Wer ist schuld und was ist zu tun?
Donnerstag, 17. Oktober 2019
Viele Fragen, auch im Bereich der IT-Sicherheit, sind durchaus lösbar, wenn man die bekannten Grundregeln der Sicherheit befolgt: Nur legale Software verwenden, alle Programme rechtzeitig aktualisieren, veraltete Geräte und Software, wenn möglich, nicht nutzen, Antivirussoftware installieren und regelmäßig aktualisieren, tägliche Scans durchführen, nicht mit den Rechten des Administrators arbeiten, Links in verdächtigen E-Mail ignorieren, regemäßige Backups durchführen, Präventivschutz gegen unbekannte Bedrohungen nutzen usw. Von Zeit zu Zeit gibt es aber News, wo man aber nicht weiß, was man sagen soll.
Jeanette Manfra, stellvertretende Direktorin des U.S. Department of Homeland Security's (DHS) Cyber Security and Infrastructure Security Agency (CISA), glaubt, dass niemand eine weitere globale Welle von Angriffen wie WannaCry stoppen könne.
Die Einzigartigkeit des Angriffs im Jahr 2017 (WannaCry) liegt in der unglaublichen Geschwindigkeit, mit der sich die Malware verbreitet.
"Ich habe keine Ahnung, ob wir jemals in der Lage sein werden, eine solche Epidemie zu verhindern. In diesem Fall haben wir es mit einem Computerwurm zu tun. Ich glaube nicht, dass Kriminelle überhaupt mit einem solchen Ausmaß der Cyber-Operation gerechnet haben", sagte die stellvertretende Direktorin des Departments.
WannaCry war kein schrecklicher Virus. Er verbreitete sich (seine Klone verbreiten sich auch bis heute noch) über eine Sicherheitslücke, die zum Zeitpunkt des Epidemieausbruchs offen war und auch bis heute noch ignoriert wird. Eine Analyse von Trojan.Encoder.11432 (auch bekannt als WannaCry, WannaCryptor, WanaCrypt0r, WCrypt, WCRY und WNCRY) durch Virenspezialisten von Doctor Web zeigte, dass er über folgende Charakteristika verfügt:
- Fehlende Verschlüsselung,
- Fehlende Tarninstrumente gegen Antivirenprogramme,
- Anfälliges Kommunikationssystem mit dem Verwaltungsserver.
Hier ein Beispiel eines Trojaners, der viel fortgeschrittener ist:
Trojan.EternalRocks.1 verwendet sieben Schwachstellen von NSA auf einmal wie EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch und SMBtouch und dringt wie WannaCry durch offene Ports 445 ein.
Um Schutzsysteme zu täuschen, maskiert er sich als WannaCry, lädt aber keine Erpressungssoftware ins angegriffene System.
EternalRocks verwendet das Tor-Netzwerk für die Kommunikation mit dem C&C-Server.
Im Gegensatz zu WannaCry gibt es keine eingebettete Domain im Code, mit der sie deaktiviert werden kann.
Im infizierten System erhält EternalRocks die Rechte eines Administrators, und selbst wenn ein Sicherheitspatch installiert wird, um die Schwachstelle zu beheben, bleibt der Wurm im System.
WannaCry verbreitet sich auch nicht so schnell. Es gab viel schnellere (wenn auch weniger zerstörerische) Epidemien wie die von Adylkuzz:
WannaCry wurde vom stillen Mining-Virus Adylkuzz überholt, der ähnliche Methoden der Verbreitung und Infizierung von Windows-Rechnern einsetzte.
Ein weiteres Beispiel ist der Trojaner namens UIWIX:
Im Gegensatz zu WannaCry verwendet Trojan.Encoder.11536 (UIWIX) keine Dateien. Er wird im Speicher ausgeführt, nachdem die Schwachstelle ausgenutzt wurde.
UIWIX ist nicht so sichtbar wie WannaCry. Während eines Angriffs werden keine Dateien/Komponenten auf die Festplatte des Computers übertragen, was die Erkennung von Malware erschwert.
Nachdem er sich in einer virtuellen Maschine oder in einem Sandkasten eingenistet hat, zerstört er sich selbst.
Sein Code hat keine eingebettete Domänenadresse, mit der er die Dateiverschlüsselung deaktivieren kann.
