Ransomware analysiert: Was steckt unter der Haube von WannaCry und wer ist schuld?

WannaCry – die Ransomware erklärt
Kommentare

Seit voriger Woche macht die Ransomware WannaCry das Internet unsicher. Unser Sicherheitsexperte Carsten Eilers analysiert und erklärt die sicherheitskritische Heulboje.

Der Name WannaCry ist Programm! Denn eigentlich ist das alles zum Heulen: Die von der Ransomware ausgenutzten Schwachstellen wurden bereits vor zwei Monaten gepatcht. Opfer von WnnaCry wurden deshalb nur ungepatche oder veraltete Systeme. Doch leider gibt es davon allem Anschein nach noch sehr viele. Zur Verbreitung nutzt WannaCry einige Schwachstellen in SMBv1 aus, die Microsoft am März-Patchday behoben hat. Das zugehörige Security-Bulletin ist MS17-010.

Ransomware greift erfolgreich an – trotz vorhandener Patches

Die ausgenutzten Schwachstellen haben eine ziemlich interessante Geschichte: Sie wurden von der NSA entdeckt, aber geheim gehalten, statt sie an Microsoft zu melden. Das Ziel: sie für eigene Angriffe ausnutzen – was man wohl auch getan hat. Irgendwann fiel der Exploit, genannt „ETERNALBLUE“, zusammen mit dem zugehörigen Toolkit FuzzBunch den Shadow Brokers in die Hände. Die Hackergruppe hat zunächst versucht, den Exploit zu verkaufen. Nachdem das fehl schlug, veröffentlichten sie die Tools Anfang April.

Dass Microsoft die Schwachstellen gerade noch rechtzeitig patchen konnte, hat (mindestens) zwei Hintergründe: Als die Veröffentlichung drohte, bekam die NSA kalte Füße und informierte Microsoft. Oder Microsoft hat die Exploits von den Shadow Brokers gekauft und dieses „Geschäft“ nicht an die große Glocke gehängt. Jedenfalls ist es auffällig, dass die Exploits ziemlich genau einen Monat nach den Patches veröffentlicht wurden. Bis zur Veröffentlichung der Patches handelte es sich jedenfalls um aktiv genutzte 0-Day-Exploits! Aktiv ausgenutzt von einem Geheimdienst!

Der veröffentlichte Exploit wurde inzwischen zigfach geforked, eine entschärfte Version gibt es z.B. als Modul für Metasploit.

WannaCry: viele veraltete Windows-Systeme betroffen

Microsoft hat zwar am März-Patchday einen Patch veröffentlicht, aber nur für die aktuell unterstützten Systeme. Für das seit 2014 nicht mehr unterstützte, aber auch von der Schwachstelle betroffene Windows XP (und einige andere Versionen) gab es natürlich keinen Patch. Außer, man hat extra dafür bezahlt.

Doch anscheinend ist Windows XP noch bei sehr viel mehr Unternehmen und Institutionen im Einsatz gewesen, als man zunächst glauben würde – und zwar im Einsatz ohne für weiteren Supoort seitens Microsofts zu zahlen. Solche Systeme waren natürlich ein gefundenes Fressen für WannaCry. Da kann ich nur sagen: selbst Schuld! Seit wann warnt Microsoft davor, dass XP ersetzt werden sollte? 2012? 2013? Wer es nach dem Auslaufen des allgemeinen Supports 2014 weiter einsetzt, ohne für eine Supportverlängerung und damit die Versorgung mit Patches zu zahlen, hat sich den nun eingetretenen Schaden selbst zuzuschreiben. Und darüber hinaus sollten sich die Betroffenen fragen, wie viele bisher unbemerkte Schädlinge sich noch zusätzlich auf ihren Systemen tummeln.

Microsoft hat inzwischen auf die Gefahr reagiert und auch für die eigentlich nicht mehr unterstützten Systeme Updates veröffentlicht:

  • Windows Server 2003 SP2 x64
  • Windows Server 2003 SP2 x86
  • Windows XP SP2 x64
  • Windows XP SP3 x86
  • Windows XP Embedded SP3 x86
  • Windows 8 x86
  • Windows 8 x64

Ein überaus netter Zug von Microsoft, verpflichtet war man in Redmond dazu nicht. Schließlich hatten die Opfer mehr als genug Zeit, auf aktuelle Systeme zu wechseln. Denn man kann die Konsequenzen dieses Ad-hoc-Supports auch negativ sehen: Manch ein Unternehmen mag denken, dass „Microsoft im Notfall ja doch einen Patch veröffentlicht“ und deshalb weiter auf bezahlten Support verzichtet. Apropos aktuelle Systeme: Die sind nicht nur schon längst gepatcht, Windows 10 wird nicht mal angegriffen.

