OVH NEWS | Aktuelles, Innovationen und IT Trends








7. Juni 2017
Teilen

Geschrieben von OVH Team


WannaCry: Tränen trocknen und aus der Erfahrung lernen


Die Ransomware-Pandemie WannaCrypt0r (WannaCry) hat vor allem Arbeitsplätze in Unternehmen befallen und auch Server mit veralteten Windows-Versionen blieben nicht verschont. Welche Möglichkeiten haben Internet-Provider, um sich vor einem solchen Angriff zu schützen? Das ist gar nicht so einfach, denn eigentlich liegt die Verantwortung auf Seiten der Nutzer, die als einzige die nötigen Sicherheitsupdates durchführen können. OVH hat zusätzliche Maßnahmen getroffen, um die gefährdeten Server seiner Kunden zu schützen und so die Verbreitung von WannaCry einzudämmen. Alles in allem ist diese neueste Attacke gleichzeitig auch die Gelegenheit, an notwendige Vorsichtsmaßnahmen zu erinnern und zu zeigen, wie man sich vor der andauernden Bedrohung durch Malware schützen kann.

Eine erste Einschätzung

WannaCry sollte mittlerweile jedem ein Begriff sein. Die Ransomware nutzte eine Schwachstelle in der Windows-Dateifreigabe und konnte sich so wie eine Pandemie ausbreiten. Die Medien waren voll mit Berichten über betroffene Unternehmen wie FedEx in den USA, Renault in Frankreich, die Deutsche Bahn und auch öffentliche Krankenhäuser in Großbritannien blieben nicht verschont. Wie ist OVH nun konkret mit diesem Cyber-Angriff umgegangen?

Schließlich hat WannaCry – wie englischsprachige Medien die Ransomware nannten – weltweit zwischen 150.000 und 300.000 Rechner infiziert. Leider stieg diese Zahl weiter, da die Verbreitung des Virus nicht vollständig gestoppt werden konnte. Außerdem befürchteten wir, dass neue Varianten von WannaCry einen erneuten Ausbruch verursachen könnten. Zum Glück wurde bei OVH kaum Schaden angerichtet. Von über 2 Millionen IP-Adressen sind gerade einmal 5.000 betroffen. Diese Zahl entspricht den letzten Schätzungen, die mithilfe unserer Honeypots ermittelt wurden. Honeypots (dt. „Honigtöpfe“) sind Server, die von unserem SOC-Team (Security Operations Center) verwaltet und absichtlich verschiedenen Bedrohungen im Internet (Malware, Hacker, Phishing, …) ausgesetzt werden, um deren Gefährlichkeit einzuschätzen. Die Zahl infizierter Maschinen bei OVH war zwar insgesamt gering, doch musste dennoch die Verbreitung auf weitere gefährdete Server verhindert werden (OVH eigene Server waren nicht betroffen. Nur Server, die von OVH Kunden nicht regelmäßig aktualisiert wurden, waren von WannaCry infiziert).

WannaCry: Erpressung des Marktführers

Zunächst eine kurze Erklärung: Was genau ist WannaCry eigentlich? WannaCry ist eine sogenannte Ransomware und wird im Deutschen auch als Erpressungstrojaner bezeichnet. Diese Art von Malware verschlüsselt die Daten seiner Opfer und verlangt ein Lösegeld für den Zugang zu den so gesperrten Daten. Meistens soll dieses Lösegeld in Form von Bitcoins gezahlt werden, da dies die Nachverfolgung der Zahlungen nochmals erschwert. Diese Vorgehensweise ist keinesfalls neu und wird schon seit 2005 regelmäßig angewandt. Schließlich ist das Geschäft mit Ransomware äußerst lukrativ. Das FBI schätzt, dass 2016 über 830 Millionen Dollar mit Ransomware erwirtschaftet wurden. Um das Mal in Perspektive zu setzen: Das entspricht dem englischen Marktumfang von Video-On-Demand-Diensten im Jahr 2015 oder den Verlusten des Mitfahrdiensts Uber im 3. Quartal 2016.

Screenshot des Fensters von WannaCry auf einem infizierten Rechner

Meistens wird Ransomware über bösartige E-Mails verschickt, die beispielsweise einen Anhang mit einer gefälschten Rechnung als Word-Dokument oder PDF enthalten. Wird der Anhang geöffnet, führt er ein bösartiges Script aus (JavaScript, Makro, VBScript), das die Payload von WannaCry herunterlädt, die dann ihrerseits die Daten des Opfers verschlüsselt.

