Die WannaCrypt-Malware liefert immer noch reichlich Stoff. Es gibt zwischenzeitlich Analysen, warum sich der Trojaner nicht unter Windows 10 verbreitete. Programmierfehler machen ein Wiederherstellen der Daten wahrscheinlich und Sicherheitsforscher haben den NSA-Exploit für Windows 10 portiert.
Windows XP, nix für WannaCry
Beim Bekannt werden der WannaCry-Infektionen lag ja der Verdacht nahe, dass ungepatchte Windows XP-Systeme zur Verbreitung beitrugen. Das hat sich aber nicht als wahr herausgestellt, wie ich im Blog-Beitrag WannaCry: Meist ungepatchte Windows 7 Systeme befallen berichtete.
Dies war übrigens zwei glücklichen Umständen zu verdanken. Einmal enthielt die Malware wohl eine Reihe Programmierfehler, so dass sie unter Windows XP nicht richtig funktionierte. Zudem war der von der NSA entwickelte Exploit zu unstabil für den praktischen Einsatz. Es kam häufig zu BlueScreens und Abstürzen. Die Redaktion von heise.de hat den Sachverhalt im Beitrag Bluescreen als Retter: Windows XP zu instabil für WannaCry näher beleuchtet.
EternalBlue Exploit für Windows 10 portiert
In Webartikeln wurde immer wieder hervorgehoben, dass Windows 10 sicher vor WannaCry sei. Sicherheitsforscher (sogenannte ‘white hacker’) des Sicherheitsunternehmens RiskSense haben sich die Arbeit gemacht, den NSA-Exploit EternalBlue so zu modifizieren, dass er unter Windows 10 anwendbar ist.
Das erzeugte Metasploit-Modul weist diverse Verbesserungen wie reduzierter Netzwerkverkehr auf und verzichtet auf die DoublePulsar-Backdoor. Die Hacker von RiskSense wollten mit dieser Backdoor die Sicherheitsforscher nicht unnötig ablenken. Die Sicherheitsleute von RiskSense konnten zeigen, dass es keine DoublePulsar-Backdoor bedurfte, um eine zusätzliche ‘Payload’ aus dem Internet herunter zu laden und zu injizieren.
Um realen Hackern keine Hinweise zu liefern, haben die Sicherheitsforscher keine Details ihres Exploits veröffentlicht. Aber sie musste das Data Execution Prevention (DEP) und das Address Space Layout Randomization (ASLR) in Windows 10 umgehen, und eine neue Asynchronous Procedure Call (APC) Payload im System installieren. Diese ermöglicht es, im User-Mode Payloads ohne Verwendung einer Backdoor auszuführen.
Die Forscher haben den Angriff auf Windows 10 V1511 abgestimmt. Die gute Nachricht: Windows 10 mit installiertem Sicherheits-Update MS17-010 ist vor dem Angriff geschützt. Der Bericht von RiskSense lässt sich hier als PDF-Dokument herunterladen. (via)
Der EternalBlue-Exploit ist übrigens in der Zwischenzeit so etwas wie ein Standard unter den Ransomware-Entwicklern geworden, und findet auch in anderer Malware Anwendung, wie man in diesem Bleeping Computer-Artikel nachlesen kann. Zudem gibt es ja von der NSA noch ein ganzes Arsenal an Tools, welches teilweise bekannt ist. Hier berichtet heise.de beispielsweise über ein von WikiLeaks veröffentlichtes CIA-Tool „Pandemic“. Dieses wurde entwickelt, um bei gezielten Angriffen Schadcode in Firmennetzwerken über Windows-Fileserver zu verteilen.
Fehler in WannaCry hilft bei der Dateiwiederherstellung
Ich hatte ja im Artikel WannaCry: Verschlüsselte Daten per Recovery retten? bereits darauf hingewiesen, dass man mit Datenrettungstools mit etwas Glück einen Teil der von WannaCry verschlüsselten Dateien restaurieren kann.
Nun haben sich Sicherheitsspezialisten die Funktionsweise von WannaCry genauer angesehen. Im Beitrag Fehler in WannaCry ermöglichen Wiederherstellung der Dateien nach Infektion beleuchten Sie, welche Fehler den Ransomware-Entwicklern unterlaufen sind und was das für die Datenwiederherstellung bedeutet.
Ähnliche Artikel:
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Neue Versionen und mehr Neuigkeiten
WannaCry: Die Lage am Montag
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCry: Hinweise auf Lazarus-Gruppe
WannaCry: Verschlüsselte Daten per Recovery retten?
WannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor