WannaCry – Tipps um sich vor Ransomware zu schützen

Wie in Part III versprochen gebe ich hier nun ein paar Tipps um sich vor Ransomware/Kryptotrojaner zu schützen. Aufgrund der anhaltenden Bedrohung empfehle ich jedem diese Maßnahmen umzusetzen.

Mit „REvil“ ist aktuell (2021) ein Kryptotrojaner am wüten der auch weiterhin (Stand 10.03.2021) eine ernste Bedrohung darstellt.

  1. Sichere wichtige Daten.
    • Einmalig und jedesmal wenn Du die Daten veränderst
    • Sichere die Daten in einem Cloud-Speicher und auf einem Speichermedium das nicht mit einem Netzwerk verbunden ist! Doch warum reicht der Cloud-Speicher als Absicherung nicht? Nun, die aktuell weltweit und massiv standfindenden Angriffe auf Exchange Server betreffen nicht nur „E-Mails“! Exchange arbeitet mit einer Webshell „OWA“ um es Firmen zu ermöglichen das die Mitarbeiter für Ihrer Zugang zu Outlook das gleiche Passwort verwenden können das sie beim Anmelden am PC nutzen (Active Directory Passwort). Und theoretisch ist es Problemlos möglich über Exchange an die Active Directory Passwörter zu gelangen, sich somit als Nutzer direkt am Active Directory anzumelden und sich, je nach Absicherung des Systems, also in bestimmten Fällen sogar Administratorrechte auf die Windows Domäne des Unternehmens zu verschaffen. Das kann dazu führen, dass Angreifer auch Zugriff auf Datenbanken von Cloud-Hosting Anbietern erhalten und die dort liegenden Daten der Kunden verschlüsseln.
  2. Halte dein Betriebssystem immer auf den aktuellen Stand. Stelle die Zugriffsüberwachung auf kritische Dateien so ein, das diese Dateien nur durch einen User manuell geändert werden können. Tools können keine automatische Veränderung vornehmen. In Windows kannst Du das über „Windows-Sicherheit“ -> „Einstellungen für Viren- & Bedrohungsschutz“ und hier beim Menüpunkt „Überwachter Ordnerzugriff“ ist die Einstellung je nach Wunsch möglich. Es können also auch nur bestimmte Ordner geschützt werden. Wenn Du eine Security Suite (z.B. von Comodo) nutzt, kann dieser „Dateimanipulationsschutz“ auch mit einem Klick eingestellt werden, so das bei jedem Zugriff auf bestimmte Dateien eine manuelle Freigabe durch den Nutzer erfolgen muss.
  3. Halte die Signaturen deiner Antivirensoftware auf dem aktuellen Stand z.B. indem du „automatische Updates“ für Windows Antivirus und Windows Firewall aktivierst (ist Standardmäßig so eingestellt)
  4. Wenn Du mit unsicheren Daten hantierst die Du aus dem Netz geladen hast oder von einem Kumpel kopiert hast, so verwende die nur in einer Sandbox-Umgebung. Zum Beispiel indem du über das Tool VM Virtual Box von Oracle eine eigene Virtuelle Maschine erzeugst. Das mag auf den ersten Blick kompliziert erscheinen, ist es dank einer guten Beschreibung von Oracle aber nicht 🙂 ( https://www.virtualbox.org/wiki/Downloads )
  5. Öffne keine Dateianhänge die Du nicht explizit angefordert hast und Dir die Quelle nicht bekannt ist. Das gilt natürlich auch und insbesondere für Links die Dir ungefragt zugeschickt werden.

Diese Maßnahmen sorgen zumindest für etwas mehr Schutz und mildern die Auswirkungen wenn dein System infiziert ist.

WannaCry – Part III

Nach aktueller Ansicht ist WannaCry von England aus gestartet. Zumindest wurde in UK die erste Attacke von WannaCry offiziell bekannt. Von dort aus verbreitete sich WannaCry rasend schnell und hierzu nutze der Trojaner das sogenannte Server Message Block Protokoll (SMB Protocol).