Beim neuesten Angriff von WannaCrypt0r handelt es sich übrigens um Version 2.0 der Ransomware. Die Entwickler der Schadsoftware haben dazu natürlich keine offiziellen Releases veröffentlicht. Allerdings hatte die erste Version, die sich allein auf bösartige E-Mails stützte, nicht den erhofften Erfolg. WannaCrypt0r 2.0 ist um einiges effizienter und nutzt zusätzlich eine Schwachstelle in der Windows-Dateifreigabe (SMB). Dieser Schwachpunkt, der am 14. März 2017 im Sicherheits-Bulletin MS17-010 von Microsoft korrigiert wurde, macht es möglich, auf einem anderen Rechner beliebig Codes auszuführen.  Aus diesem Grund konnten Server infiziert werden, die nicht rechtzeitig aktualisiert wurden, allen voran solche unter Windows Server 2008 oder mit älteren Betriebssystemen von Microsoft. Erst ab Windows Server 2012 und Windows 10 wurde die Firewall so konfiguriert, dass die Dateifreigabe nicht für alle öffentlich ist. Was erklärt, warum nicht noch mehr Systeme betroffen sind. Die Microsoft-Dateifreigabe ist nämlich bei den gefährdeten Geräten über den TCP-Port 445 frei zugänglich.

Bei Malware oder Schadprogrammen unterscheidet man verschiedene Arten. Bisher haben wir vor allem von Ransomware gesprochen, die darauf abzielt, den Nutzer durch die Verschlüsselung seiner Daten zu erpressen. WannaCry nutzt nun zusätzlich eine Schwachstelle im System, was der Vorgehensweise eines Computerwurms entspricht, und ist somit eine Mischform zwischen Wurm und Ransomware. Da diese Schwachstelle speziell bei Microsoft existiert, wurden auch die Arbeitsplätze der Unternehmen von WannaCry angegriffen, die für ihr Betriebssystem auf den Marktführer setzen.

Flashback: Inglourious Blaster

Erinnern Sie sich noch an den Computerwurm Blaster? Im August 2003 wurden hunderttausende Computer mit Windows 2000 oder Windows XP von diesem Wurm infiziert. Er nutzte eine Schwachstelle von Windows, die von Microsoft wochenlang nicht gepatcht worden war, und zwang betroffene Computer, alle 60 Sekunden neu zu starten. Danach suchte Blaster im Internet nach weiteren Computern und nutzte wie WannaCry Peer-to-Peer-Verbindungen (P2P) als Ansteckungsweg.

Als unsere Honeypots so richtig zu rattern anfingen

Am Mittwoch den 12. Mai kursierten die ersten Tweets von @MalwareHunterTeam im Internet und warnten vor einer neuen Bedrohung namens WannaCry, die sich wie wild verbreitete.
Abends erschienen die ersten Artikel über eine Schwachstelle in Windows, die zuvor von Microsoft korrigiert wurde, aber bei nicht aktualisierten Rechnern immer noch vorliegt. Gegen 21 Uhr wunderte sich schließlich unser Support Team in Kanada über die ungewöhnlich hohe Zahl an Tickets wegen Ransomware-Angriffen.

Unser Kampf als Cloud-Anbieter gegen die Verbreitung von Ransomware und Malware ist eine tägliche Herausforderung. Bei OVH ist das sog. SOC-Team (unser Sicherheitsteam) für diese schwierige Aufgabe zuständig und führt umfangreiche Untersuchungen durch, um am Ende die Verantwortlichen ausfindig zu machen und diese Informationen an die Behörden weiterzuleiten. Das Risiko kann jedoch nie ganz beseitigt werden. Vorbeugung ist dabei der beste Schutz, um die Risiken, die von den Nutzern ausgehen, mit gezielten Maßnahmen vorsorglich zu verringern. Konkret bedeutet das Folgendes: Die kompletten IT-Infrastrukturen müssen immer auf den neuesten Stand gesetzt und Sicherheitsupdates regelmäßig durchgeführt werden. Allerdings ist das schwieriger, als es sich anhört. Gerade Kompatibilitätsprobleme zwischen einem neuen Betriebssystem und den bereits in Unternehmen verwendeten Programmen sind ein häufiger Grund, weiterhin eine ältere Version zu nutzen. Daher ist auch die große Zahl der Rechner, die noch Betriebssysteme von vor 2008 verwenden, gar nicht weiter verwunderlich (1). Neben regelmäßigen Updates müssen auch Anwender zum Thema Malware sensibilisiert werden, um bösartige E-Mails und gefährliche Anhänge zu erkennen. Hierzu können beispielsweise, wie bei OVH, Testkampagnen durchgeführt werden, die gefälschte E-Mails an Mitarbeiter verschicken, um deren Wachsamkeit zu prüfen. Alle, die unvorsichtig sind und die Anhänge öffnen, werden dann erneut zum Thema Sicherheit geschult. Außerdem gibt es noch eine weitere Methode, sich gegen Ransomware und insgesamt den Großteil aller Cyber-Angriffe zu schützen. Diese ist zwar recht einfach, aber dafür umso effektiver: regelmäßige Backups für sämtliche Daten!

