Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

[NonesensE]

Moinsen!

Vielen Dank an martina & Helios (ladies first! ;-) ).

Woraus die nächste Frage resultiert: Gibt es aktuell eigentlich wirklich irgendwelche Viren, welche nicht durch den Nutzer selbst ins System hereingeklickt werden?


Gruß,

Kai

Sicherlich. Es sind beispielsweise in den letzten zwei, drei Jahren jedenfalls mehrfach Angriffe publik geworden, die über Werbeeinblendungen verteilt wurden. Würde mich wundern, wenn das aktuell nicht mehr passieren würde.

 

[Mornsgrans]

Ergänzung im Startbeitrag angefügt.

 

[Helios]

Die Firma MeDoc wurde letzthin ja gehackt. Der Verdacht liegt also sehr nahe, dass zu jenem Zeitpunkt der Trojaner eingeschleust wurde.

 

[Mornsgrans]

Eben bei Heise gelesen:
Edit 2:
Nachschlag von Heise

...
Sicherheitsforscher vermuten, dass Angreifer sich Zugang zum Update-System der MeDoc-Entwickler verschafft haben, um den Trojaner dort einzuschleusen. Die Software scheint die digitalen Signaturen ihrer Updates nur ungenügend zu prüfen, da das Trojaner-Update mit einem gefälschten Microsoft-Zertifikat versehen war.
...
Schaut man sich den Infektionsweg des neuen Trojaners an, wird deutlich, dass der Schadcode um einiges raffinierter ist als die ursprüngliche Goldeneye-Familie. Nicht nur, dass die Entwickler die wurmartige Verbreitung über die SMB1-Lücke der NSA (ETERNALBLUE) von WannaCry übernommen haben, sie haben außerdem weitere clevere Verbreitungsmethoden eingebaut.

Ab Seite 2 des Artikel wird es interessant. Dort wird u.a. beschrieben, wie NotPetya sich in Domänen-Netzwerk rationell verbreitet.

Unter anderem versucht der Trojaner sich auf die versteckten ADMIN$-Verzeichnisse anderer Rechner zu kopieren und sich dann per PsExec auszuführen – wozu Admin-Rechte in der Domäne benötigt werden. Schlägt das fehl hat NotPetya noch die Möglichkeit, sich direkt über die Windows Management Instrumentation Command-line (WMIC) auf dem Zielrechner zu starten. Um an die benötigten Rechte zu kommen, bringt NotPetya ein Passwort-Dump-Tool mit, das Werkzeugen wie Mimikatz und LSADump ähnelt.
...
Ähnliche Methoden kamen etwa bei Angriffen im Parlamentsnetz des deutschen Bundestages zur Anwendung.

 

[think_pad]

Man kann den Computer "impfen", um sich vor NotPetya/Petya/Petna/SortaPetya zu schützen.

Der Code des BATCH-Files lautet:

@echo off
 
echo Administrative permissions required. Detecting permissions...
echo.
 
net session >nul 2>&1
 
if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat
 
attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat
 
echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)
 
pause

Diesen Code als z.B. notpetaya.bat abspeichern, im WINDOWS-Verzeichnis C:\WINDOWS ablegen und dort als Admin (!) ausführen.

Er legt den Ordner C:\Windows\perfc und die Dateien C:\Windows\perfc.dll sowie C:\Windows\perfc.dat an und setzt sie read only, daher können sie vom Trojaner nicht mehr angelegt werden.

Ob man alles richtig gemacht hat, kann man testen, in dem man in C:\WINDOWS einen Ordner perfc anlegt: Es ist nicht mehr möglich...


----------------------
Quelle: https://www.heise.de/security/meldu...a-Ausbruch-wissen-3757607.html?artikelseite=3

 

[Mornsgrans]

Dazu muss aber auch erwähnt werden, dass diese Maßnahme nur kurzfristig wirken und schon bei der nächsten Version wirkungslos sein kann.

 

[think_pad]

Immerhin hat man zwei Wochen seine Ruhe...

 

[rennradler]

Verteilt sich über die Sicherheitslücke im SMBv1 Protokoll, für welche schon länger Patches zur Verfügung stehen. Wird in Windows 10 Redstone 3 entfernt werden.

Wie ist es möglich, daß eine bereits längst geschlossene Sicherheitslücke, die zudem vor kurzem medienwirksam ausgenutzt wurde, immer noch sperrangelweit offen steht?

 

[harpo]

Wie ist es möglich, daß eine bereits längst geschlossene Sicherheitslücke, die zudem vor kurzem medienwirksam ausgenutzt wurde, immer noch sperrangelweit offen steht?

Ganz einfach: Lernresistenz!

 

[Helios]

Microsoft hat sich nun dazu entschlossen, EMET (Enhanced Mitigation Experience Toolkit), anstatt wie vormals geplant zu streichen, in Windows 10 Redstone 3 in den Kernel zu packen. Eine erste Version mit vollständiger EMET-Integration erschien Mitte dieses Monats als Insider Build.

