Momentan verbreitet sich ja eine neue Variante der Ransomware Petya (NotPetya, PetyaWrap) in Firmennetzen (siehe Achtung: Petya Ransomware befällt weltweit Systeme). Erste Analysen deuten an, dass die Ransomware auch Zugangsdaten stielt und sich nicht nur über die SMBv1-Lücke verbreitet. Zudem gibt es die Hoffnung, dass ein Killswitch gefunden wurde. Ergänzung: Der Beitrag wurde um weitere Details aktualisiert.
Anzeige
Ergänzung: Talos-Analyse der 'Nyetya' Malware
Die Sicherheitsspezialisten von Talos (Cisco) bezeichnen die neue Ransomware als Nyetya (for Not Petya) und haben hier eine erste Analyse veröffentlicht.
- Die Vermutung, dass die Malware per E-Mail-Anhang verbreitet wurde, konnte bisher nicht bestätigt werden.
- Talos vermutet, dass die Infektion über ein kompromittiertes Update-System der ukrainischen Steuersoftware MeDoc (Tax System) erfolgte.
Da der Großteil der Infektionen (60%) in der Ukraine erfolgte, könnte das zutreffen. Kaspersky hat inzwischen dieses Diagramm veröffentlicht.
(Quelle: Kaspersky/BleepingComputer)
In diesem Tweet gibt GossiTheDog an, dass ein vergessenes digitales Zertifikat für das kompromittierte Update-System verantwortlich sein könnte.
Anzeige
The payload appears to specifically reference the update process and uses a forged digital signature. It may be unconnected of course still. https://t.co/o7pFzuNQXx
— Kevin Beaumont (@GossiTheDog) 27. Juni 2017
Bei Bleeping-Computer geht dieser Artikel auf das Thema ein, wobei die M.E.Doc-Betreiber angeben, Opfer einer Virus-Attacke geworden zu sein, aber später verneinen, dass von dort die Petya (auch als PetyaWrap oder NonPetya bezeichnete) Malware verbreitet wurde.
Ergänzung: Beachtet meinen Nachtrag am Artikelende zu Microsofts Antivirussoftware. Dort ist die Infektion durch den Updater bestätigt.
Verbreitung per PsExec und WMIC
Über den initialen Infektionsvektor ist mir noch nichts bekannt. Vermutlich wird oder wurde die Malware über Spam-Mails oder infizierte Webseiten ausgeliefert. Ist ein Rechner einmal infiziert, wird eine Kopie von PsExec (aus den Sysinternals Tools) wohl in dllhost.dat umbenannt auf dem Rechner im Windows Verzeichnis abgelegt. Dann versucht die Malware über WMIC-Aufrufe und weitere Ansätze eine Verbreitung im Netzwerk.
Just patching with EternalBlue (MS17-010) doesn't appear to save you – other techniques for lateral movement in play here it looks like.
— Dave Kennedy (ReL1K) (@HackingDave) 27. Juni 2017
In obigem Tweet führt Dave Kennedy aus, dass das Patchen der ETHERNALBLUE-Lücke (MS17-010) eine Verbreitung im Netzwerk nicht unterbindet. Ergänzung: Bei Talos finden sich in diesem Blog-Beitrag konkrete Angaben, wie PsExec und WMIC genutzt werden. Der PsExec-Aufruf sieht folgendermaßen aus:
C:\WINDOWS\dllhost.dat \\w.x.y.z -accepteula -s -d C:\Windows\System32\rundll32.exe C:\Windows\perfc.dat,#1
Dort findet sich die Info über die perfc, die nachfolgend als Killswitch referenziert wird. Dann erfolgt ein WMIC-Aufruf mit dem Benutzernamen und dem Anmeldekennwort:
Wbem\wmic.exe /node:"w.x.y.z" /user:"username" /password:"password" "process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\perfc.dat\" #1"
Dies gibt einen Hinweis, dass die Malware an Anmeldedaten herankommt – wie genau, wird von Talos noch untersucht.
Credential Stealer integriert
In diesem Tweet deutet jemand an, dass bei der Verbreitung auch Anmeldedaten im Netzwerk verwendet würden. Das wird in diesem Tweet nochmals angedeutet:
Not sure on technique yet here, but crews being used for authentication to systems not just loggedin_user https://t.co/fEumwgs4Ho
— Dave Kennedy (ReL1K) (@HackingDave) 27. Juni 2017
Es werden offenbar im System gespeicherte Anmeldedaten (Credentials) verwendet, um sich gegenüber dem System und dem Netzwerk zu authentifizieren.