Wir wussten, dass WannaCry sich über den Exploit ExternalBlue verbreitet, der eine Schwachstelle in der Software ausnutzt, die den TCP-Port 445 öffnet. Schon seit mehreren Jahren scannen wir aus Sicherheitsgründen den TCP-Port 445 unserer Border-Router, der für die Windows-Dateifreigabe über CIFS genutzt wird (2). Der TCP-Port 445 (SMB) ist schon länger als Schwachstelle für Malware bekannt, weswegen wir bei OVH beschlossen haben, dass er nur über das private Netzwerk zugänglich sein darf. Will ein Nutzer von außen auf den Port zugreifen, muss er dies über ein VPN („Virtual Private Network“) tun. Somit ist es nur mit einer IP-Adresse von OVH möglich, sich über den TCP-Port 445 mit einem bei OVH gehosteten Rechner zu verbinden (der Port-Scan wird nicht innerhalb des OVH Netzes durchgeführt, da die Dateifreigabe von Kunden auch für legale Zwecke verwendet werden kann). Dank dieser Maßnahme ist das OVH Netzwerk selbst vor Angriffen von außen (wie im Fall von WannaCry) sicher.

In der Nacht von Freitag auf Samstag wurden wir dennoch auf den Angriff aufmerksam, da unsere Honeypots wegen des plötzlichen Anstiegs der Scans von OVH IP-Adressen Alarm schlugen. Daraufhin haben wir sofort verschiedene Maßnahmen eingeleitet:

  • die Suche nach Patient Zero (dem ersten von WannaCry infizierten Computer, über den der Wurm ins Netz von OVH gelangen konnte),
  • Reverse Engineering der Ransomware, um ihre Funktionsweise vollständig zu verstehen,
  • Maßnahmen gegen die weitere Verbreitung von WannaCry auf andere gefährdete Rechner,
  • sowie die genaue Untersuchung der Rechner in unserem internen Netzwerk.

Wie funktioniert WannaCry und warum sind vor allem Unternehmen betroffen?

Die Hauptaufgabe des Reverse Engineering von WannaCry war herauszufinden, wie der Wurm sich verbreitet und auf welche Art er das Internet auf der Suche nach weiteren ungeschützten Rechnern durchforstet. Hierbei haben wir herausgefunden, dass WannaCry zwei verschiedene Scan-Methoden startet, die gleichzeitig nach Zielen suchen (Multithreading). Die erste Methode scannt das lokale Netzwerk, um weitere verbundene Geräte zu infizieren, wobei der Code der Ransomware nie mehr als 10 Angriffsversuche auf einmal startet, damit er nicht vom Angrifferkennungssystem (IDS) als Bedrohung erkannt wird. Diese Vorsichtsmaßnahme lässt auch darauf schließen, dass speziell interne Netzwerke von Unternehmen Ziel der Attacke sind.

Die zweite Methode scannt das Internet mithilfe valider IPv4-Adressen, die zufällig erstellt werden, indem die vier Oktetts der Adresse einzeln generiert und alle IPs, die mit 127 oder einem Oktett über 224 anfangen, ausgelassen werden. Wird eine ungesicherte IP gefunden, überprüft der Wurm interessanterweise auch die Sicherheit der anderen IPs des gleichen /24 Subnetzes, d.h. der 253 benachbarten IP-Adressen. Nach unseren Beobachtungen können die infizierten Rechner so ungefähr 30 IP-Adressen pro Sekunde scannen.

An einem VPS, der am 15. Mai 2017 infiziert wurde, konnten wir sehen, dass die Verschlüsselung der Daten den Prozessor stark beansprucht und zusätzlich Arbeitsspeicher verbraucht. Der Scan des Internets nach weiteren anfälligen Rechnern hingegen führt zu einem konstanten, aber eher geringen CPU-Verbrauch.