Schutz ist einfach!

Dabei ist der Schutz vor den Angriffen denkbar einfach:

  • Systeme, auf denen die Updates zu MS17-010. installiert sind, sind nicht angreifbar.
  • Die Virenscanner erkennen die bekannten Angriffe inzwischen, was anfangs aber nicht der Fall war. Wie kaum anders zu erwarten: Wer sich auf seinen Virenscanner verlässt, ist im Ernstfall verlassen.
  • Microsoft empfiehlt als Defense-in-Depth, SMBv1 an den Netzwerkgrenzen zu blockieren, ebenso andere veraltete Protokolle.
  • Ich würde hier einen Schritt weiter gehen und alle nicht benötigten Protokolle blockieren. Was nicht nach außen offen ist, kann auch nicht von außen angegriffen werden. Egal ob veraltet oder nicht.

Die Ransomware analysiert – alles Standard!

Der Exploit verschafft WannaCry aus der Ferne SYSTEM-Rechte auf den angegriffenen Systemen. Die nutzt der Schädling dann, um insgesamt 166 Dateiformate (u.a. die von MS Office, Datenbanken, Archiven, Multimedia-Dateien und verschiedene Programmiersprachen, siehe hier) zu verschlüsseln und diese erst nach Zahlung eines Lösegelds wieder freizugeben. Zusätzlich werden die von Windows Volume Shadow angelegten Backups und Kopien gelöscht, so dass eine Wiederherstellung erschwert wird. Außerdem verbreitet der Wurm sich natürlich auch selbst aktiv im LAN und im Internet weiter. Aber das versteht sich ja von selbst, sonst wäre es ja kein Wurm.

Der beste Schutz vor den Folgen eines Ransomware-Angriffs sind aktuelle Backups. Wer sich dabei nur auf Microsofts eingebauten Schutz verlassen hat, guckt nun in die Röhre. Aber das ist nicht weiter verwunderlich, denn das sind ja keine richtigen Backups. Die wäre auch z.B. bei einem Festplattencrash völlig nutzlos, da sie sich auf der kaputten Platte befänden.

Eine Entschlüsselung dürfte kaum möglich sein. Verschlüsselt wird nämlich mit RSA und AES. Zuerst wird ein 2048-Bit-RSA-Schlüssel erzeugt, dessen privater Schlüssel mit einem im Schadcode enthaltenen öffentlichen Schlüssel verschlüsselt wird. Danach wird der private Schlüssel gelöscht, die damit verschlüsselten Dateien lassen sich also nur entschlüsseln, wenn der Cyberkriminelle den privaten RSA-Schlüssel mit seinem privaten Schlüssel entschlüsselt.

Jede Datei wird dann mit einem neuen, zufälligen AES-Schlüssel verschlüsselt, der dann mit dem öffentlichen RSA-Schlüssel verschlüsselt wird. Ohne den privaten Schlüssel des Cyberkriminellen kommt mal also nicht mehr an die Daten heran.

Der Killswitch (der keiner ist)

WannaCry prüft das Vorhandensein der Domain www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, und wenn es sie findet, stellt der Wurm sein Arbeit ein.

Inzwischen haben Sicherheitsforscher diese Domain registriert und damit zumindest der WannaCry-Version, die diesen „Killswitch“ verwendet, das Leben schwerer gemacht. Mehr aber auch nicht, denn der „Killswitch“ funktioniert nur, wenn die Domain direkt und nicht über einen Proxy erreichbar ist. Denn eigentlich handelt es sich gar nicht um einen „Killswitch“, sondern nur um einen einfachen Test, ob jemand versucht, den Wurm zu analysieren.

Mal abgesehen davon, dass die Cyberkriminellen problemlos einen Wurm ohne diesen „Killswitch“ auf die Reise schicken können, funktioniert der „Schutz“ ausgerechnet dort nicht, wo er besonders wichtig wäre: in Unternehmensnetzen. Denn die sind meist über einen Proxy mit dem Internet verbunden.