Die Ausbreitung erfolgte also über das SMB Protokoll, das wiederum das NetBIOS over TCP/IP Protokoll nutzt und andere PC´s bzw. deren IP-Adressen sucht, die bereit sind mit dem PC zu kommunizieren (über UDP). Und das war der Grund warum WannCry nicht noch viel mehr Schaden angerichtet hat, bevor die Hauptvariante stillgelegt werden konnte: Das SMB Protokoll wird durch Microsoft nur bis zu den Versionen Windows XP und Windows Server 2003 unterstützt.

Doch was hat mit der Aussage „bevor die Hauptvariante stillgelegt wurde“ auf sich? heise.de hat einen Artikel veröffentlicht der das Entschärfen von WannaCry ganz gut beschreibt: Ransomware WannaCry: Sicherheitsexperte findet „Kill-Switch“ – durch Zufall

Insgesamt sind drei kleine Schritte nötig damit sich WannaCry auf diesem Weg verbreitet hat:

1. Es wird ein anderer PC für die direkte Kommunikation gefunden

2. WannaCry kopiert sich selbst auf den gefunden PC und führt den eigentlichen Schadcode, die Verschlüsselung, aus

3. Es wird wieder nach einem anderen PC zur Kommunikation gesucht und gefunden

Natürlich hört WannaCry hier noch nicht auf, sondern agiert mehrstufig und lädt bei den infizierten Systemen noch Programme zur Implementierung von Backdoors nach, installiert selbstständig einen „TOR-Client“ um die Verbindungen zu verstecken etc.

Dies kann in einigen Fällen auch noch passiert sein, nachdem die Daten bereits verschlüsselt wurden und die betroffene Person das „Lösegeld“ zur Freigabe der verschlüsselten Daten bezahlt hat. Somit hat der Hacker die Möglichkeit zu einem späteren Zeitpunkt erneut offensiv zu werden…

Der zweite Weg ist die klassische Methode zur Verbreitung einer Malware. Wenn man´s genau nimmt, ist die eben beschriebene erste Methode jedoch der eigentliche Klassiker eines Computer-Wurm, denn Robert Morris Jr. hat 1988 bereits einen solche Wurm erschaffen. Warum ich den zweiten Weg als „klassische Methode“ bezeichne, ist weil es dem weit verbreiteten Bild eines Hackerangriffs gerecht wird. Ein Hacker sucht über das Internet gezielt nach Rechnern die das SMB Protokoll aktiv nutzen und die entsprechenden Ports dem NetBIOS over TCP/IP Protokoll freigegeben haben und überträgt WannaCry selbst auf den Zielrechner.

Natürlich sind Arten der Verbreitung von Malware über Werbebanner auf Webseiten oder Links in Foren auch schon echte Klassiker, doch Details dazu hebe ich mir zwecks Vorfreude für einen anderen Blogpost auf 🙂

Im kommenden und letzten Blogpost der Serie „WannaCry“ möchte ich ein paar Tipps geben, wie man sich gut vor einem solchen Angriff schützen kann und die Auswirkungen geringhält.

WannaCry – Part II

Im ersten Blogpost haben wir herausgestellt was die Ziele und Fähigkeiten des WannaCry Trojaners sind. Und das es für diese Art schon Schadsoftware die unterschiedlichsten Bezeichnungen gibt. Mal nennt man WannaCry einfach Ransomware, mal Erpressungstrojaner, Verschlüsselungstrojaner oder sogar Kryptotrojaner. Letztes allerdings nicht weil das Lösegeld in einer Krypto-Währung bezahlt werden muss (z.B. Bitcoin), sondern weil die Dateien des Ziels eben verschlüsselt werden. Und Kryptographie war ursprünglich der Oberbegriff für Herangehensweisen zur Verschlüsselung von Daten. Inzwischen wurde der Begriff deutlich ausgedehnt und steht für eine ganze Reihe von IT-Sicherheitskonzepten und Definitionen. Doch dazu ein andermal mehr. Versprochen!

