von Severin Wischmann, Gregor Wegberg & Fabian Gonzalez
Dieses Oneconsult Security Advisory vermittelt praktische Tipps, wie Sie sich bei einem NotPetya-Befall richtig verhalten und welche Sicherheitsmassnahmen Sie vor ähnlichen Cyber-Attacken schützen können.
Anatomie des Angriffs
Am 27.06.2017 hat vermutlich erst in der Ukraine und Russland, später auch in Westeuropa und Nordamerika eine neue Ransomware mehrere grosse Unternehmen befallen. Die Ransomware gleicht dabei einer früher unter dem Namen „Petya“ bekannten Version aus dem Jahr 2016.
Die Ransomware hat dabei, wie WannaCry zuvor, das Verhalten eines Computer-Wurms angenommen und versucht sich im internen Netzwerk über die Ports 139/TCP sowie 445/TCP weiter zu verbreiten. Dazu verwendet die Ransomware sowohl die von „Shadow Brokers“ veröffentlichten Exploits „EternalBlue“ und „EternalRomance“, als auch WebDAV, das „Windows Management Instrumentation Command-line“ (wmic) und PsExec, ein Werkzeug um Prozesse auf anderen Systemen zu starten. Dabei wird eine Methode nach der anderen durchprobiert bis eine zum Erfolg führt. Das entsprechende Verhalten hängt dabei von den Berechtigungen des Benutzers ab, unter welchem die Ransomware ausgeführt wird. Gegen „EternalBlue“ und „EternalRomance“ hat Microsoft bereits im März 2017 Patches bereitgestellt, die im Security Bulletin MS17-010 beschrieben sind. Die beiden anderen Wege der Verbreitung sind normale Werkzeuge, die von Administratoren im Alltag verwendet werden. Ein «normaler» Benutzer sollte diese Tools jedoch nicht verwenden dürfen.
Die initiale Infektion findet wie in den meisten Fällen von Ransomware über Phishing statt. Dabei wird einerseits eine Sicherheitslücke in Microsoft-Office (für welche bereits seit April 2017 ein Patch besteht) ausgenützt um das System zu infizieren. Entsprechend reicht es mit einem nicht aktuellen Office Programm die verseuchte Datei zu öffnen um infiziert zu werden. Keine weitere Aktion ist nötig.
NotPetya unterscheidet sich im Vergleich mit anderer Ransomware vor allem dadurch, dass nicht nur wichtige Dateien verschlüsselt werden, sondern dass der sogenannte „Master Boot Record“ verändert wird, so dass kein Betriebssystem gestartet werden kann. Bei einer erfolgreichen Infektion wird die Malware deshalb auch das System neu starten.
Gegenmassnahmen
Hier besteht noch eine Chance um die Dateien zu retten: Die Verschlüsselung erfolgt erst nach dem Neustart des Systems. Wird entsprechend der Computer ausgeschaltet, beziehungsweise vom Strom getrennt, dann sind die Dateien auf der Festplatte weiterhin lesbar. Entsprechend darf der Computer dann nicht wieder gestartet werden bevor die Dateien von der Festplatte kopiert (gerettet) wurden.
Unter Umständen ist auch eine Wiederherstellung der Dateien mithilfe von File-Carving-Techniken möglich, da die Dateien an sich in aktuellen Versionen nicht verschlüsselt werden. Dazu kontaktieren Sie bitte unsere IT-Forensik-Experten.
Folgende Gegenmassnahmen helfen eine Verbreitung von Petya zu unterbinden:
- Über die GPOs die Dateien C:\Windows\perfc.dat, C:\Windows\perfc.dll und C:\Windows\perfc erstellen und per ACL an der Ausführung hindern (Zugriffsrechte auf Read-only setzen). Diese Dateinamen sind jedoch abhängig vom initialen Dateinamen der Schadsoftware. Die nächsten Schritte sind somit effizienter und zu empfehlen, da sie allgemein gültig sind.