In der Tat gibt es bereits eine gepatchte Version ohne „Killswitch“ und eine mit einer anderen Domain. Weitere Varianten dürften folgen. Es lohnt sich also nicht, dafür zu sorgen, dass die Domain ggf. lokal aufgelöst werden kann.

Viele unnötige Opfer

Die Ransomware ist weltweit aktiv. Unter den Opfern befanden sich zu Beginn der Attacke extrem viele Rechner in Russland, Krankenhäuser und Arztpraxen in Großbritannien, der spanische Telefonanbieter Telefonica, der französische Autokonzern Renault und ein Werk des japanische Autokonzerns Nissan in Großbritannien, die Rechner im Computer-Arbeitsraum einer italienischen Universität, Anzeigetafeln der Deutschen Bahn und der Frankfurter S-Bahn sowie in Geschäften, ca. 30.000 Institutionen und Unternehmen in China, usw. usf. Wo genau WannaCrypt aktiv ist, zeigt dieser Tracker.

Dass Schadsoftware weltweit aktiv ist, ist nichts Neues. Erinnern Sie sich noch an Conficker, der sich Ende November 2008 aufmachte, das Internet zu erobern?

Genau wie WannaCry ist Conficker ein Wurm, und genau wie WannaCry verbreitete er sich über eine zuvor von Microsoft behobene Schwachstelle im rasenden Tempo über die gesamte Welt. Und Conficker war dabei sogar erfolgreicher als WannaCry. Nur dass Conficker damals keine Schadfunktion außer der eigenen Verbreitung (und der Möglichkeit des Nachladens von weiterem Code) enthielt und dadurch weniger auffällig war.

Das gleiche gilt sinngemäß für Slammer aus dem Jahr 2003. Es kann also keiner sagen, mit so was konnte ja keiner rechnen!

Wie soft im Sicherheitsbereich gilt also: Eine Attacke wie die von WannaCry hätter verhindert werden können, wenn man aus den vorherigen Angriffen gelernt hätte. Mit aktuellen Systemen, wäre nichts passiert!

Das hat sich irgendwie nicht gelohnt…

Bisher haben die Cyberkriminellen mit ihrem Massenangriff ziemlich wenig Geld eingenommen: Obwohl hunderttausende Rechner in Geiselhaft genommen wurden, gingen auf den verwendeten Bitcoin-Konten weniger als 30.000 US-Dollar ein (KrebsOnSecurityFSecure). Dafür, dass Ransomware sonst eigentlich ein boomendes Geschäft sein soll, ist das ziemlich mager. Gut so, denn das letzte, was man tun sollte, ist Lösegeld bezahlen. Das ermutigt die Cyberkriminellen nur zu weiteren Angriffen.

Die Exploit-Berge der Geheimdienste etc. müssen weg!

Geheimdienste und ähnliche Institutionen horten Schwachstellen, um sie für eigene Angriffe nutzen zu können, statt sie an die betreffenden Entwickler zu melden, damit sie behoben werden können. Was auch Microsoft nicht gefällt.

In der Tat muss diese Praxis aufhören. Mit welchem Recht halten Dienste, die eigentlich die Bewahrung der Sicherheit ihrer Bürger zur Aufgabe haben (oder in manchen Fällen auch nur der ihrer Regierungen), Schwachstellen geheim, die dann gegen die Bürger genutzt werden können? Nur, weil z.B. die NSA eine Schwachstelle entdeckt und geheim hält, bedeutet dass ja nicht, dass nicht auch ein anderer Geheimdienst oder Cyberkriminelle die gleiche Schwachstelle entdecken und ausnutzen. Oder, wie in diesem Fall, ein Geheimdienst-Exploit „entfleucht“ und dann von Cyberkriminellen genutzt wird. Dem muss unbedingt ein Ende gesetzt werden!

Trotzdem ist in erster Linie Microsoft für die Schwachstelle verantwortlich. Denn dessen Entwickler haben den betroffenen Code programmiert – und die Schwachstelle lange Jahre nicht gefunden. Wenn man bedenkt, dass zwischen Windows XP und Windows Vista der SDL implementiert wurde und Vista deutlich weniger Schwachstellen hat als XP, finde ich das besonders bedenklich. In all den Jahren ist denen der Fehler nie aufgefallen? Ist das irgendein uralter Coderest, der beständig seit XP-Tagen immer wieder ins neue System übernommen wurde, ohne ihn je anzugucken oder zu ändern? Okay, das war eine rhetorische Frage, denn wahrscheinlich ist es genau so gewesen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -