WannaCry – Part III

Nach aktueller Ansicht ist WannaCry von England aus gestartet. Zumindest wurde in UK die erste Attacke von WannaCry offiziell bekannt. Von dort aus verbreitete sich WannaCry rasend schnell und hierzu nutze der Trojaner das sogenannte Server Message Block Protokoll (SMB Protocol).

Die Ausbreitung erfolgte also über das SMB Protokoll, das wiederum das NetBIOS over TCP/IP Protokoll nutzt und andere PC´s bzw. deren IP-Adressen sucht, die bereit sind mit dem PC zu kommunizieren (über UDP). Und das war der Grund warum WannCry nicht noch viel mehr Schaden angerichtet hat, bevor die Hauptvariante stillgelegt werden konnte: Das SMB Protokoll wird durch Microsoft nur bis zu den Versionen Windows XP und Windows Server 2003 unterstützt.

Doch was hat mit der Aussage „bevor die Hauptvariante stillgelegt wurde“ auf sich? heise.de hat einen Artikel veröffentlicht der das Entschärfen von WannaCry ganz gut beschreibt: Ransomware WannaCry: Sicherheitsexperte findet „Kill-Switch“ – durch Zufall

Insgesamt sind drei kleine Schritte nötig damit sich WannaCry auf diesem Weg verbreitet hat:

1. Es wird ein anderer PC für die direkte Kommunikation gefunden

2. WannaCry kopiert sich selbst auf den gefunden PC und führt den eigentlichen Schadcode, die Verschlüsselung, aus

3. Es wird wieder nach einem anderen PC zur Kommunikation gesucht und gefunden

Natürlich hört WannaCry hier noch nicht auf, sondern agiert mehrstufig und lädt bei den infizierten Systemen noch Programme zur Implementierung von Backdoors nach, installiert selbstständig einen „TOR-Client“ um die Verbindungen zu verstecken etc.

Dies kann in einigen Fällen auch noch passiert sein, nachdem die Daten bereits verschlüsselt wurden und die betroffene Person das „Lösegeld“ zur Freigabe der verschlüsselten Daten bezahlt hat. Somit hat der Hacker die Möglichkeit zu einem späteren Zeitpunkt erneut offensiv zu werden…

Der zweite Weg ist die klassische Methode zur Verbreitung einer Malware. Wenn man´s genau nimmt, ist die eben beschriebene erste Methode jedoch der eigentliche Klassiker eines Computer-Wurm, denn Robert Morris Jr. hat 1988 bereits einen solche Wurm erschaffen. Warum ich den zweiten Weg als „klassische Methode“ bezeichne, ist weil es dem weit verbreiteten Bild eines Hackerangriffs gerecht wird. Ein Hacker sucht über das Internet gezielt nach Rechnern die das SMB Protokoll aktiv nutzen und die entsprechenden Ports dem NetBIOS over TCP/IP Protokoll freigegeben haben und überträgt WannaCry selbst auf den Zielrechner.

Natürlich sind Arten der Verbreitung von Malware über Werbebanner auf Webseiten oder Links in Foren auch schon echte Klassiker, doch Details dazu hebe ich mir zwecks Vorfreude für einen anderen Blogpost auf 🙂

Im kommenden und letzten Blogpost der Serie „WannaCry“ möchte ich ein paar Tipps geben, wie man sich gut vor einem solchen Angriff schützen kann und die Auswirkungen geringhält.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.