WannaCry-aanvallen worden geïnitieerd met behulp van een SMBv1 kwetsbaarheid voor het uitvoeren van externe code in Microsoft Windows OS. De exploit EternalBlue is op 14 maart door Microsoft gepatcht en op 14 april 2017 openbaar gemaakt via de "Shadowbrokers-dump". Veel bedrijven en openbare organisaties hebben de patch echter nog niet op hun systemen geïnstalleerd. . De Microsoft-patches voor oudere versies van Windows zijn vorige week na de aanval uitgebracht.

Hoe voorkom je een WannaCry-infectie?

1. Maak zorg ervoor dat alle hosts anti-malware-oplossingen voor eindpunten hebben ingeschakeld.

2. Installeer de officiële Windows-patch (MS17-010) https://technet.microsoft.com/en -us / library / security / ms17-010.aspx, waarmee de kwetsbaarheid van de SMB Server die wordt gebruikt bij deze ransomware-aanval wordt gesloten.

3. Scan alle systemen. Na het detecteren van de malwareaanval als MEM: Trojan.Win64.EquationDrug.gen, start u het systeem opnieuw op. Zorg ervoor dat MS17-010-patches zijn geïnstalleerd.

4. Maak een back-up van alle belangrijke gegevens naar een externe harde schijf of cloudopslagservice.

Meer informatie hier: https://malwareless.com/wannacry-ransomware-massively-attacks-computer-systems-world/

De ransomware maakt gebruik van een bekende, openbaar gemaakte exploit in SMBv1 (Server Message Block Version 1). Het is een protocol op applicatieniveau dat wordt gebruikt voor het delen van bestanden en printers in een netwerkomgeving.

Het SMBv1-protocol wordt algemeen aangetroffen in Windows-netwerkomgevingen en omvat besturingssystemen zoals Windows XP, Windows 7, 8, 8.1 en 10. Windows Vista en hoger maken het gebruik van SMBv1 mogelijk, ook al ondersteunen ze de verbeterde SMBv2- en v3-protocollen.

Die omgevingen die de implementatie van Microsoft niet gebruiken, zijn waarschijnlijk niet worden beïnvloed door de exploit en gerelateerde kwetsbaarheden. Bovendien worden de omgevingen die SMBv1 niet ondersteunen ook niet beïnvloed.

U kunt SMBv1-ondersteuning uitschakelen volgens de instructies van Microsoft: https://support.microsoft .com / kb / 2696547

Degenen met Windows 8.1 of Windows Server 2012 R2 en later kunnen de ondersteuning uitschakelen door de Windows-functie voor "SMB1.0 / CIFS File Sharing Support" te verwijderen.

Er zijn zes grote kwetsbaarheden in de implementatie van SMBv1 door Microsoft. De eerste vijf (en meer kritische) zijn degenen die het uitvoeren van willekeurige code op afstand mogelijk maken. De laatste maakt "data openbaarmaking" mogelijk. De ransomware maakt gebruik van de eerste vijf kwetsbaarheden en maakt er misbruik van.

Maatregelen die gebruikers / ondernemingen kunnen nemen om deze en andere ransomware te verminderen, omvatten:

• Zorg ervoor dat systemen zijn gepatcht, de kwetsbaarheden zijn in maart 2017 gepatcht.
• Bewaar een recente back-up van uw systeem of kritieke gebruikers- / bedrijfsgegevens.
• Gebruik en onderhoud een antivirusoplossing
• Gebruik een back-upschema zoals GFS (grootvader, vader, zoon).
• Verwijder het gebruik of de ondersteuning van SMBv1 (zie hierboven).
• Scheid het netwerk zodanig dat de impact van schade wordt verminderd .
• Gebruik indien mogelijk een diverse set systemen en besturingssystemen.

Weblinks:

https: // technet. microsoft.com/en-us/library/security/ms17-010.aspx

http://msdn.microsoft.com/en-us/library/aa365233(VS.85).aspx

http: // www. eweek.com/security/wannacry-ransomware-aanval-hits-slachtoffers-met-microsoft-smb-exploit

Cisco heeft een artikel hierover gepost dat meer in detail gaat dan alle andere die ik heb gezien. Hun basisstappen voor preventie zijn als volgt:

• Zorg ervoor dat alle Windows-gebaseerde systemen volledig zijn gepatcht. Zorg er op zijn minst voor dat Microsoft bulletin MS17-010 is toegepast.
• In overeenstemming met bekende best practices moet elke organisatie die SMB openbaar toegankelijk heeft via internet (poorten 139, 445) onmiddellijk inkomend verkeer blokkeren .