In diesem arstechnica-Beitrag werden Sicherheitsforscher zitiert, die eine zweite Funktion des Trojaners gefunden haben wollen. Diese Funktion versucht auf den befallenen Systemen Benutzernamen und Kennwörter zu extrahieren und sendet diese an Server, die unter Kontrolle des Angreifers stehen. Während die infizierte Maschine danach tot ist, haben die Angreifer die Anmeldeinformationen und können ggf. weitere Maschinen über diese Anmeldedaten angreifen. Scheint sich zu einer sehr unerfreulichen Geschichte zu entwickeln.
Killswitch angeblich gefunden?
Auf Twitter gibt Amid Serper in diesem Tweet an, dass er ein Gegenmittel gefunden habe:
98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetya won't run! SHARE!! https://t.co/0l14uwb0p9
— Amit Serper (@0xAmit) 27. Juni 2017
Man soll also im Windows-Ordner eine Datei perfc (ohne Erweiterung) anlegen, um die Verbreitung der Ransomware zu stoppen. Dazu kann man eine beliebige Datei – aber mit Inhalt – in den Windows-Ordner kopieren und dieser Datei dann das Attribut Read-only zuweisen. Könnte aber ein Fake sein – obwohl Es gibt hier eine zweite Quelle, die das bestätigt. Offenbar wird die Verschlüsselungsroutine nicht aktiv, was aber kein wirklicher Killswitch ist, da sich die Ransomware weiter verbreitet. Bei MalwareBytes schreibt man, dass dieser Ansatz nur die Verbreitung auf dem eigenen Rechner unterbindet. Ergänzung: Zwischenzeitlich findet sich bei Bleeping Computer diese Anleitung zum Anlegen der Datei (danke an Julia für den Link).
Nachtrag: Microsofts Virensoftware erkennt PetyaWrap
In diesem Blog-Beitrag geht Microsoft auf das Thema ein. Dort schreibt Microsoft, dass man den Schädling analysiert. Gleichzeitig findet sich die Bestätigung, dass die Virensignaturen für die Microsoft Sicherheitsprodukte (z.B. Defender und MSE) aktualisiert wurden (1.247.197.0) und den Schädling erkennen.
Im Blog-Beitrag schreibt Microsoft übrigens, dass man über Telemetriedaten festgestellt habe, dass die ukrainische Steuersoftware M.E.Doc initial für einige Infektionen verantwortlich war. Der Prozess EzVit.exe, zuständig für Updates der Software, war wohl kompromittiert.
Im Microsoft-Beitrag werden die weiter oben und im Artikel Achtung: Petya Ransomware befällt weltweit Systeme erwähnten Mechanismen zur Verbreitung weitgehend bestätigt. Die Malware verwendet existierende Sessions oder gefundene Anmeldedaten zur Verbreitung im Netzwerk, greift auf Netzwerkfreigaben zu und verwendet auch Sicherheitslücken in SMBv1. Microsoft legt weitere Details offen, zeigt wie die Infektion im Windows Defender Advanced Threat Protection behandelt werden kann und gibt Hinweise, wie eine Infektion zu vermeiden wäre. Dort sind zwei Maßnahmen genannt: SMBv1 deaktivieren (was aber viele Funktionalitäten in Firmen lahm legen dürfte) und in den Firewalls den SMB-Datentransfer auf Port 445 unterbinden. Martin hat bei Dr. Windows ein paar deutschsprachige Erläuterungen publiziert.
Ergänzung 2: In diesem Artikel werden weitere Infektionsmethoden genannt. So wird ein kompromittierter Webserver als 'Waterhole' verwendet, um die Ransomware per Exploit auszuliefern.
Ähnliche Artikel:
Achtung: Petya Ransomware befällt weltweit Systeme
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
WannaCry: Verschlüsselte Daten per Recovery retten?
WannaCry: Analysen, Windows 10-Port, Daten-Recovery …
Anzeige
"Killswitch angeblich gefunden?"