Ebenfalls interessant ist die Wartefrist für erneute Infizierungsversuche. Eine Methode der Sicherheitsexperten, um die Verbreitung dieser Art von Malware zu verlangsamen, ist selbst absichtlich die Verbindung auszulasten, um einen der Threads des Scanners zu stoppen, der auf die Antwort des jeweiligen Servers wartet. Statistisch gesehen ist es so möglich, alle Threads des Scans zu unterbrechen. Diese Methode wird auch als „Tarpit“ (dt. Teergrube) bezeichnet. Der Entwickler von WannaCry hat sich für diesen Fall die Mühe gemacht, eine Wartefrist über eine Stunde einzurichten, nach deren Ablauf erneut die Verbindung zum Server hergestellt werden soll. Und die Untersuchung des Codes hat noch zu einer weiteren Entdeckung geführt: ein betroffener Rechner ist ebenfalls mit der bekannten Backdoor DoublePulsar infiziert, die möglicherweise von der Equation Group verwendet wird, um ihre Malware auf Computer zu übertragen. Diese Backdoor wird scheinbar wiederverwendet, um einen Rechner zu einem späteren Zeitpunkt erneut mit dem Code von WannaCry zu infizieren.

Was sind nun die wichtigsten Punkte in der Funktionsweise von WannaCry? Zunächst einmal deuten mehrere Entscheidungen der Entwickler in den Algorithmen der Ransomware darauf hin, dass der Code gezielt Unternehmen angreift. Schließlich sind die Rechner in einem Unternehmen größtenteils gleich, was wiederum die Chancen erhöht, schnell ungesicherte Geräte in einem lokalen Netzwerk zu finden. Der Scan des gesamten Internets ist vergleichsweise wenig effizient. Daher wurden insgesamt weniger Server als Arbeitsplätze in Unternehmen infiziert. Trotzdem stellen Server ein gutes Ziel für die Verbreitung von Ransomware dar, da sie eine wesentlich höhere Bandbreite besitzen und das Internet bedeutend schneller auf gefährdete Rechner durchsuchen können.

Jeder ist sich selbst der Nächste…  

Oder mit anderen Worten: Bevor wir versuchen, die Welt vor WannaCry zu retten, müssen wir natürlich zuerst die Rechner unseres internen Systems überprüfen und sichergehen, dass sie nicht infiziert sind.

Selbstverständlich haben wir sehr strikte Regeln, was Sicherheitsupdates betrifft und etwaige Patches werden direkt nach ihrer Veröffentlichung installiert. Trotzdem ist niemand jemals komplett sicher. Insgesamt haben wir uns weniger Sorgen über die Server gemacht, aus denen unser internes Netzwerk besteht, denn von ihnen laufen nur wenige unter Windows, und diese werden strengstens überwacht. Wir befürchteten vielmehr, dass sich auf irgendeinem Rechner eine noch nicht vollständig deaktivierte VM befindet, die ursprünglich für einen Test installiert worden war. Da diese Server in der Regel keine wichtigen Daten enthalten, ist das eigentliche Problem nicht die Verschlüsselung durch Ransomware. Das wirkliche Problem ist die Backdoor DoublePulsar, die eine Angriffsstelle in unserem System installiert, sowie die große Kapazität des Servers, weitere Rechner im internen Netzwerk über den TCP-Port 445 zu infizieren. Und auch, wenn die Medien im Moment ohne Unterlass von WannaCry berichten, sollte man dennoch nicht vergessen, dass auch andere Malware diese Schwachstellen ausnutzen könnte.

Merkmale infizierter und gefährdeter Rechner

Nachdem wir intern keine infizierten Computer finden konnten, nutzten wir unser Netzwerk an Honeypots, um festzustellen, welche Servertypen von WannaCry infiziert werden können. Gefährdete Sever mit Windows-Betriebssystem waren demnach VPS, die direkt von OVH oder von Resellern vertrieben wurden, sowie Dedicated Server und VMs der Private Cloud mit Windows 2008 oder älter.

