1. Copyright 2016 Trend Micro Inc.1
Wanna Cry?
Informationen zur aktuellen Ransomware Angriffswelle
Timo Wege
Technical Consultant
Stefan Rehberg
Technical Consultant
2. Copyright 2016 Trend Micro Inc.2
Agenda
• Was ist da eigentlich los? (Presse Überblick)
• Fakten zum Krypto-Trojaner
• …technisch betrachtet
• Wo und wie hilft Trend Micro?
5. Copyright 2016 Trend Micro Inc.5
Qualität? Quantität!
• Hardcoded Bitcoin Adressen zur Zahlung des
Lösegeldes
– Keine Möglichkeit die Entschlüsselung zu automatisieren
– Nachvollziehbarkeit der Transaktionen
• Großer Footprint (~3MB)
• Killswitch zur Deaktivierung der Malware
– 2 mal hardcoded URL verwendet, statt generierter URL
6. Copyright 2016 Trend Micro Inc.6
Fakten und Infos
• Namen: WannaCrypt, Wcrypt,
Wana Decrypt0r 2.0, WCry2,
WannaCry2, Wana Cryptor
• Lösegeldforderung liegt
anfangs bei 300 Dollar (via
Bitcoin)
– verdoppelt sich nach drei Tagen
• Nach sieben Tagen wird der
Encryption Key gelöscht
7. Copyright 2016 Trend Micro Inc.7
Fakten und Infos
• Ca. 28 verschiedene Sprachen
• „Check Payment Button“ gibt
eine zufällige Antwort von
vieren.
• AV Test zählte bis dato 147
Varianten der Malware
(Montag morgen)
8. Copyright 2016 Trend Micro Inc.8
Fakten und Infos
• Ca. 230.000 Infektionen (Stand Montag Abend)
• Ca. 150 Länder meldeten Infektionen
• Keine zielgerichtete Attacke
• Lösegeldzahlungen liegen bei etwa 30.000-55.000$ in Summe (heise.de, CISCO)
– Bitcoin Adressen sind bekannt, etwa 130 Zahlungen gingen ein (Montag Mittag)
– Vergleich „Angler Ransomware Kampagne“ 2015, brachte ca. 60 Millionen Dollar
• Schaden ist dennoch immens
10. Copyright 2016 Trend Micro Inc.10
Yet another Ransomware?
• Entglorifizieren: Wana Cryptor ist ‚nur‘ ein
Krypto-Trojaner
• Erstinfektion via SPAM, MS17-010
• Speziell: Nach Infektion automatische
Replikation im Netz (Wurm Verhalten)
11. Copyright 2016 Trend Micro Inc.11
Infektionsweg
• Eternal Blue, Double Pulsar (MS17-010 Bulletin)
– SMB Protokoll wird zum
Filesharing genutzt
– Opfer muss nur eine
Dateifreigabe anbieten
• Seit 14. März existieren
Patches
• Bekannt geworden durch
„NSA / Shadow Brokers Leak“
(April 2017)
Quelle: https://twitter.com/_supernothing/status/863687990823968768?s=09
12. Copyright 2016 Trend Micro Inc.12
Einfallstor
• SPAM Email
– Embedded URL im Message Body
– Dropbox Link (SSL)
– Attachment (Word Dokument)
• SMB Lücke (MS17-010 Bulletin)
• Vermutlich via Remote Desktop Protocol (?)
– Vgl. CRYSIS Ransomware September 2016
• http://blog.trendmicro.com/trendlabs-security-intelligence/brute-force-rdp-attacks-plant-crysis-ransomware/
– Brute Force oder Vulnerability(?)
13. Copyright 2016 Trend Micro Inc.13
Weiterverbreitung über „Eternal Blue“ MS17-010
• Betroffen
– Windows Vista Windows XP
– Windows 7 Windows 8
– Windows 8.1
– Windows 10
– Server 2008 & Server 2008 R2 Server 2003
– Server 2012 & Server 2012 R2
– Server 2016
17. Copyright 2016 Trend Micro Inc.17
Killswitch?
• Experte findet am Samstag ‚versehentlich‘ Killswitch
• Kann sich der Trojaner auf eine URL verbinden, dann stoppt er seine
Ausführung iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
• Registrierung der Domain sorgte für Stopp der Verbreitung
• Schnell kamen neue Varianten
18. Copyright 2016 Trend Micro Inc.18
Hilfemaßnahmen
• Bitte die empfohlenen Sicherheitspatches von Microsoft installieren Microsoft
Security Bulletin MS17-010
• Microsoft Patch für unsupported Versions (Windows XP, Windows 8, Windows
Vista, Server 2003, Server 2008)
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
• Backup einrichten und testen (3-2-1 Regel)
– 3 Kopien
– 2 auf unterschiedlichen Medien / inkl. Medienbruch
– 1 außer Haus
• Blocken von SMB Ports am Perimeter [UDP 137, 138 und TCP 139, 445] und/oder
Deaktivierung von SMBv1. https://support.microsoft.com/en-us/help/2696547
25. Copyright 2016 Trend Micro Inc.25
Trend Micro TippingPoint
• Blockiert die Verbindung zu den
C&C Servern und verhindert die
Ausnutzung der „Eternal Blue“
Schwachstelle
• Ideal für Produktionsbereiche
• Stunde Null
26. Copyright 2016 Trend Micro Inc.26
Endpoint Application Control
• Lockdown des Systems
• Verhindern der Ausführung
unbekannter
Anwendungen
• Stunde Null
27. Copyright 2016 Trend Micro Inc.27
Deep Discovery Inspector zur Erkennung
• Regel 2383 erkennt den Exploit
• Sandbox analysiert das Sample
28. Copyright 2016 Trend Micro Inc.28
Empfehlungen an Bestandskunden/Partner
• Haben Sie die Updates noch nicht installiert? Fangen Sie am besten JETZT mit dem Rollout an. Das Webinar ist gleich vorbei ;-)
• Aktivierung der Anti-Ransomware Features im OfficeScan und WorryFree. Details zu den Funktionen und wie sie zu konfigurieren sind findet Ihr hier:
https://success.trendmicro.com/solution/1112223
• Smart Scan Agent Pattern 13.399.00 und Official Pattern Release (conventional) 13.401.00 erkennen die (derzeit bekannten) Bedrohungen
• Trend Micro Web Reputation Service verhindert den Kontakt zu bekannten Command und Control Servern
• Trend Micro Deep Security und Vulnerability Protection (vorher Intrusion Defense Firewall oder IDF) verhindern die Ausnutzung der
entsprechenden Schwachstelle. Dazu müssen die IPS Rules 1008224, 1008228, 1008225, 1008227 auf den Systemen aktiviert werden.
• Trend Micro Deep Discovery Inspector erkennt den Exploit durch Aktivierung der Regel DDI Rule 2383
• Trend Micro Tipping Point stellt ebenfalls Filter, die Command und Control Kommunikation und das Ausnutzen der Schwachstelle verhindern, zur
Verfügung.
29. Copyright 2016 Trend Micro Inc.29
Empfehlung an (noch) nicht Kunden
• Machine Learning
Assessment Tool
https://www.trendmicro.com/product_trials/service/index/us/164