Amit Serper on Twitter: "98% sure that the name is is perfc.dll"
Er batcht/klatscht übrigens 3 Dummy-Dateien ins Windows-Verzeichnis: perfc.dat, perfc.dll und perfc – so nach dem Motto "sicher ist "sicher" …
Mal abwarten, mir kommt das ziemlich schnell geschossen vor. Und eines werde ich nie verstehen: Warum aktualisiert man nicht das Betriebssystem, zieht ein Image und verbrennt – nach Bedarf – den ganzen Scheiß mitsamt MBR und sichert damit gleichzeitig noch seine Daten auf dieser Platte, statt dermaßen ins Blaue zu frickeln … (gut, war rhetorisch gemeint und gilt nur für den Einzelrechner/User und nicht für ein Netzwerk aus Dutzenden Computern)
Das betrifft ja nicht nur Einzelnutzer. Du willst nicht wissen, wie viele meiner Kunden, die über ein Dutzend und mehr Rechner verfügen, schon auf die Nase gefallen sind, ganz ohne Virus. Interessant dabei: nach dem erste Totalausfall einer Platte mit 100% Datenverlust werden dann zwar Backup-Lösungen erarbeitet und implementiert, dann aber nicht genutzt. Von Redundanz (täglich gewechselte Backup-Laufwerke, die nur bei Bedarf aus dem Tresor geholt werden) mal ganz zu schweigen. Der Mensch an sich ist faul. Daher wird Bequemlichkeit immer Sicherheit besiegen.
Mit "Einzelnutzer" gehe ich von mir aus, dem Einzelnutzer, der seinen Rechner den simplen, logischen Anforderungen nach warten kann, und das auch tut. Wie es in kleineren bis größeren Netzwerken, zumal von Behörden, Betrieben, Firmen usw. mit vielen Rechnern und vermutlich wenig ambitionierten oder gar unfähigen Administratoren zugeht, weiß ich nur zu gut, aber da hat das meistens andere Gründe. Dem besagten Einzelnutzer unterstelle ich – Du sagst es – Faulheit und Schlimmeres. Dieses Jammern, wenn das Kind im Brunnen liegt, obwohl jeder weiß, dass es dazu kommen kann. Ich erwähne hier übrigens öfters das Thema Backup/Images, aber wenn es dann konkret wird, Fehlanzeige. Wie gesagt, es will mir nicht in den Kopf, aber letztlich ist es mir auch egal.
Erscheint eine neue Malware jeglicher Art, stürzen sich sofort alle einschlägigen Portale, Magazine und Blogs auf dieses Thema und veröffentlichen sehr schnell Ratschläge dazu, wie man sich schützen kann.
Bezeichnenderweise erschein bislang nichts dergleichen über diese nunmehr 6 Tage alte Meldung…
"Bundestag gibt Staatstrojaner für die alltägliche Strafverfolgung frei".
https://www.heise.de/newsticker/meldung/Bundestag-gibt-Staatstrojaner-fuer-die-alltaegliche-Strafverfolgung-frei-3753530.html?artikelseite=all
Das nennt man dann wohl Pressefreiheit;-)
Um Stil der BILD zu bleiben:
Geschäft geplatzt oder steckt etwas anderes dahinter?
»Der E-Mail-Anbieter Posteo hat eine beim aktuellen Petya-Angriff genutzte Mailadresse gesperrt. Für Opfer gibt es damit wohl vorerst keine Möglichkeit, die Erpresser zu kontaktieren. Ob die nach einer Lösegeldzahlung geholfen hätten, ist sowieso fraglich.« (Link)
Tatsächlich: seit ungefähr 14Uhr stagniert die Schlussbilanz der Transaktionen bei runden €9.000 – ein geradezu lächerlicher Betrag für die Porto-Kassierer und ein riesen Schaden für die Betroffenen. Wie mittlerweile bekannt, war die Schließung der genutzte Mailadresse provoziert, was interessante Fragen aufwirft: Ein weiterer Testlauf? Eine erzieherische Maßnahme? Eine neue Form der Stadtguerilla?
SMB1 braucht kein Mensch mehr! Ich rate jedem Kunden im Moment das abzuschalten, es ist nicht richtig das dann in Firmen nicht mehr viel geht. Wir haben das öfters schon gemacht und es gab keine Probleme.
https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
Ich wollte kürzlich in W7-SP1
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
und
sc.exe config mrxsmb10 start= disabled
ausführen, aber lt. Reg. hatte ich das bereits gemacht (in meinem Log steht 2013). An den Grund kann ich mich nicht mehr erinnern, jedenfalls war das Protokoll immer entbehrlich gewesen.
zu SMB 1.0
Kim O. Fee könntest Du uns bitte sagen in welchem Ordner oder wo in der Registry man die Einstellungen zu SMB 1.0 findet?
