zurück zur Übersicht

Boys don’t WannaCry

Boys Don't WannaCry

Den Admins der Unternehmen, die von dem Ausbruch der Ransomware WannaCry betroffen waren, steckt das Wochenende noch in den Knochen. Doch langsam beginnt sich der Staub zu legen, denn die Infektionszahlen sind stark rückläufig, vor allem weil durch die zufällige Entdeckung eines Abschaltmechanismus im Code der Malware die weitere Ausbreitung stark eingedämmt wurde.

Zeit also für eine kurze Zusammenfassung, wie der Schädlinge  WannaCry zeitnah erkannt werden kann, um Gegenmaßnahmen einleiten zu können, bevor größerer Schaden entsteht. Hieraus können dann auch Erkennungsmethoden für ähnliche Bedrohungen abgeleitet werden. Diese könnten schneller benötigt werden als uns allen lieb ist, denn die Hackergruppe Shadowbrokers hat sich erneut zu Wort gemeldet und für Juni die Veröffentlichung weiterer NSA-Exploits angekündigt. Einer der im April veröffentlichen Exploits wurde auch durch WannaCry verwendet und verlieh der Schadsoftware ihr enormes Ausbreitungspotential. Es ist also anzunehmen, dass eine neue Welle digitaler Schädlinge, die die Daten ihrer Opfer in Geiselhaft nehmen, nicht lange auf sich warten lässt.

 Erkennung ist ein Must-have wenn Prävention fehl schlägt

Keine Frage, der größte Schaden ist durch WannaCry entstanden, weil Systeme nicht zeitnah mit einem längst verfügbaren Patch versorgt wurden und viele signaturbasierte Virenschutzsysteme die Bedrohung erst nach Aktualisierung ihrer Signaturen erkennen konnten. Das wussten die Angreifer und haben es geschickt ausgenutzt. Doch was, wenn die nächste Evolutionsstufe einen wirklichen Zero Day Exploit benutzt, also eine Schwachstelle ausnutzt, für die kein Patch existiert? In diesem Fall wäre die Wirksamkeit von Präventivmaßnahmen sehr begrenzt und schnell sind entsprechende Erkennungsmethoden gefragt, um den Schädling aufzuspüren und gezielte Gegenmaßnahmen zu ergreifen. Ein SIEM System versetzt einen in die Lage, die dafür notwendigen Informationen zentral zu sammeln und automatisiert auszuwerten.

Eine umfassende Zusammenfassung über WannaCry hat LogRhythm, einer der führenden Hersteller von SIEM Systemen, auf seinem Blog veröffentlicht.

Verdächtige System-Events erkennen

Unterstützt werden kann die Informationsgewinnung durch das Tool Sysmon aus der Sysinternals Suite. Sysmon ist ein Systemdienst für Microsoft Windows Systeme, der detaillierte Informationen über die Erzeugung neuer Prozesse, Netzwerkkommunikation eines Systems und Veränderung an Zeitstempeln von Dateien bereitstellt. Werden diese Informationen mittels Windows Event Collection gesammelt und durch ein SIEM-System ausgewertet, lassen sich schnell Anomalien erkennen, wie sie typischerweise durch Malware und Angreifer verursacht werden.

Besonders relevant für die Erkennung von WannaCry sind die Events „Process Creation“ und „A process changed a file creation time“. In den von Sysmon erzeugten Logs kann dann nach Malware-Artifakten gesucht werden. Im wesentlichen handelt es sich um entsprechende Kommandos und Prozesse, die verwendet werden, bevor die Malware mit der Verschlüsselung beginnt. Eine ausführliche Beschreibung der Umsetzung der Korrelationsregeln in LogRhythm findet sich hier.

 Verdächtige Netzwerkkommunikation erkennen

Im Fall von WannaCry ist jedoch nicht nur die Erkennung auf dem befallenen System selbst wichtig, sondern wie bei jeder wurmartigen Schadsoftware muss auch die selbstständige Verbreitung über das Netzwerk detektiert werden, um eine großflächige Ausbreitung zu verhindern. Der notwendige Einblick in die Kommunikation lässt sich mit Network Monitoring Tools wie beispielsweise Netmon erreichen. Diese dienen zur Analyse von Netzwerkmetadaten, als auch von Nutzdaten, wenn diese mitgeschnitten werden. WannaCry hat für seine Verbreitung eine Lücke im SMB-Protokoll, Version 1 benutzt, bei der durch Verwendung eines speziellen Kommandos ein Pufferüberlauf provoziert wird. Als Indikatoren zum Aufspüren der Schadsoftware können folgende Informationen genutzt werden:

  • SMB Protokoll Version 1 (SMBv1)
  • SMB Kommando-String „transaction2_secondary“
  • IP-Adressen  192.168.56.20  und 172.16.99.5

Kommen in einer Netzwerkkommunikation alle 3 Indikatoren vor, handelt es sich bei dem Quell-System mit hoher Wahrscheinlichkeit um ein System, das mit WannaCry befallen ist und gerade versucht das Ziel-System ebenfalls zu infizieren. Ein Blogbeitrag, der die Nutzung von Netmon in diesem Szenario im Detail beschreibt, findet sich hier.

 

1 Kommentar

  • von Helbring Schueltz am 27.05.2017, 10:45 Uhr

    Wertvoll und interessant

Schreibe einen Kommentar