En in ieder geval gebaseerd op dat Microsoft-bulletin, lijkt het erop dat dit een SMBv1-kwetsbaarheid is, niet SMBv2.

Wie loopt er risico? Iedereen met besturingssystemen die in de patchaankondiging worden vermeld: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Hoe? Malware kan op vele manieren worden geleverd, zodra één eindpunt is aangetast, maakt het 'worm'-aspect van deze malware misbruik van ms17-010. Het kan dus klikken op een link, het openen van een archief dat via e-mail is verzonden, enz. https://www.microsoft.com/en-us/security/portal/mmpc/help/infection .aspx

Het lijkt te zijn? Hou je me voor de gek ;-)

Bekijk hoe het zich verspreidt: https://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all

Indicatoren van compromittering: https://otx.alienvault.com/pulse/5915d8374da2585a08eaf2f6/

Scannen op kwetsbare eindpunten (nmap): https: // github .com / cldrn / nmap-nse-scripts / blob / master / scripts / smb-vuln-ms17-010.nse

Het is ook belangrijk om te weten dat er nieuwe varianten zijn van Wannacry (genaamd Wannacry v2) waarvan wordt aangenomen dat ze niet van dezelfde auteurs zijn.

Hoe deze malware systemen in gevaar brengt:

Eerst worden de volgende registervermeldingen gemaakt en ingesteld:

• HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "Microsoft Updates Task Scheduler" = "" [ PATH_TO_RANSOMEWARE] [TRANSOMEWARE_EXE_NAME] "/ r"
• HKEY_LOCAL_MACHINE \ SOFTWARE \ WannaCryptor \ "wd" = "[PATH_TO_RANSOMEWARE]"
• HKEY_CURRENT_USER \ Configuratiescherm = "Desktop \" Wallpaper " % UserProfile% \ Desktop! WannaCryptor! .Bmp "

WannaCry maakt vervolgens de volgende mutexen aan:

• Global \ WINDOWS_TASKOSHT_MUTEX0
• LGlobal \ WINDOWS_TASKCST_MUTEX

Hierna worden de volgende processen beëindigd met taskkill / f / im :

• sqlwriter.exe
• sqlserver.exe
• Microsoft.Exchange. *
• MSExchange *

WannaCry begint met zoeken, codeert en voeg .WCRY toe aan het einde van de bestandsnamen van de volgende bestandsindelingen:

.123
.3dm
.3ds
.3g2
.3gp
.602
.7z
.ARC
.PAQ
.accdb
.aes
.ai
.asc
.asf
.asm
.asp
.avi
.back-up
.bak
.bat
.bmp
.brd
.bz2
.cgm
.class
.cmd
.cpp
.crt
.cs
.csr
.csv
.db
.dbf
.dch
.der
.dif
.dip
.djvu
.doc
.docb
.docm
.docx
.dot
.dotm
.dotx
.dwg
.edb
.eml
.fla
.flv
.frm
.gif
.gpg
.gz
.hwp
.ibd
.iso
.jar
.java
.jpeg
.jpg
.js
.jsp
.key
.lay
.lay6
.ldf
.m3u
.m4u
.max
.mdb
.mdf
.mid
.mkv
.mml
.mov
.mp3
.mp4
.mpeg
.mpg
.msg
.myd
.myi
.nef
.odb en .odg en .odp
.ods
.odt
.onetoc2
.ost
.otg
.otp
.ots
.ott
.p12
.pas
.pdf
.pem
.pfx
.php
.pl
.png
.pot
.potm
.potx
.ppam
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.ps1
.psd
.pst
.rar
.raw
.rb
.rtf
.sch
.sh
.sldm
.sldx
.slk
.sln
.snt
.sql
.sqlite3
.sqlitedb
.stc
.std
.sti
.stw
.suo
.svg
.swf
.sxc
.sxd
.sxi
.sxm
.sxw
.tar
.tbk
.tgz
.tif
.tiff
.txt
.uop
.uot
.vb
.vbs
.vcd
.vdi
.vmdk
.vmx
.vob
.vsd
.vsdx
.wav
.wb2
.wk1
.wks
.wma
.wmv
.xlc
.xlm
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.zip

Voor preventie heeft Nik je alles gegeven wat je moet weten, maar ik zal dat toevoegen U moet proberen om inkomende verbindingen op poort 445 / TCP te blokkeren. Zorg ervoor dat u het volgende sinkhole-domein niet blokkeert, aangezien dit de kill-schakelaar is die u vindt in het Wannacry v1-binaire bestand:

  hxxp: // www [.] Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com  

Ik hoop dat het helpt.