- PSEXEC.EXE an der Ausführung hindern und falls möglich, remote Access für WMI deaktivieren
- Alle Microsoft Windows- und Microsoft Office-Sicherheits-Updates sollten zeitnah installiert warden
- Neue Antiviren Signaturen zeitnah einspielen
- SMB1 deaktivieren
- Die Malware versucht administrative Zugangsdaten aus dem lokalen Cache des infizierten Gerätes auszulesen um sich weiter zu verbreiten. Entsprechend sollten Administratoren sich nicht auf Geräten von regulären Benutzern einloggen.
- Die Malware versucht Event-Logs zu löschen. Wird also eine solche Löschung bemerkt, kann dies ein Indikator für eine Infektion sein.
- Der Reboot wird als geplanter Task ausgeführt. Wird dieser gelöscht hat man mehr Zeit zu reagieren.
Generell schützen Sie sich gegen Ransomware aber am besten, wenn die Mitarbeiter sensibilisiert werden um Phishing-Angriffe zu erkennen und adäquat zu handeln. Zusätzlich spielen Sie Patches auf allen Systemen für jegliche Software zeitnah ein, sobald diese zur Verfügung gestellt werden. Bereiten Sie sich darauf vor, erste Massnahmen (wie zum Beispiel: Sperren von spezifischen Anhängen, Sammeln von Logs, Deaktivieren von Verbindungen auf der Firewall) schnell umsetzen zu können. Last but not least: Sichern Sie Ihre Daten auf Clients und Servern regelmässig für eine schnelle und aktuelle Wiederherstellung.
Sollten Sie trotzdem betroffen sein, haben sich folgende erste Schritte bewährt:
- Benutzer informieren und zur besonderen Vorsicht mahnen
- Umgehend Attachments / Websites / etc. anhand des aktuellen Informationsstandes sperren (bei Bedarf Experten beiziehen)
- Indicators of Compromise (IOC) überwachen und die Empfehlungen umsetzen
- Patches einspielen
- Spätestens jetzt strategische und taktische Massnahmen festlegen um in Zukunft besser gewappnet zu sein
Weitere Informationen sind von Microsoft und vom GovCERT erhältlich.
Für weitere Massnahmen, welche die Sicherheit ihres Unternehmens erhöhen und konkrete IT-forensische Massnahmen ermöglichen, steht Oneconsult Ihrem Unternehmen gerne bei.
Wie bei jeder Ransomware ist es wichtig, dass Betroffene der Zahlungsaufforderung nicht Folge leisten. In diesem Fall gilt dies besonders, da das E-Mail-Konto, welches nach der Zahlung kontaktiert werden soll, gesperrt wurde.
Autoren
Severin Wischmann ist Senior Penetration Tester & IT-Forensiker bei der Oneconsult AG. Gregor Wegberg und Fabian Gonzalez arbeiten als Penetration Tester & Security Consultant bzw. als Penetration Tester beim gleichen Unternehmen.
(Aktualisiert am 03.07.2017 basierend auf neuen Erkenntnissen)
Über Oneconsult
Die Oneconsult AG ist renommiertes, inhabergeführtes, Schweizer Cybersecurity Services Unternehmen mit 30+ Mitarbeitenden, Büros in der Schweiz und Deutschland und einem Kundenstamm von 300+ Organisationen und 1200+ weltweit durchgeführten Projekten. Wir sind Ihr vertrauenswürdiger Partner für einen umfassenden Cybersecurity Ansatz gegen externe und interne Cyber-Bedrohungen wie APT, Hacker-Angriffe, Malware-Befall, digitalen Betrug und Datenverlust. Die Kerndienstleistungen von Oneconsult sind Penetration Tests, ISO 27001 Security Audits und IT-Forensik. Zum Schutz Ihrer Organisation und um spezifische Informationssicherheitsrisiken anzugehen, sind auch praxisorientiertes Security Consulting, Security Training und Virtual Security Officer Services Teil des Portfolios. Eigene IT Security Researcher, IT-Forensik-Experten (GCFA, GCFE, GREM), ISO Security Auditoren (ISO 27001 Lead Auditor) und ein grosses Team an zertifizierten Penetration Testern (OPST, OPSA, GXPN, OSCP etc.) stehen Ihnen kompetent zur Verfügung.