Zurück zu WannaCry und den Bezeichnungen. Ein „Trojaner“, wir kennen das Trojanische Pferd aus der griechischen Mythologie, ist zunächst nur eine Verpackung um den entsprechenden Inhalt ungesehen an den Zielort zu bringen.
Ein Trojaner wird also genutzt um Schadsoftware wie Keylogger (Tastatureingaben werden protokolliert um an Passwörter zu gelangen), Adware oder „Coin mining Software“ vor Firewall´s etc. zu verstecken und auf dem Ziel-System zu installieren. Daher ist der Begriff Trojaner sehr allgemein, da es sich hierbei nicht um die eigentliche Schadsoftware handelt. Die Bezeichnung Kryptotrojaner wird durch den Zusatz „Krypto“ eindeutig.
Und der Begriff Ransomware ist ebenfalls eindeutig und geläufig wenn Kryptotrojaner gemeint sind. Natürlich gibt es auch hier Unterschiede wie sich die Ransomware im Detail verhält. Einige Ransomware Programme verschlüsseln die Dateien nicht wirklich sondern legen lediglich einen Passwort-Schutz darüber, so das beim Zugriff eine Passwort-Abfrage erfolgt. Andere Varianten sperren den gesamten User der am System gerade angemeldet ist. Sofern man also mehrere User-Account im Betriebssystem angelegt hat, sind nur persönliche Dateien des jeweiligen Users betroffen. Oder es entsteht sogar gar kein realer Schaden, wenn dieser User nur mit „öffentlichen“ (also für alle User des Systems zugänglich) Dateien arbeitet.

Von WannaCry waren 300.000 Unternehmen in mehr als 150 Ländern der Welt betroffen. Darunter auch die größten ihrer jeweiligen Branche.

Die Schäden durch Betriebsunterbrechungen und Neuinstallationen von Rechnern werden auf mehrere Milliarden Dollar geschätzt. Doch das sind nur grobe Schätzungen, denn es gibt mehr als 150 Varianten der Ransomware WannaCry.

WannaCry – Part I

Der technologische Fortschritt hat uns eine globale Vernetzung in allen Bereichen ermöglicht. Kommunikationsbarrieren wurden massiv reduziert. Doch die digitale Vernetzung erleichtert es Krimminellen Schadsoftware in bisher unbekanntem Maße zu verbreiten und in kürzester Zeit enormen Schaden anzurichten.

Dies ist der erste Blogpost einer kleinen Serie zur bekannten WannaCry Ransomware.

Doch was ist Ransomware eigentlich? Das schreibt Wikipedia dazu:

Ransomware (von englisch ransom für „Lösegeld“), auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner, sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Dabei werden private Daten auf dem fremden Computer verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern. Die Bezeichnung setzt sich zusammen aus ransom, dem englischen Wort für Lösegeld, und ware, entsprechend dem für verschiedene Arten von Computerprogrammen üblichen Benennungsschema (Software, Malware etc.). Im zweiten Quartal 2012 gab es laut Kindsight Security etwa 123.000 neue Varianten

de.wikipedia.org / letzter Zugriff: 05.03.2021

Schon 2011 schrieb George Ledin in einem Artikel mit dem Titel „The Growing Harm of Not Teaching Malware“ (Communications of the ACM. Feb2011, Vol. 54 Issue 2, p32-34.) das Cyberkrimminelle immer raffinierter werden indem sie Methoden wie die Verbreitung mobiler Malware, Smart-Grid-Hacking, Cloud-basierte Angriffe und GPS-Signalstörungen verwenden. „WannaCry“ wird als Erpressungs-/Verschlüsselungstrojaner der „traditionellen“ Ransomware zugeordnet, war aber zusätzlich mit Mechaniken zur Selbstverbreitung, wie man sie von Computerwürmern kennt, ausgestattet. Er ist ein hevorragendes Beispiel für Ledin´s mahnenden Worte und WannaCry hat 2017 verheerenden Schaden angerichtet.

Im nächsten Blogpost gehe ich genauer auf WannCry und den Folgen ein.