Het lijkt zowel een standaard phishing / ransomware-aanval te zijn, maar het verspreidt zich ook als een worm zodra het in een doelnetwerk komt.

Windows-servers bevinden zich meestal achter firewalls die niet SMB passeren. Zodra de eerste machine op een beschermd netwerk is geïnfecteerd, verspreidt de worm de aanval met behulp van de hierboven genoemde SMB-exploit.

Ik zou graag bevestiging willen krijgen over de phishing-kant van de aanval. Microsoft (sinds twee dagen geleden) had nog steeds geen informatie over het aanvankelijke compromis:

We hebben geen bewijs gevonden van de exacte initiële invoervector die door deze dreiging wordt gebruikt, maar er zijn er twee scenario's die volgens ons zeer mogelijke verklaringen zijn voor de verspreiding van deze ransomware:

Aankomst via social engineering-e-mails die zijn ontworpen om gebruikers te misleiden om de malware uit te voeren en de wormspreidingsfunctionaliteit te activeren met de SMB-exploit Infection via SMB-exploit wanneer een niet-gepatchte computer adresseerbaar is vanaf andere geïnfecteerde machines ( https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/)

[Bewerken] Ik heb net gezien dat Forbes niet denkt dat phishing een belangrijk onderdeel van deze aanval is. zie https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#37038021e599:

"... het is onwaarschijnlijk dat phishing-e-mails de primaire infectiemethode waren, aangezien slechts weinigen e-mails hebben gedeeld die vol zitten met de malware. Cisco's Talos-divisie gelooft niet dat er phishing-e-mails zijn gebruikt ..."

Dus dat zou onbeschermde servers met SMB-poorten blootstellen aan het open internet als de primaire infectievector. Dat zou enkele van de bekende doelwitten kunnen verklaren die wijdverspreide netwerken hebben (FedEx, NHS, enz.). Er is maar één onbelichte computer nodig die ook is verbonden met een groter netwerk om een ​​infectie op te starten.

NHS was gedoemd om de eerste treffer te worden

Er zijn hier veel goede antwoorden, maar dit antwoord is verhelderend gezien de recente gebeurtenissen. Op 18 januari 2017 drong US-Cert er bij beheerders op aan om SMBv1 door een firewall uit te schakelen, maar opmerkingen over dit verhaal zeggen dat de enige reden waarom ondersteuning voor Windows XP nog steeds bestaat, is omdat de NHS (de Britse National Health Services die vrijdag werd afgesloten) 12 mei) betaalt M $ ton contant geld om het in leven te houden.

Eén link voor iedereen die kwetsbare Windows-versies ondersteunt

Als je een oudere Windows Vista-reservelaptop hebt zoals ik, is wellicht geïnteresseerd in KB4012598 voor Windows 8, XP, Vista, Server 2008 en Server 2003, die equivalenten zijn van de veelbesproken MS17-010 . Dit zijn handmatige patches voor EOL (End of Life) Windows-versies zonder ondersteuning en automatische updates. Microsoft heeft de buitengewone stap genomen om deze patches de afgelopen 48 uur uit te brengen.

Linux-gebruikers kunnen ook worden beïnvloed

Als er Linux-gebruikers zijn die dit antwoord lezen, wil ik erop wijzen kwetsbaarheden besproken in Ask Ubuntu over deze vraag die ik heb gepost.

Technische details die niet in andere antwoorden worden vermeld

Dit artikel behandelt het blokkeren specifieke poorten en het uitschakelen van SMBv1 en SMBv2 ten gunste van SMBv3. In een deel van het artikel staat dat de FBI zegt dat je de criminelen niet moet betalen om je gegevens terug te krijgen, maar eerlijk gezegd zou ik 300 dollar betalen om mijn leven terug te krijgen.

