte Backdoor namens DOUBLEPULSAR, die sorgfältig programmiert und schwer zu entdecken ist. Eine technische Analyse der DOUBLEPULSAR Backdoor finden Sie im Blog von Countercept: Analyzing the DOUBLEPULSAR kernel DLL injection technique.
Die Malware: WannaCry
Vor etwa einem Monat hat eine Cracker-Gruppe namens „The Shadow Brokers“ eine Reihe von Tools und Exploits der NSA geleaked – es war bereits das fünfte Mal, dass diese Cracker per Twitter, medium.com und über andere soziale Medien streng geheimes Material der NSA verbreitet haben. Unter den Exploits, die veröffentlicht wurden, waren auch ETERNALBLUE und DOUBLEPULSAR.
Nachdem bereits kurz nach Veröffentlichung Malware auf Basis der DOUBLEPULSAR Backdoor kursierte, haben die Autoren des WannaCry-Kryptotrojaners diese Backdoor mit Eternalblue verbunden – man nennt das übrigens „den Exploit waffenfähig gemacht“ (weaponized the exploit) und Krypto-Routinen drangeflanscht. Die resultierende Malware haben sie auf mehrere Arten „auf die Reise“ geschickt.
Ausbreitung und ein „unabsichtlicher Held“
Klassische Krypto-Trojaner verbreiten sich ausschließlich über infizierte Webseiten, Attachments in E-Mails mit infizierten Office-Dokumenten oder andere Formen der interaktiven Verbreitung. WannaCry nutzt diesen sogenannten „Angriffsvektor“ aber nur als einen von mehreren Türöffnern. Eine weitere wichtige Verbreitungsroutine ähnelt der klassischer Wurmsoftware. Sobald WannaCry einen Windows-Rechner infiziert hat, scannt die Malware massenhaft zufällig generierte IP-Adressen, auf andere Windows-PCs, auf denen Verbindungen zu Windows-Dateidiensten zugelassen werden (Port 445/TCP). Findet die Malware solche Rechner, nutzt sie die oben beschriebene Sicherheitlücke in den Windows-Dateidiensten, um sie automatisch zu infizieren. In großen Firmennetzen kann die Malware somit ohne menschliches Zutun große Entfernungen zurücklegen – sowohl geographisch als auch netzmäßig.
Um erfolgreich angegriffen werden zu können, müssen die Computer jedoch angeschaltet sein. Das erklärt, warum die Infektionen in Europa bereits massiv zunahmen, während aus den USA noch keine erhöhte Infektionsrate zu verzeichnen war – dort war schlicht und ergreifend noch Nacht und es waren nur wenige angreifbare PCs angeschaltet.
Denkbar, aber nicht nachgewiesen, ist auch, dass die Autoren der Malware ein Botnet nutzten, um die Malware weiterzuverbreiten. Botnets können neben extrem zielgerichteten „distributed Denial of Service“-Angriffen, bei denen viele Pakete auf ein oder wenige IP-Adressen „verschossen“ werden, nämlich auch breit gefächerte, internetweite Scans nach bestimmten Kriterien durchführen. Mit einem kleinen Botnet können die Angreifer in wenigen Minuten jede IP-Adresse, die im Internet Windows-Dateidienste bereitstellt, finden. Windows-Rechner direkt, also ohne Router oder Firewall ans Internet anzuschliessen, ist übrigens ein Kardinalfehler, den man schnell bereut – innerhalb von maximal fünf Minuten schlagen die ersten Infektionsversuche mit Malware und Windows-Exploits ein.
Hat WannaCry den Rechner erfolgreich infiziert, verschlüsselt sie alle Dateien – bis auf 10, dazu gleich mehr – mit einer RSA-basierten asymmetrischen Verschlüsselungstechnik und nutzt dafür einen geheimen Schlüssel, der nicht auf dem infizierten Rechner gespeichert ist. Dem Nutzer wird dann auf seiner gewohnten Windows-Oberfläche ein Fenster angezeigt, das die erfolgreiche Infektion mit WannaCry vermeldet und den Eigentümer der Daten zur Kasse bittet. 0.14 BTC (etwa 220 Euro – Kursinfos hier) verlangen die Erpresser für die Entschlüsselung der Geiseldaten. Zehn zufällig ausgewählte Dateien darf der Nutzer – zum Beweis, dass seine Daten nicht unwiederbringlich verloren sind – kostenlos entschlüsseln. Diese wurden jedoch zuvor mit einem anderen RSA-Schlüssel verschlüsselt, der auf dem infizierten Computer nur für diese Test-Dateien generiert und gespeichert wurde. Der sogenannte „Beweis“ ist also keiner.
In der ersten Version der WannaCry war eine Domain eingebaut, die als „Killswitch“ dient. Nach der Infektion schickte jeder infizierte Windows-PC eine HTTP-Anfrage an die Domain; wurde die Anfrage erfolgreich beantwortet, schaltete sich die Verschlüsselungs- und Verbreitungslogik aus. Der Clou dabei: Die Angreifer hatten eine unregistrierte Domain (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) verwendet und vergessen, diese zu registrieren. Ein anonymer Blogger, der unter dem Namen „MalwareTech“ aktiv ist, registrierte diese Domain kurzerhand und war damit in der Lage, die Verbreitung von WannaCry zu verlangsamen. Eine aktualisierte Version der Malware enthielt den „Killswitch“ nicht mehr – die Verzögerung reichte jedoch für viele Hersteller von Antivirus-Software, um Gegenmaßnahmen in ihre Produkte einzubauen.
