WannaCry

Uwe Caspari

https://www.ucaslife.de/wannacry

Worum geht's?

Was ist passiert?

Wie konnte das passieren?

Ich will nicht, dass das passiert!

Ransomware?

DoublePulsar, EthernalBlue?

Uwe Caspari

Industrial IT Security Analyst

KORAMIS GmbH | www.KORAMIS.de

@UCasLife | www.UCasLife.de

Zweites #SaarCamp, erste Session

Was bisher geschah…

Eine Timeline

  • 03.02. - Lücke in SMB2, aber kein Patchday [1]
  • 14.03. - Doublepatchday [2] [3]
    • 19 Patches
    • davon 9 Kritisch oder Hoch
    • behandeln 140 Lücken
    • in Edge, Exchange Server, Office, Silverlight, Windows
    • und eben SMB (Server Message Block)
  • 14.04. - Lost in Translation [4][5]
  • 12.05. - WannaCry

General practice surgery in Preston, England [7]

ALARM

  • Krankenhäuser in England fahren großflächig in den Notbetrieb
    • Röntgenmaschinen teilweise außer Betrieb
  • Anzeigetafeln der Deutschen Bahn fallen aus
  • Renault stoppt Produktion in einigen Werken
  • Geldautomaten fallen in diversen Ländern aus
  • Industrie und kritische Infrastruktur im Krisenmodus

Betroffene Organisationen [12]

Betroffene Organisationen [12]

Schöne Tafeln… [7]

… und wunderschöne Handschrift [9]

WannaCry ist überall [9]

Klassische RansomWare

+ Wurmtechnologie!

RansomWare

Ransomware (von englisch ransom für „Lösegeld“), auch Erpressungstrojaner, Kryptotrojaner oder Verschlüsselungstrojaner, sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Dabei werden private Daten auf dem fremden Computer verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern.

RansomWare

  • Infektion wird breit gestreut
    • E-Mail - Zip-Anhang
    • Webseite - Sicherheitslücke im Browser
    • Datenträger - Früher Disketten, heute USB Sticks
  • Daten werden verschlüsselt
  • Lösegeld per PaySafeCard oder Bitcoin

Soweit, so altbekannt.
Auch WannaCry geht da keine neuen Wege.

Was ist neu?

Fortpflanzung über Remote Code Execution

Einen Moment…

Lost in Translation

Remote Code Execution

Das Ausführen von fremdem Code auf einem angreifbaren Zielsystem

Nötig: Sicherheitslücke in einem Netzwerkdienst wie z.B. SMB

National Institute of Standards and Technology (NIST)

CVE-2017-0144[10]

Lost in Translation

Exploit

Der "Kniff" zum Ausnutzen dieser Lücke

Patch

Das Update für die fehlerhafte Software, welches die Lücke schließt.

MS17-010[3]

Lost in Translation

EthernalBlue

Der Passende Exploit zu CVE-2017-0144

DoublePulsar

Die Backdoor für späteren Zugriff von außen

Lost in Translation

WannaCry

Eine Schadsoftware, die gleichzeitig Wurm, Trojaner, Ransomware ist.

Nutzt EthernalBlue um DoublePulsar auf anfälligen Windowssystemen zu installieren und sich dort hin zu verbreiten.

Klar soweit?

Anfällige Systeme?

  • Windows XP bis 10
  • Server und Clients
  • Alle mit SMB…
  • …und fehlenden Patches

Ablauf

  • Entpackt sich lokal
  • Installiert TorBrowser
  • deaktiviert Datenbanken und andere Dienste
    • taskkill.exe /f /im mysqld.exe
    • taskkill.exe /f /im sqlwriter.exe
    • taskkill.exe /f /im sqlserver.exe
    • taskkill.exe /f /im MSExchange*
    • taskkill.exe /f /im Microsoft.Exchange.*

Verschlüsselung

  • Jede Datei erhält einen eigenen Schlüssel
  • Daten werden mit AES-128-CBC Verschlüselt
  • DLL ist ebenfalls AES-Verschlüsselt
    • Wird im RAM entschlüsselt
    • Liegt nie lesbar auf der Festplatte
  • Quality of Service
    • Arbeitet nur wenn C&C erreichbar ist (.onion)

Wie konnte es so weit kommen?

Wir haben ein Patchproblem

Timeline

  • 14.03. - Doublepatchday [2] [3]
  • 14.04. - Lost in Translation [4][5]
  • 12.05. - WannaCry
WannaCry: Massenhafte Ransomware-Verbreitung mit Ansage

Carsten Dobschat auf Mobilegeeks.de [11]

Schutzmaßnahmen

Privat

  • Patches
  • Backups, Backups, Backups,…
    • Nicht: Cloud
    • Nicht: Synchronisierte Ordner
    • Nicht: Netzwerklaufwerk
    • Nicht: Verbundene Festplatte
    • Sondern: Echte, harte, inkrementelle Backups

Schutzmaßnahmen

Unternehmen

  • Awareness
  • Backups, Backups, Backups,…
  • Patchprozess
  • Netzwerksegmentierung
  • Intrusion Prevention
    • Next Generation Firewall (NGFW)
    • Sandboxing/Whitelisting
  • Monitoring
  • Backups

Achja…

Haben wir bereits über Backups gesprochen?

Was tun, als Opfer?

  • Auf keinen Fall zahlen!
  • Retten was zu retten ist
  • Backup zurückspielen
    • Kein Backup? Kein Mitleid!
  • Wirklich kein Backup?
    • Daten sichern, auch die Verschlüsselten
    • Format c:
    • Windows neu installieren
    • Sofware NEU installieren
    • Nutzdaten zurückspielen

Ausblick

  • Es werden weitere Folgen
  • Erste Nachkömmlinge innerhalb von Stunden
  • Miningtrojaner
  • Lücken wird es immer geben
  • Macht Updates und Backups!

Weiterlesen

  1. https://www.heise.de/security/meldung/Zero-Day-Luecke-in-SMB-Bibliothek-von-Windows-3616990.html
  2. https://www.heise.de/security/meldung/Sicherheitsupdates-Microsoft-veranstaltet-zwei-Patchdays-an-einem-Tag-3653806.html
  3. https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  4. https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation#
  5. https://github.com/misterch0c/shadowbroker
  6. https://www.scmagazine.com/doublepulsar-malware-spreading-rapidly-in-the-wild-following-shadow-brokers-dump/article/652518/

Weiterlesen

  1. http://b0n1.blogspot.de/2017/05/wannacry-ransomware-picture-collection_17.html
  2. https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  3. https://twitter.com/BahnAnsagen/status/863759137024421888/photo/1
  4. https://nvd.nist.gov/vuln/detail/CVE-2017-0144
  5. https://www.mobilegeeks.de/artikel/wannacry-massenhafte-ransomware-verbreitung-mit-ansage/
  6. https://en.wikipedia.org/wiki/WannaCry_cyber_attack#List_of_affected_organizations

Uwe Caspari

Industrial IT Security Analyst

KORAMIS GmbH | www.KORAMIS.de

@UCasLife | www.UCasLife.de

https://www.ucaslife.de/wannacry

s