Version des Betriebssystems % Art des Betriebssystems %
Hyper-V Server 7601 Service Pack 1 1,2 Hyper-V Server 1,2
Windows 7 Enterprise 7601 Service Pack 1 0,3 Windows 7 3,5
Windows 7 Home Premium 7600 0,5
Windows 7 Professional 7601 Service Pack 1 0,7
Windows 7 Ultimate 7601 Service Pack 1 1,9
Windows 8.1 Pro 9600 0,3 Windows 8 0,3
Windows Server 2003 3790 Service Pack 1 0,3 Windows Server 2003 0,3
Windows Server 2008 R2 Datacenter 7600 0,5 Windows Server 2008 94,1
Windows Server 2008 R2 Datacenter 7601 Service Pack 1 4,3
Windows Server 2008 R2 Enterprise 7600 15,7
Windows Server 2008 R2 Enterprise 7600 Service Pack 1 0,3
Windows Server 2008 R2 Enterprise 7601 Service Pack 1 18,8
Windows Server 2008 R2 Standard 7600 6,8
Windows Server 2008 R2 Standard 7601 Service Pack 1 45,9
Windows Web Server 2008 R2 7600 0,3
Windows Web Server 2008 R2 7601 Service Pack 1 1,4
Windows Server 2012 R2 Standard 9600 0,5 Windows Server 2012 0,5

Verteilung der befallenen Betriebssysteme, die von unseren Honeypots aufgezeichnet wurden. Wenn infizierte Rechner sich auf der Suche nach anderen gefährdeten Computern mit einem Honeypot verbinden, zeigen sie dabei die Version ihres Betriebssystems an. Am häufigsten waren Computer mit Windows Server 2008 mit WannaCry infiziert

Deswegen haben wir uns unsere System-Images zur Vor- bzw. Reinstallation von Bertiriebssystemen noch einmal genauer angeschaut. Dabei ist uns aufgefallen, dass in einigen Images der Sicherheitspatch von Microsoft gar nicht enthalten war. Die Schwachstelle, die vom Exploit EternalBlue genutzt wird, war also noch nicht geschlossen worden. Die Images von OVH sind so eingestellt, dass sie jeden Tag die Updates von Microsoft automatisch durchführen. Allerdings ist der Port unter Windows Server 2008 schon beim Hochfahren des Betriebssystems öffentlich zugänglich. Daher kann der betroffene Server schon infiziert werden, bevor überhaupt ein neues Update installiert werden kann. Dieses Risiko mussten wir sofort beheben und konnten nicht auf die entsprechenden Systemabbildungen von Windows warten. Als wir an dieser Stelle auf der Webseite von Microsoft das nötige Update herunterladen wollten, fiel uns die ungewöhnliche kleine Bitrate auf. Wir waren eindeutig nicht die einzigen, die nach dem Patch suchten …

Die Windows-Templates am Samstag den 13. Mai zu aktualisierten, nahm sehr viel Zeit in Anspruch. Die Bitrate betrug weniger als 100 Byte pro Sekunde.

Die Tasks zum patchen der Windows-Images wurden in Echtzeit veröffentlicht (3) und wir beschlossen einen Bot zu entwickeln, der das Installieren von Sicherheitsupdates und -patchs von Windows in Zukunft automatisch übernehmen soll. Außerdem haben wir alle IP-Adressen, die versuchten unsere Honeypots zu infizieren, gesperrt und die jeweiligen Server direkt nach Benachrichtigung der betreffenden Kunden vom Netz genommen. Wir hatten auch darüber nachgedacht, vorrübergehend im kompletten Netz von OVH alle Verbindungen über den TCP-Port 445 zu unterbrechen, doch schien uns diese Lösung zu radikal. Schließlich hätte diese Maßnahme ausnahmslos alle Kunden betroffen, die die Windows-Dateifreigabe verwenden – darunter auch solche, die den Microsoft-Sicherheitspatch von vor zwei Monaten bereits installiert hatten. Deswegen haben wir nur die Dienste der Nutzer unterbrochen, deren Server auch tatsächlich infiziert waren, und ihnen eine entsprechende E-Mail geschickt:

„The IP address […] had to be blocked by our services due to the various alerts received. Please don’t hesitate to contact our technical support team so that this situation does not become critical. You can find the logs brought up by our system which lead to this alert.“;  „Your server is being used to conduct ransomware-spreading cyberattacks, we had to reboot it in rescue mode to stop the attack. If you have a Failover IP, we had to block it.“

Die gute Nachricht ist, dass keiner der infizierten Server weitere Rechner außerhalb des OVH Netzes anstecken konnte, da der Scan des TCP-Ports 445 den Wurm daran hinderte, die Antwort seines möglichen Opfers zu empfangen. (Es können keine SYN- und ACK-Pakete ausgetauscht werden, da diese schon am Außennetz abgefangen wurden. Die TCP-Verbindung kommt so gar nicht erst zustande.)