Spookachtig toevalligheden

De Shadow Brokers hebben tot dusver 31 mille verdiend volgens een artikel van vandaag. Interessant feit dat de naam voor het eerst verscheen (AFAIK) als een fictieve groep die geheimen ronddeed en verhandelde in een Sci-Fi-videogame die ongeveer 10 jaar geleden in Edmonton werd uitgevonden. Tweede interessante feit dat ze $ 300 vragen om je vrijgekochte gegevens te ontgrendelen en ik vroeg $ 300 voor gegevensreparaties van GL, AR, IC, PR, enz. Dat gezegd hebbende, betwijfel ik ten zeerste dat de Shadow Brokers zijn gevestigd in Edmonton, waar ik woon.

Versie twee is uit en kill-switch werkt niet

Het maken van de website http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/ die werkt als een kill-switch voor de ransomware zou zijn omzeild door een nieuwe versie van "Wanna Cry". Ik heb niet veel artikelen gelezen die dit bevestigen, maar in elk opzicht moeten de SMBv1- en SMBv2-gaten worden gedicht. Mensen zouden niet moeten vertrouwen op de kill-switch die werkt met toekomstige "Wanna Cry" -versies of nieuwe malware / ransomware die gebruik maakt van de loop-hole.

Als je je afvraagt ​​wat de kill-switch-website goedaardig zegt, dan is dat is:

sinkhole.tech - waar de bots hard feesten en de onderzoekers harder ...

Microsoft Conspiracy Theories

Die die niet in samenzweringen geloven, kunnen op de terugknop drukken. De NSA en Microsoft wisten dat dit eraan kwam volgens dit artikel waarin een petitie werd verspreid waarin werd gevraagd te weten wat Microsoft wist, wanneer, waar en hoe. De beschuldigingen zijn gebaseerd op de timing van Shadow Brokers, NSA die worden gehackt en MS-beveiligingsupdates.

Naast de voorgaande antwoorden, waarin alleen Windows wordt genoemd, en aangezien er een dubbel gesloten vraag is " Besmet WannaCry Linux?" die hiernaar verwijst, wil ik dat Linux machines kunnen ook geïnfecteerd raken als ze Wine gebruiken: https://twitter.com/hackerfantastic/status/863359375787925505

Hoewel het installeren van leverancierspatches altijd een goed idee is, is het ook vermeldenswaard dat de malware een DNS-controle uitvoert bij activering. Ik heb een gerapporteerd domein gezien:

  www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com  

Maar het is waarschijnlijk dat er misschien meer zijn. Daarom zou het mogelijk moeten zijn om uw netwerk te controleren op nieuwe infecties met zoiets als dit (op een Linux / Unix-box) dat test op een zeer lange string als domeincomponent in een DNS-query:

  tcpdump -K dst poort 53 | awk '$ 8 ~ /[^\.്{20,}/ {print $ 0; } ' 

(niet getest: YMMV)

Ik zal het gedeelte "hoe te beschermen" een beetje beknopt beantwoorden

0. Handel snel

De malware verspreidt zich nog steeds. Als uw systeem onbeschermd is, wordt de resterende levensduur geteld in uren

1. Zorg ervoor dat u de vereiste systeemupdates uitvoert

Microsoft heeft al patches uitgebracht voor alle versies van Windows die in onderhoud zijn. Misschien is Windows ME niet gepatcht, ga anders naar # 4

2. Back-up

U kunt uw infrastructuur met elke ransomware verdedigen, of de schade ervan op zijn minst beperken door een geldig back-upbeleid af te dwingen. Een back-up maken op een kwetsbare machine heeft in deze situatie geen zin. Synchroniseren met de cloud kan gevaarlijk zijn

3. Firewall jezelf van buitenaf

Zowel als je een thuisgebruiker bent als een grote onderneming, je zult altijd de firewall-vuistregel toepassen: schakel alles uit behalve de services die je daadwerkelijk gebruikt.

Een webapplicatie draaien? Open alleen poorten 80/443. Torrent thuis draaien? Gebruik upnp of kies uw poorten om op uw modem te openen.

Gebruik geen DMZ. Als u SMB echt nodig heeft, moet u daar goed over nadenken. Discussiëren over ServerFault kan goed zijn.

4. Luchtgat of oude machines met een sterke firewall

Als u een oud systeem bezit dat echt bedrijfskritisch is en niet in korte tijd kan worden geüpgraded, overweeg dan om het te luchten. Het virtualiseren van een oude Windows-versie heeft geen zin, omdat de malware zich kan verspreiden op uw netwerk van verouderde machines. Als het u niet lukt om de firewall te gebruiken en / of SMB volledig uit te schakelen, is de laatste optie om de netwerkkabel te verwijderen totdat u een betere oplossing vindt.