{"id":191180,"date":"2017-06-08T00:47:00","date_gmt":"2017-06-07T22:47:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=191180"},"modified":"2018-08-17T07:27:55","modified_gmt":"2018-08-17T05:27:55","slug":"wannycry-analysen-windows-10-port-daten-recovery","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/06\/08\/wannycry-analysen-windows-10-port-daten-recovery\/","title":{"rendered":"WannaCry: Analysen, Windows 10-Port, Daten-Recovery …"},"content":{"rendered":"

Die WannaCrypt-Malware liefert immer noch reichlich Stoff. Es gibt zwischenzeitlich Analysen, warum sich der Trojaner nicht unter Windows 10 verbreitete. Programmierfehler machen ein Wiederherstellen der Daten wahrscheinlich und Sicherheitsforscher haben den NSA-Exploit f\u00fcr Windows 10 portiert.<\/p>\n

<\/p>\n

Windows XP, nix f\u00fcr WannaCry<\/h2>\n

Beim Bekannt werden der WannaCry-Infektionen lag ja der Verdacht nahe, dass ungepatchte Windows XP-Systeme zur Verbreitung beitrugen. Das hat sich aber nicht als wahr herausgestellt, wie ich im Blog-Beitrag WannaCry: Meist ungepatchte Windows 7 Systeme befallen<\/a> berichtete.<\/p>\n

Dies war \u00fcbrigens zwei gl\u00fccklichen Umst\u00e4nden zu verdanken. Einmal enthielt die Malware wohl eine Reihe Programmierfehler, so dass sie unter Windows XP nicht richtig funktionierte. Zudem war der von der NSA entwickelte Exploit zu unstabil f\u00fcr den praktischen Einsatz. Es kam h\u00e4ufig zu BlueScreens und Abst\u00fcrzen. Die Redaktion von heise.de hat den Sachverhalt im Beitrag Bluescreen als Retter: Windows XP zu instabil f\u00fcr WannaCry<\/a> n\u00e4her beleuchtet.<\/p>\n

EternalBlue Exploit f\u00fcr Windows 10 portiert<\/h2>\n

In Webartikeln wurde immer wieder hervorgehoben, dass Windows 10 sicher vor WannaCry sei. Sicherheitsforscher (sogenannte 'white hacker') des Sicherheitsunternehmens RiskSense haben sich die Arbeit gemacht, den NSA-Exploit EternalBlue so zu modifizieren, dass er unter Windows 10 anwendbar ist.<\/p>\n

Das erzeugte Metasploit-Modul weist diverse Verbesserungen wie reduzierter Netzwerkverkehr auf und verzichtet auf die DoublePulsar-Backdoor. Die Hacker von RiskSense wollten mit dieser Backdoor die Sicherheitsforscher nicht unn\u00f6tig ablenken. Die Sicherheitsleute von RiskSense konnten zeigen, dass es keine DoublePulsar-Backdoor bedurfte, um eine zus\u00e4tzliche 'Payload' aus dem Internet herunter zu laden und zu injizieren.<\/p>\n

Um realen Hackern keine Hinweise zu liefern, haben die Sicherheitsforscher keine Details ihres Exploits ver\u00f6ffentlicht. Aber sie musste das Data Execution Prevention (DEP) und das Address Space Layout Randomization (ASLR) in Windows 10 umgehen, und eine neue Asynchronous Procedure Call (APC) Payload im System installieren. Diese erm\u00f6glicht es, im User-Mode Payloads ohne Verwendung einer Backdoor auszuf\u00fchren.<\/p>\n

Die Forscher haben den Angriff auf Windows 10 V1511 abgestimmt. Die gute Nachricht: Windows 10 mit installiertem Sicherheits-Update MS17-010 ist vor dem Angriff gesch\u00fctzt. Der Bericht von RiskSense l\u00e4sst sich hier als PDF-Dokument herunterladen. (via<\/a>)<\/p>\n

Der EternalBlue-Exploit ist \u00fcbrigens in der Zwischenzeit so etwas wie ein Standard unter den Ransomware-Entwicklern geworden, und findet auch in anderer Malware Anwendung, wie man in diesem Bleeping Computer-Artikel<\/a> nachlesen kann. Zudem gibt es ja von der NSA noch ein ganzes Arsenal an Tools, welches teilweise bekannt ist. Hier<\/a> berichtet heise.de beispielsweise \u00fcber ein von WikiLeaks ver\u00f6ffentlichtes CIA-Tool \"Pandemic\". Dieses wurde entwickelt, um bei gezielten Angriffen Schadcode in Firmennetzwerken \u00fcber Windows-Fileserver zu verteilen.<\/p>\n

Fehler in WannaCry hilft bei der Dateiwiederherstellung<\/h2>\n

Ich hatte ja im Artikel WannaCry: Verschl\u00fcsselte Daten per Recovery retten?<\/a> bereits darauf hingewiesen, dass man mit Datenrettungstools mit etwas Gl\u00fcck einen Teil der von WannaCry verschl\u00fcsselten Dateien restaurieren kann.<\/p>\n

Nun haben sich Sicherheitsspezialisten die Funktionsweise von WannaCry genauer angesehen. Im Beitrag Fehler in WannaCry erm\u00f6glichen Wiederherstellung der Dateien nach Infektion beleuchten Sie, welche Fehler den Ransomware-Entwicklern unterlaufen sind und was das f\u00fcr die Datenwiederherstellung bedeutet.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Ransomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a>
\nMalwarebytes-Analyse: Wie sich WannaCry verbreitete<\/a>
\nWannaCrypt: Updates f\u00fcr Windows XP, Server 2003 & Co.<\/a>
\nWannaCry: Neue Versionen und mehr Neuigkeiten<\/a>
\nWannaCry: Die Lage am Montag<\/a>
\nWannaCry: Meist ungepatchte Windows 7 Systeme befallen<\/a>
\nMalwarebytes-Analyse: Wie sich WannaCry verbreitete<\/a>
\nWannaCry: Hinweise auf Lazarus-Gruppe<\/a>
\nWannaCry: Verschl\u00fcsselte Daten per Recovery retten?<\/a>
\nWannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Die WannaCrypt-Malware liefert immer noch reichlich Stoff. Es gibt zwischenzeitlich Analysen, warum sich der Trojaner nicht unter Windows 10 verbreitete. Programmierfehler machen ein Wiederherstellen der Daten wahrscheinlich und Sicherheitsforscher haben den NSA-Exploit f\u00fcr Windows 10 portiert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,6258],"class_list":["post-191180","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-wannccry"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191180","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191180"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191180\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191180"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191180"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191180"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}