Funktionsweise des Scans des Border-Routers bei versuchter Infizierung eines Servers im OVH Netz

Auf der Suche nach „Patient Null“

Wie kam es nun zu den Scans von WannaCry am TCP-Port 445 von Rechnern, die bei OVH gehostet werden, wo wir doch den Port schon vor dem Backbone blockieren? Diese Frage haben wir uns auch gestellt. Unser erster Reflex war, die Scanregeln der Router zu überprüfen. Doch daran lag es nicht. Die Scans funktionierten einwandfrei. Also haben wir angefangen, alle zurückliegenden NetFlow-Events zu unserem DDoS-Schutz (VAC) zu überprüfen, um die IP zu finden, die WannaCry auf unser Netzwerk übertrug. Wir mussten hierfür einige Tage zurückgehen, um den Schuldigen zu finden. Oder vielmehr die Schuldigen, da es sich um mehrere infizierte Computer handelte, die sich über einen xDSL-Zugang von OVH mit dem Internet verbunden hatten. Insgesamt gab es mehrere IPs mit xDSL-Verbindung, die unabhängig voneinander über mehrere Stunden am Morgen des 12. Mai das Internet nach ungeschützten Rechnern durchsuchten. Wie die folgende Grafik zeigt, haben diese IP-Adressen zunächst VPS infiziert, und schließlich auch Dedicated Server. Natürlich hat eine xDSL-Verbindung eine wesentlich geringere Bandbreite als ein Dedicated Server. Das erklärt auch, warum die Anzahl der Scans durch infizierte Rechner regelrecht explodiert ist, nachdem der erste Dedicated Server infiziert worden war. Die Kettenreaktion kam erst jetzt so richtig in Schwung.

Die Grafik zeigt die Anzahl der IPs am TCP-Port 445 (blau) sowie der verschickten Datenpakete (grau). Kurz vor 12 Uhr am 12. Mai gibt es einen leichten Anstieg, was die ersten infizierten xDSL-Verbindungen darstellt. Zwischen 15 und 17 Uhr lösen dann die infizierten Dedicated Server eine regelrechte Kettenreaktion aus. Um 20 Uhr führt ein VPN-Dienst zum drastischen Anstieg der IPs, die das Netzwerk auf gefährdete Rechner durchsuchen, bevor er kurz darauf teilweise blockiert wird. Am nächsten Tag um 15 Uhr führt ein weiteres VPN trotz unserer Gegenmaßnahmen zu einer großen Zahl von neuen Scans. Am Samstag den 13. Mai war die Situation endlich unter Kontrolle und normalisierte sich bis um 5 Uhr früh am 14. Mai.

Daraufhin haben die VPNs es WannaCry theoretisch ermöglicht, unsere Scan-Regeln (und damit auch die Blockierung des TCP-Ports 445) zu umgehen, da sie einen gesicherten Tunnel zwischen OVH Rechner und Außennetz herstellen. Die Server mit VPN fingen nun an, einen sehr hohen Traffic zu generieren, da IP-Adressen mit VPN-Dienst in der Regel direkt über Shared Hosting miteinander verbunden sind. Unser DDoS-Schutz hat dies meistens als Bedrohung eingestuft und die entsprechenden Server vom Netz genommen („reboot in rescue mode“), da die voreingestellten Warnschwellwerte für den jeweiligen Netzwerkverkehr überschritten wurden.

So konnte die Verbreitung des Virus verlangsamt werden, obwohl die Scan-Regeln für unser Netz von VPNs teilweise umgangen wurden. Dadurch hatten wir mehr Zeit, die Maßnahmen zu entwickeln, die die Verbreitung von WannaCry am Nachmittag des 13. Mai schließlich aufhielten.