Vielen Dank.
In W7/x64/SP1 steht das unter HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters (Registrierungseintrag: SMB1)
MS-Info siehe hier, unter Abschnitt "Windows 7, Windows Server 2008 R2, Windows Vista und Windows Server 2008 -> Windows PowerShell 2.0 oder eine höhere Version / Registrierungs-Editor"
Windows Defender – was muss ich tun wenn Windows 7 einsetze?
Wenn ich ein Fremd-AntiVirus einsetze muss ich grundsätzlich nichts tun ausser Windows 7 aktuell zu halten.
Ich würde aber empfehlen den Windows Defender selbst jetzt auch zu aktivieren und zu updaten und dann wieder zu deaktivieren weil er fehlerhaft ist und natürlich auch nicht aktuell. Wer den Defender noch nie gebraucht hat, verfügt über die uralte fehlerhafte Version bei Erstinstallation von Windows 7.
Ist der Defender dagegen aktuell, verfügt man über einen (Gratis-)Notnagel den man einfach aktivieren kann wenn man mal Probleme mit dem Fremd-AntiVirus hat (was ja manchmal vorkommt).
Mein Eindruck ist dabei das die Windows 7-32bit Version des Windows Defender schneller zur Verfügung gestellt wird als die Windows 7-64bit Version des Windows Defender.
Jedenfalls schreibt Herr Born in den letzten Wochen von neuen Windows Defender Versionen, wie z.B. heute von 1.247.197.0, die mir jedenfalls noch nicht zur Verfügung gestellt wird (ich stehe noch b ei 1.247.131.0).
Achtung: der Windows Defender aktualisiert sich nur automatisch wenn sich auch Windows 7 automatisch über Windows Update aktualisiert und auch andere Microsoft-Programme in die Update-Suche eingeschlossen sind.
Hat man die automatische Windows Update Suche abgestellt, ist auch das automatische Update von Windows Defender abgestellt.
Zu beachten ist beim Windows Defender wohl auch das die AV-Signaturen nicht täglich aktualisiert werden. Aber man hat ja noch die Windows-Firewall und hoffentlich das NAT im Modem(-Router).
SMB1 abschalten! Wie? Siehe Video:
https://www.youtube.com/watch?v=hSnbp4CXKT0&index=1&list=UUCI6C8hD-hTZi2JEmS7zvQw
Es braucht kein YouTube-Video – im Blog-Post Windows 10: Aus für SMBv1 ab Herbst 2017 gibt es den Abschnitt Kann ich SMBv1 selbst entfernen?, der auch dieses MS-Dokument verlinkt.
Da nach W7 gefragt wurde und das MS-Dokument mit dem Wust an Informationen vielleicht nicht für jeden verständlich ist, nochmal:
SMBv1 auf dem SMB-Client per Kommandozeile (cmd) in zwei Schritten deaktivieren:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi (-> Entertaste)
und
sc.exe config mrxsmb10 start= disabled (-> Entertaste)
Das "Gegenmittel" aka perfc-file-"Impfstoff" wirft allmählich Fragen nach der Wirksamkeit auf (siehe Diskussion), anscheinend inspiriert durch eine aktuelle Analyse des Infektions-Mechanismus:
»Reports on social media claim there is a kill switch in the malware that can be activated by creating a specific [perfc] file under C:Windows. Although we do see code to check for the existence of the file, we cannot confirm that this filename is fixed.We have observed in our replication that the filename checked at the target machine must be the same filename used in the source machine. Thus it is not possible to predict what this filename must be before the infection occurs, and we cannot confirm that this is a possible kill switch.« (Link)
Hier musste ich lachen: Bingo!
Für chip.de ist mal wieder alles sonnenklar ;-)
https://www.bleepingcomputer.com/news/security/surprise-notpetya-is-a-cyber-weapon-its-not-ransomware/
Siehe hier. ("Eine neue Form der Stadtguerilla?!")
Die nächste – und bisher aufschlussreichste – Analyse – damit ist das Thema "C:Windowsperfc" erledigt, zumindest für meine Wenigkeit.