Seine Erlebnisse an einem turbulenten Wochenende verarbeitete MalwareTech zu einem längeren Blogeintrag – er tweetet unter @MalwareTechBlog.
Gegenmaßnahmen
Microsoft hat für einen Großteil aller Windows-Installationen mit aktivem Support bereits im März Patches entwickelt und eingespielt. Das war möglich, weil die NSA noch vor Bekanntwerden des Leaks (das war, wie oben erwähnt, Mitte April) Microsoft über den EternalBlue-Exploit informiert hat. Auch Windows Defender hat bereits passende Signatur-Updates erhalten.
Nutzer von älteren Windows-Versionen, die keinen Support mehr erhalten, können auf einer Support-Seite Patches herunterladen und installieren. Microsoft hat sich angesichts des medialen Echos und der Ausmaße der Infektion dazu entschlossen, diesen recht ungewöhnlichen Schritt zu gehen, normalerweise gilt nämlich „wenn Schluß, dann Schluß (mit Support)“. Diese Entscheidung war natürlich vollkommen richtig und bitter nötig – denken Sie nur einmal an alle Geldautomaten und Fahrplananzeiger mit Windows XP.
Sollten Updates nicht möglich sein, müssen unbedingt alle für Windows-Dateidienste genutzten Ports per Firewall geschlossen werden und das am Besten nicht nur gegenüber dem Internet, sondern auch im lokalen Netzwerk. So verlangsamt sich die Infektionsrate.
Zahlen oder nicht?
In aller Kürze: Zahlen Sie nicht!
Es ist davon auszugehen, dass die WannaCry-Autoren keine Möglichkeit haben, Ihre Zahlung Ihrem PC zuzuordnen. Denn ohne diese Zuordnung können sie den passenden Krypto-Schlüssel nicht zur Verfügung stellen. Diese Hypothese ergibt sich aus der Art und Weise, wie WannaCry Zahlungen entgegennimmt. Andere Hersteller von Krypto-Ransomware generieren automatisch für jede Installation der Malware eine Bitcoin-ID (sog. „Wallet), an die das Lösegeld gezahlt werden soll. Das erschwert zum einen die Nachverfolgung eingehender Zahlungen, ermöglicht den Angreifern aber die Zuordnung der Lösegelder zu infizierten PCs. Sie können somit eindeutig feststellen, welches Erpressungsopfer gerade seine Daten freikaufen möchte und diesem das passende Schlüsselmaterial zukommen lassen.
Klickt man bei WannaCry auf den „Zahlung prüfen“-Knopf, passiert erst einmal nichts. Lediglich ein kleines Fenster (Screenshots in diesem Blog-Posting) fordert den Anwender zum Warten auf eine manuelle Bestätigung auf – und die findet nur zwischen 11 und 13 Uhr an Wochentagen statt. Die Wannacry-Autoren nutzen offenbar ihre Mittagspause für einen illegalen Nebenjob.
Ein weiterer Umstand stützt die These, dass Lösegeldzahlungen zwecklos sind: Trotz hunderter eingegangener Zahlungen ist bis jetzt kein Opfer bekannt, dessen Daten tatsächlich entschlüsselt werden konnten.
Wenn Sie zu den Infizierten gehören, spielen Sie ein aktuelles Backup ein. Sollten Sie nicht infiziert sein, prüfen Sie noch heute, ob Sie ein Backup haben.
Was hat’s den Angreifern gebracht?
Ein riesiges Medienecho und allfällige Katastrophenwarnungen sind das Eine – aber was haben die Angreifer von der „größten Cyberattacke aller Zeiten“ gehabt? Da die Autoren der WannaCry-Malware mehrere (beim Schreiben dieses Beitrags waren es drei) Bitcoin-Adressen zur Zahlung des Lösegelds hartkodiert in der Malware eingebaut haben, ist die Überprüfung der eingehenden Zahlungen einfach. Zum Zeitpunkt dieses Blog-Artikels waren ca. 40.000 USD Lösegeld eingegangen – ein vergleichsweise kleiner Betrag angesichts über 100.000 erfolgreicher Infektionen weltweit. Den aktuellen Stand der Lösegeldzahlungen tweetet @actual_ransom.
Fazit
Ransomware bleibt so aktuell wie eh und je – und es wird immer wichtiger, aktuelle und nicht infizierte Backups zu haben – und auch zu testen, ob diese sich noch zurückspielen lassen. Klar ist jedoch: Isolierte Systeme gibt’s nicht mehr – selbst ein Fahrplan-Anzeiger der deutschen Bahn oder Krankenhauscomputer in britischen Operationssälen werden über Umwege mit dem Internet verbunden sein. Und das heißt: Alle Systeme müssen immer auf dem neuesten Stand sein.
Mehr Informationen im Security-Webinar
In unserem Security-Webinar vom 14. Juni 2017, 10 Uhr habe ich Ihnen aktuelle Infos über WannaCry gegeben. Schauen Sie sich die Aufzeichnung jetzt an:
Der Artikel ist bereits im Blog von filoo veröffentlicht worden.