Der Killswitch: eine weitere List der Malware

Sie haben bestimmt von dem Sicherheitsexperten gehört, der eine bestimmte Domain eingerichtet hat, und so die Verbreitung von WannaCry stoppte.
Viele haben sich daraufhin gefragt, was dieser Notfallmechanismus, der sogenannte „Killswitch“, eigentlich ist. Und warum war er sogar im Code der Ransomware enthalten, wo er doch nur dazu da ist, sie aufzuhalten? Dieser „Notschalter“ ist in der Tat in zahlreichen Schadprogrammen enthalten, jedoch soll der Killswitch die Malware in Wirklichkeit gar nicht aufhalten. Er ist vielmehr ein Verteidigungsmechanismus, der die Analyse des Codes durch Sicherheitsexperten erschweren soll. Denn ist die Ransomware erst „gefangen“ (man spricht in diesem Zusammenhang auch von „Sample“), führen Experten den Code in einer geschützten, vom Netz isolierten Umgebung (Sandbox) aus, um über Reverse Engineering seine Funktionsweise zu ermitteln. Und genau dafür ist der Killswitch programmiert: Er verbindet sich mit dem jeweiligen Netzwerk und versucht dabei zu bestätigen, dass eine bestimmte Domain (die meist zufällig generiert wurde) nicht existiert. Ist die Ransomware bereits in einer Sandbox, wird diese automatisch ein positives Signal von der nicht-existierenden Domain versenden, da diese „gefälschte“  positive Antwort bei anderen Verbindungsversuchen notwendig ist, um das Sample analysieren zu können. Hat die Malware auf diese Weise erkannt, dass sie sich in einer Sandbox befindet und somit von verschiedenen Analyse-Tools untersucht wird, schaltet sie sich aus und verhindert so eine genauere Untersuchung ihrer Funktionsweise. Falls übrigens auf einem Arbeitsplatz die VMware Tools installiert sind (was bei den meisten virtuellen Maschinen der Fall ist), kann es sein, dass man Glück hat und einen die ein oder andere Malware von vorneherein in Ruhe lässt, da diese Tools recht häufig als Marker für eine Sandbox erkannt werden.

Der Killswitch von WannaCry hat nun keine zufällig generierte Domain zum Test verwendet. Stattdessen war von vorneherein eine nicht registrierte Domain festgelegt, wodurch die Verbreitung unterbrochen werden konnte, indem man einfach die entsprechende Domain anlegt. Allerdings ist die Gefahr damit nicht für immer gebannt, denn diese Domain könnte aus irgendeinem Grund wieder verschwinden. Außerdem können neue Varianten von WannaCry mit einem etwas anderen Killswitch auftauchen und erneut Rechner befallen – was übrigens bereits geschieht.

Ihr System ist infiziert? Zahlen Sie bloß nicht!

Wer die Erpresser bezahlt, unterstützt die kriminellen Netzwerke, und diese haben so mehr Geld, um noch effizientere Malware zu entwickeln. Auch wenn in einigen Fällen die Daten nach Eingang der Zahlung wiederhergestellt wurden, sollte man auf keinen Fall zahlen. Denn es gibt einfach keine Garantie. Viele nutzen erfolgreiche Ransomware, um selbst schnelles Geld zu machen. So haben bereits einige die Oberfläche von WannaCrypt0r gefälscht und bringen ihrerseits die Opfer dazu, zu zahlen, ohne dass deren Daten überhaupt verschlüsselt sind.

Am besten aktualisieren Sie Ihre Systeme auf die neueste Windowsversion und installieren die aktuellen Sicherheitspatchs von Microsoft, um WannaCry einzudämmen.
Und wenn Sie Glück haben, gibt es sogar bereits das ein oder andere Tool, um Ihre Daten wieder zu entschlüsseln. So sucht zum Beispiel das französische Tool WannaKiwi hierfür auf Ihrem Rechner nach dem Private Key. Kaspersky Lab hat sogar extra eine Plattform mit gleich mehreren Tools eingerichtet, die Ihnen beim Entfernen von Ransomware und dem Entschlüsseln Ihrer Daten helfen.

Sie können auch auf der nächsten Polizeidienststelle Anzeige erstatten und sich zum weiteren strafrechtlichen Vorgehen informieren. Und wir können es gar nicht oft genug wiederholen: Vergessen Sie auf keinen Fall die regelmäßigen Backups Ihrer Daten.

Außerdem sind seit diesem letzten Angriff nicht wenige Websites komplett außer Betrieb. Ist das bei Ihrer Website auch der Fall, raten wir Ihnen dringendst ausnahmslos alle Passwörter zu ändern! Denn dann waren alle Ihre Dateien im Internet frei zum Download verfügbar. Diese waren zwar vielleicht auch verschlüsselt, doch könnte sich dennoch irgendjemand einen Spaß daraus machen, ihre config.php-Datei zu entschlüsseln, um so Zugang zu Ihrer Datenbank zu erhalten. Ändern Sie ihre Passwörter also am besten sofort!