LG Uwe


@Kai W.:

1) Eine der bekannten Sicherheitslücken sitzt in Microsoft PatchGuard Kernel Protection (als GhostHook getauft) aller 64Bit-OSs. Entwicklern von CyberArk ist es gelungen, PatchGuard komplett zu umgehen und somit ein Rootkit auf Kernelebene zu installieren.

Wann MS diese Sicherheitslücke schliesst, ist jedoch noch unbekannt. Für MS steht ein Patch für GhostHook nicht im Vordergrund. Wieso dies seitens MS so betrachtet wird, weiss ich nicht. Schliesslich ist PatchGuard ja eine Kernelkomponente und sollte nicht umgangen werden können.

--------

2) Eine weitere, schwere Sicherheitslücke im Windows Defender wurde letzten Freitag mit dem ausserplanmässigen Patch geschlossen. Die Ausnutzung der Sicherheitslücke war lächerlich einfach. Der Angreifer musste lediglich eine missgestaltete Datei dem Opfer entweder über Email, Chat Messenger, File Download oder durch Anklicken einer infizierten Webseite mit einer JS Datei.

Es braucht keine Aktion seitens des Clients, da MsMpEng sofort anfängt, neue Inhalte auf einem Zielrechner zu scannen und der Angreifer erhält sofortige Kontrolle über den Zielrechner. Die gepatchte Version der Windows Defender-Engine lautet: 1.1.13903.0.

 

[Mornsgrans]

Wie ist es möglich, daß eine bereits längst geschlossene Sicherheitslücke, die zudem vor kurzem medienwirksam ausgenutzt wurde, immer noch sperrangelweit offen steht?

Wo steht es, dass DIESE Lücke für die Verbreitung verantwortlich ist? Diese dürfte weitgehend geschlossen sein und NotPetya nutzt andere Mechanismen, die offesichtlich "Features" sind, zur Verbreitung.

 

[tuxpad]

1) Eine der bekannten Sicherheitslücken sitzt in Microsoft PatchGuard Kernel Protection (als GhostHook getauft) aller 64Bit-OSs. Entwicklern von CyberArk ist es gelungen, PatchGuard komplett zu umgehen und somit ein Rootkit auf Kernelebene zu installieren.

Wann MS diese Sicherheitslücke schliesst, ist jedoch noch unbekannt. Für MS steht ein Patch für GhostHook nicht im Vordergrund. Wieso dies seitens MS so betrachtet wird, weiss ich nicht. Schliesslich ist PatchGuard ja eine Kernelkomponente und sollte nicht umgangen werden können.

[Spekulatius]
Könnte das daran liegen, dass CyberArk in seinem Blog schreibt:

Please note, this is neither an elevation nor an exploitation technique. This technique is intended for post-exploitation scenario where the attacker has control over the asset.

[/Spekulatius]

Hart gesagt: MS argumentiert dann damit, dass man ja für den GhostHook ohnehin schon in das System eingedrungen sein muss und betrachtet es daher als nachrangiges Szenario? Nicht dass ich das so teilen würde, es erhöht einfach die Komplexität der Ausnutzung.

Viele Grüße

tuxpad

 

[der_ingo]

Wie ist es möglich, daß eine bereits längst geschlossene Sicherheitslücke, die zudem vor kurzem medienwirksam ausgenutzt wurde, immer noch sperrangelweit offen steht?

Die Verteilung läuft in diesem Fall wohl über mehrere Methoden. Es wird versucht, über administrative Shares von PC zu PC zu kommen, was funktionieren kann, wenn mehrere Systeme die gleichen lokalen Adminkennwörter haben. Abhilfe ist hier z.B. LAPS, welches es auch nicht erst seit gestern gibt.
Zudem wird noch auf Passwörter gescannt mit einem eingebauten Tool, welches wohl ähnlich wie Mimikatz arbeitet. Abhilfe hier sind Schutzfunktionen wie CredentialGuard, die es nur in Windows 10 Enterprise gibt. Ob die allgemeine Härtung von NTLM in dem Fall was bringt, weiß ich nicht.
Zudem geht das Ding wohl etwas vorsichtiger vor und scannt nicht einfach das Netz nach Opfern, sondern bezieht in einer Domäne die Liste der anderen Computer ganz brav vom nächsten DC. Damit wird evtl. dann auch eine eventuell eingesetzte Überwachungssoftware nicht so schnell wegen "lateral movement" aufmerksam.

Das Ding ist also schon etwas komplexer, als dass man "nur" die olle SMB Lücke wieder angehen würde.

