Wanna Cry? Informationen zur aktuellen Ransomware Angriffswelle

Transkript

1 Wanna Cry? Informationen zur aktuellen Ransomware Angriffswelle Timo Wege Technical Consultant Stefan Rehberg Technical Consultant 1

2 Agenda Was ist da eigentlich los? (Presse Überblick) Fakten zum Krypto-Trojaner technisch betrachtet Wo und wie hilft Trend Micro? 2

3 Presse 3

4 Presse 4

5 Qualität? Quantität! Hardcoded Bitcoin Adressen zur Zahlung des Lösegeldes Keine Möglichkeit die Entschlüsselung zu automatisieren Nachvollziehbarkeit der Transaktionen Großer Footprint (~3MB) Killswitch zur Deaktivierung der Malware 2 mal hardcoded URL verwendet, statt generierter URL 5

6 Fakten und Infos Namen: WannaCrypt, Wcrypt, Wana Decrypt0r 2.0, WCry2, WannaCry2, Wana Cryptor Lösegeldforderung liegt anfangs bei 300 Dollar (via Bitcoin) verdoppelt sich nach drei Tagen Nach sieben Tagen wird der Encryption Key gelöscht 6

7 Fakten und Infos Ca. 28 verschiedene Sprachen Check Payment Button gibt eine zufällige Antwort von vieren. AV Test zählte bis dato 147 Varianten der Malware (Montag morgen) 7

8 Fakten und Infos Ca Infektionen (Stand Montag Abend) Ca. 150 Länder meldeten Infektionen Keine zielgerichtete Attacke Lösegeldzahlungen liegen bei etwa $ in Summe (heise.de, CISCO) Bitcoin Adressen sind bekannt, etwa 130 Zahlungen gingen ein (Montag Mittag) Vergleich Angler Ransomware Kampagne 2015, brachte ca. 60 Millionen Dollar Schaden ist dennoch immens 8

9 Technische Informationen 9

10 Yet another Ransomware? Entglorifizieren: Wana Cryptor ist nur ein Krypto-Trojaner Erstinfektion via SPAM, MS Speziell: Nach Infektion automatische Replikation im Netz (Wurm Verhalten) 10

11 Infektionsweg Eternal Blue, Double Pulsar (MS Bulletin) SMB Protokoll wird zum Filesharing genutzt Opfer muss nur eine Dateifreigabe anbieten Seit 14. März existieren Patches Bekannt geworden durch NSA / Shadow Brokers Leak (April 2017) Quelle: 11

12 Einfallstor SPAM Embedded URL im Message Body Dropbox Link (SSL) Attachment (Word Dokument) SMB Lücke (MS Bulletin) Vermutlich via Remote Desktop Protocol (?) Vgl. CRYSIS Ransomware September Brute Force oder Vulnerability(?) 12

13 Weiterverbreitung über Eternal Blue MS Betroffen Windows Vista Windows XP Windows 7 Windows 8 Windows 8.1 Windows 10 Server 2008 & Server 2008 R2 Server 2003 Server 2012 & Server 2012 R2 Server

14 Infektionskette 14

15 Schädling tarnt sich als Service 15

16 Betroffene Dateitypen.lay6.sqlite3.sqlitedb.accdb.java.class.mpeg.djvu.tiff.backup.xlsx.vmdk.sldm.sldx.potm.potx.ppam.ppsx.ppsm.pptm.xltm.pptx.xltx.xlsb.xlsm.dotx.dotm.docm.docb.jpeg.onetoc2.vsdx.docx 16 Insgesamt 176 extensions

17 Killswitch? Experte findet am Samstag versehentlich Killswitch Kann sich der Trojaner auf eine URL verbinden, dann stoppt er seine Ausführung iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com Registrierung der Domain sorgte für Stopp der Verbreitung Schnell kamen neue Varianten 17

18 Hilfemaßnahmen Bitte die empfohlenen Sicherheitspatches von Microsoft installieren Microsoft Security Bulletin MS Microsoft Patch für unsupported Versions (Windows XP, Windows 8, Windows Vista, Server 2003, Server 2008) Backup einrichten und testen (3-2-1 Regel) 3 Kopien 2 auf unterschiedlichen Medien / inkl. Medienbruch 1 außer Haus Blocken von SMB Ports am Perimeter [UDP 137, 138 und TCP 139, 445] und/oder Deaktivierung von SMBv

19 Was ist mit schlafenden Maschinen? 19

20 Was, wenn eine schlafende Maschine geweckt wird? 20

21 Wie hilft Trend Micro? 21

22 Schutz seit Stunde Null Predictive Machine Learning erkennt die Malware (Stunde Null) Smart Scan Agent Pattern und Official Pattern Release (conventional)

23 Ransomware Protection zieht den doppelten Boden ein Stunde Null 23

24 Deep Security DPI und Vulnerability Protection Regeln schirmen MS ab! Stunde Null 24

25 Trend Micro TippingPoint Blockiert die Verbindung zu den C&C Servern und verhindert die Ausnutzung der Eternal Blue Schwachstelle Ideal für Produktionsbereiche Stunde Null 25

26 Endpoint Application Control Lockdown des Systems Verhindern der Ausführung unbekannter Anwendungen Stunde Null 26

27 Deep Discovery Inspector zur Erkennung Regel 2383 erkennt den Exploit Sandbox analysiert das Sample 27

28 Empfehlungen an Bestandskunden/Partner Haben Sie die Updates noch nicht installiert? Fangen Sie am besten JETZT mit dem Rollout an. Das Webinar ist gleich vorbei ;-) Aktivierung der Anti-Ransomware Features im OfficeScan und WorryFree. Details zu den Funktionen und wie sie zu konfigurieren sind findet Ihr hier: Smart Scan Agent Pattern und Official Pattern Release (conventional) erkennen die (derzeit bekannten) Bedrohungen Trend Micro Web Reputation Service verhindert den Kontakt zu bekannten Command und Control Servern Trend Micro Deep Security und Vulnerability Protection (vorher Intrusion Defense Firewall oder IDF) verhindern die Ausnutzung der entsprechenden Schwachstelle. Dazu müssen die IPS Rules , , , auf den Systemen aktiviert werden. Trend Micro Deep Discovery Inspector erkennt den Exploit durch Aktivierung der Regel DDI Rule 2383 Trend Micro Tipping Point stellt ebenfalls Filter, die Command und Control Kommunikation und das Ausnutzen der Schwachstelle verhindern, zur Verfügung. 28

29 Empfehlung an (noch) nicht Kunden Machine Learning Assessment Tool 29

30 Q & A 30

31 Vielen Dank! 31