Interessanterweise waren diese Würmer für die Analysten eine Überraschung.
Während der Analyse schloss man einen für EternalBlue anfälligen Computer an das Internet an und wartete, bis das System durch WannaCry infiziert wird. Überraschenderweise fing der Computer einen anderen Virus ein – den Mining-Virus Adylkuzz. Man wiederholte den Vorgang mehrmals. Das Ergebnis war das gleiche: Nach etwa 20 Minuten wurde ein neues System mit dem Adylkuzz-Virus infiziert und mit seinem Botnet verbunden.
Um sich vor den meisten Bedrohungen zu schützen, müsste man Updates installieren und Benutzern verbieten, neue Software zu installieren und mit den Rechten von Systemadministratoren zu arbeiten. All diese Regeln werden aber regelmäßig gebrochen, u.a. in Großunternehmen, wo die Softwareaktualisierung ein langwieriger Prozess ist.
Nachdem das kumulative Update für Windows 10 durchgeführt wurde, wird der VMware Workstation-Hypervisor nicht mehr ausgeführt.
In der Diskussion über das Problem auf der Microsoft-Website beklagen sich die Nutzer darüber, dass das Update für 100 VMware Workstations sie 11.500 € kosten werde.
Für die Installation von Updates braucht es ein spezielles Testsegment des Netzwerks, in dem alle Dienst- und Benutzerszenarien nach der Installation der Updates getestet werden. Außerdem sollten Updates erst nach bestandenen Tests installiert werden. Das ist teuer, zeitintensiv und bietet, offen gesagt, keine hundertprozentige Schutzgarantie.
Hinzu kommt die veraltete Software. Viele Nutzer nutzen bis heute Software, die den SMB v1 benötigt. Über den letzten drang der Schädling WannaCry in Systeme ein. Dabei kann man auf diese Version des Protokolls nicht einfach verzichten, da. niemand weiß, wie es funktioniert oder die Hardware durch den Hersteller nicht mehr unterstützt wird. Natürlich können solche Probleme gelöst werden, doch das ist oft kostspielig.
#Sicherheitslücke #Exploit #Trojaner #Trojan.Encoder #Windows #Sicherheitsupdates #Passwort #Antivirus #Lizenz
„Die komplette Wahrheit über Viren & Co.“ empfiehlt
Was tun, wenn Sie veraltete Software nicht loswerden und Virenschutzsoftware auf anfälliger Hardware nicht installieren können?
- Segmentieren Sie Ihr Netzwerk. Der anfällige Teil des Netzwerks sollte von anderen Teilen des Netzwerks isoliert werden. Angreifer müssen im infizierten Segment bleiben.
- Verwenden Sie sichere Passwörter. Angreifer sollten nicht in der Lage sein, diese zu knacken, um einen Angriff von infizierten Computern durchzuführen. Passwörter für externe Dienste, Virenschutzprogramme, Betriebssysteme usw. dürfen nicht identisch sein.
- Installieren Sie, wenn möglich, Updates.
- Verwenden Sie eine Whitelist der zulässigen Programme und lassen Sie keine Dienste und Benutzer mit Administratorrechten zu. Angreifer sollten nicht in der Lage sein, ihre Software neu zu installieren.
- Beschränken Sie den Zugriff auf Netzwerk-Inhalte sowie lokale Inhalte. Eingehende Verbindungen dürfen nur von zulässigen Adressen erfolgen.
- Wenn ein Antivirusprogramm installiert ist, muss es aktuell und die Lizenz gültig sein.
Ihre Meinung ist uns wichtig
Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.
Kommentare der Teilnehmer
Шалтай Александр Болтай
21:26:51 2019-10-18
Toma
21:00:43 2019-10-18
Татьяна
20:47:00 2019-10-18
razgen
20:43:59 2019-10-18
Plus das aktuelle Antivirenprodukt Dr.Web und Sicheres Passwort.
Masha
20:21:23 2019-10-18
ka_s
18:08:52 2019-10-18
Dmur
17:27:00 2019-10-18
Пaвeл
15:59:28 2019-10-18
EvgenyZ
15:26:06 2019-10-18
Неуёмный Обыватель
09:37:05 2019-10-18