Die Gefahr ist noch nicht gebannt

„Kenne deinen Feind und kenne dich selbst, und in hundert Schlachten wirst Du nie in Gefahr geraten.“  Sun Tzu, Die Kunst des Krieges

Wenn die Medien nach dem anfänglichen Hype um WannaCry sich schließlich von der Geschichte abwenden, heißt das natürlich nicht, dass keine Gefahr mehr besteht. Die vorherige Grafik zeigt bereits für die letzten Tage einen erneuten Anstieg an Infizierungsversuchen, nachdem neue Varianten von WannaCry schon nach kürzester Zeit nach ungeschützten Rechnern suchten. Außerdem ist WannaCry auch nicht die erste Malware, die den bekannten Windows-Exploit nutzen. Schon lange vorher hat der Mining-Trojaner Adylkuzz die gleichen Schwachstellen ausgenutzt, um im Hintergrund des befallenen Rechners die Kryptowährung Monero zu schürfen. Im Moment sind zahlreiche Malware-Programme unterwegs, die den Exploit EternalBlue oder einen aus der gleichen Familie nutzen: EternalSynergy, EternalChampion und EternalRomance. Auch ist durchaus wahrscheinlich, dass in nächster Zeit ein Botnetz vergleichbar mit MIRAI aus dem letzten Jahr ebenfalls dieselbe Schwachstelle verwenden wird, um umfangreiche DDoS-Angriffe zu starten.

Uns bleibt nur zu sagen:
Nutzen Sie die aktuelle Medienpräsenz als Weckruf, um alle Mitarbeiter Ihres Unternehmens auf das Thema IT-Sicherheit aufmerksam zu machen.

Beispiel eines von Adylkuzz infizierten VPS ab circa 20 Uhr: Das Mining von Monero braucht viel CPU und eine große Bandbreite, wobei das Stoppen von Samba Speicher frei macht.

Bei alldem sollten Sie nicht vergessen, dass mit WannaCry auch die Backdoor DoublePulsar auf Ihrem Rechner installiert wurde und dieser somit auch nach der Installation des Sicherheitspatchs MS17-010 immer noch gefährdet ist. Um zu sehen, ob DoublePulsar auch auf Ihrem Computer installiert ist, gibt es bereits zahlreiche Werkzeuge, wie zum Beispiel das neue Tool vom Entwickler des berühmten Portscanners Nmap.

Wir bei OVH sind uns darüber im Klaren, dass Bedrohungen dieser Art nicht in den nächsten Tagen verschwinden werden. Im Internet wird es immer anfällige Rechner geben, wie man auch am Fall der DDoS-Angriffe auf NTP-Server im Jahr 2013 sehen kann. Eigentlich ist diese Schwachstelle längst gepatcht, doch wird sie noch heute erfolgreich für Cyber-Attacken genutzt.

Wenn Sie also damit fertig sind, alle Ihre Computer zu aktualisieren und auch noch das letzte Sicherheitsupdate installiert ist, hatte die ganze Geschichte im Endeffekt doch auch ihr Gutes. Der Medienhype um WannaCry hat vielen die Augen geöffnet und ihnen gezeigt, dass es unbedingt notwendig ist, in Zukunft mehr in IT-Sicherheit zu investieren. Denn das wahre Kapital eines Unternehmens sind nicht nur sein Anlagevermögen, seine Human Ressources oder gar sein Ruf. Auch seine Daten und dementsprechend sein komplettes IT-System gehören mit zum wertvollsten Besitz. Ihre Kollegen und die Mitglieder Ihres Vorstands haben gerade alle Augen auf Sie und die IT-Sicherheit gerichtet? Nutzen Sie ihre Aufmerksamkeit so lange sie anhält, um sich für den nächsten Angriff zu rüsten.

Anmerkungen:

(1) Microsoft veröffentlicht ein Sicherheitsupdate für Windows XP

(2) Octave Klaba, Gründer und CEO von OVH, hat bereits am 17. Juni 2016 an die Blockierung des TCP-Ports 445 über die Mailingliste sd-pro@ml.ovh.net erinnert. In der E-Mail erklärte er, dass dieser von OVH schon seit 11 Jahren blockiert wird und es auch immer sein wird. Auf gewisse Weise behebt der Sicherheitspatch von Microsoft die Schwachstelle auf die gleiche Art, da er dafür sorgt, dass der Port zur Dateifreigabe innerhalb eines lokalen Netzwerks nicht mehr frei zugänglich ist.

(3) Die veröffentlichten Tasks:
http://travaux.ovh.net/?do=details&id=24741
http://travaux.ovh.net/?do=details&id=24738
http://travaux.ovh.net/?do=details&id=24740
http://travaux.ovh.net/?do=details&id=24742
http://travaux.ovh.net/?do=details&id=24743