- - - Beitrag zusammengeführt - - -

Microsoft hat sich nun dazu entschlossen, EMET (Enhanced Mitigation Experience Toolkit), anstatt wie vormals geplant zu streichen, in Windows 10 Redstone 3 in den Kernel zu packen. Eine erste Version mit vollständiger EMET-Integration erschien Mitte dieses Monats als Insider Build.

In den Kernel selber wird das wohl nicht gepackt. Die entsprechenden Funktionen werden über das einimpfen einer DLL in die entsprechenden Prozesse nachgeladen, wie es bei EMET selber auch passiert.
Ich hoffe nur, dass man nicht den Fehler macht und auch diese Funktion nur wieder in die Enterprise Version packen wird, wie es bei z.B. CredentialGuard der Fall ist.
EMET hat ja den großen Vorteil, dass es überall läuft.

 

[Helios]

In den Kernel selber wird das wohl nicht gepackt. Die entsprechenden Funktionen werden über das einimpfen einer DLL in die entsprechenden Prozesse nachgeladen, wie es bei EMET selber auch passiert.

Gemäss diesem Artikel schon: Microsoft Will Embed EMET Into Windows 10 Starting This Fall


Nachtrag: Bleeping Computer - UPDATE [June 29, 06:20 EST]: After our article's publication, Microsoft published a third blog post detailing the GUI of the new Exploit Guard features in Windows Defender. Images are here.

 

[der_ingo]

Hmm...okay. Ich hatte mit der neuen Preview noch nicht groß getestet. Mal schauen, wie das dann konkret realisiert wird.
Scheint zumindest auch in Home Versionen verfügbar zu sein. Das ist schon mal positiv.

 

[Mornsgrans]

Heute bei heise:
NotPetya ist keine Erpressungssoftware, sondern ein sog. "Wiper", der Daten und MBR nichtwiederherstellbar verändert oder löscht. Einige Quellen schreiben auch von einer schlampig konstuierten Erpressungssoftware.

Darüber hinaus stellten Sicherheitsforscher bei einer genaueren Analyse auch noch fest, dass es gar nicht möglich ist, die von NotPetya angerichteten Schäden zu reparieren. So fand Matt Suiche heraus, dass NotPetya Teile des MBR irreversibel überschreibt – also keine Möglichkeit besteht, den Originalzustand wiederherzustellen. Kaspersky stellt in seiner Analyse fest, dass NotPetya sich nicht einmal die Mühe macht, eine echte ID für den infizierten Rechner zu erstellen.

...
Somit geht es den Hintermännern von NotPetya wohl nicht ums Geld. Das Ziel des Schädlings ist es, Daten unwiederbringlich zu vernichten, sind sich nahezu alle Experten einig. Sie sprechen dabei von einem sogenannten Wiper. Etwas ähnliches gab es bereits, als vor einigen Jahren ein Schädling namens Shamoon in Saudi Arabien vor allem bei Ölkonzernen in großem Stil Daten löschte. Das ganze Drumherum mit dem Verschlüsseln und der Lösegeldforderungen bei NotPetya diente wohl nur als Ablenkungsmanöver.
...

Einzige Einfallquelle war ein Update einer legitimen Software über das Netz.
der Verbreitungsmechanismus innerhalb der Netzwerke erfolgte ebenfalls nicht über Sicherheitslücken, sondern über normale Funktionen eines Windows-Netzwerks

Dazu missbrauchte er unter anderem auch legitime Netzwerk-Tools wie die Windows Management Instrumentation Commandline (WMIC) und psexec.

ähnlich wie bei Spionage-Software.

 

[think_pad]

Einige Quellen schreiben auch von einer schlampig konstuierten Erpressungssoftware.

Ich denke auch, dass es sich um einen Trittbrettfahrer des "WannaCry"-Trojaners handelt. Auch möglich, dass der jugendliche Autor bei dem privaten, ukrainischen Steuersoftware-Hersteller sitzt und er das Ding bloß ausprobieren wollte, und es dabei völlig außer Kontrolle geriet.

Es ist eben auch kein echter "Wiper", weil das Überschreiben der ersten 25 Sektoren eigentlich recht sinnlos und nutzlos ist. Auf dem ersten Sektor sitzt der MBR, auf dem vierten das Recovery und dann kommt bis zum 62 Sektor gar nichts.
Die eigentliche WINDOWS-Partition bleibt unangetastet und ist physisch vermutlich noch vorhanden und eventuell auch wieder herstellbar.

 

[Helios]

Die eigentliche WINDOWS-Partition bleibt unangetastet und ist physisch vermutlich noch vorhanden und eventuell auch wieder herstellbar.

Nein. Eine Wiederherstellung der Daten ist nicht möglich.

 

[think_pad]

Nein. Eine Wiederherstellung der Daten ist nicht möglich.

Wieso nicht? I'm gonna crying! Etwas genauer bitte...

 

[Helios]

Bleeping Computer - More Security Firms Confirm NotPetya Shoddy Code Is Making Recovery Impossible