Pentest Blog

15. Mai 2017 – Secutorial

WannaCry: Die Güter falsch abgewogen

SySS-Geschäftsführer Sebastian Schreiber sieht eine "neue Qualität" von Malware und kritisiert die NSA für das Zurückhalten von Informationen über Sicherheitslücken

Am Freitag vergangene Woche begannen die Angriffe mit dem neuen Krypotrojaner "WannaCry". Diese Schadsoftware weist – im Gegensatz zu bislang bekannten Trojanern wie Locky oder TeslaCrypt – eine neue Qualität auf. Denn WannaCry nutzt verschiedene Möglichkeiten. Zunächst einmal erfolgt die Infektion, wie bislang auch üblich, über eine E-Mail mit einem Anhang, den das Opfer öffnet und so den eigenen PC infiziert. Danach aber geschieht etwas Neues: Der infizierte PC beginnt damit, über vorhandene Windows-Schwachstellen sämtliche im lokalen Netzwerk erreichbaren und ungepflegten Windows-Systeme ebenfalls zu infizieren. Das heißt, wir haben es hier plötzlich mit einem Kryptotrojaner zu tun, der sich wie ein "normaler" Virus innerhalb von Firmennetzwerken weiterverbreitet.

Neben dieser neuen Qualität der Verbreitung ist ein Aspekt in Bezug auf diesen neuen Kryptotrojaner besonders interessant: Der US-amerikanische Geheimdienst NSA ist mit Schuld an der Existenz von WannaCry. Die NSA kennt  nämlich die Windows-Schwachstelle, auf der die Weiterverbreitung des Trojaners fußt, schon seit vielen Jahren. Anstatt die Sicherheitslücke jedoch an den Hersteller zu melden, wurde diese geheimgehalten, um so über Hoheitswissen zu verfügen und anhand dieses Wissens selbst Windows-Systeme knacken zu können. 

Meiner Auffassung nach hat die NSA hier eine falsche Güterabwägung getroffen. Das Ziel des Geheimdienstes, selbst einen privilegierten Hackerzugang auf fremde Systeme zu haben, hat letztlich sämtliche betroffenen Windows-Systeme weltweit – allen voran die immer noch in vielen Industriebereichen eingesetzte Betriebssystemversion Windows XP – dem WannaCry-Angriff überhaupt erst ausgeliefert.

Besser wäre es gewesen, wenn die NSA die entdeckte Schwachstelle an Microsoft gemeldet hätte, wie es in der Security-Branche üblich ist. Auch die SySS GmbH veröffentlicht regelmäßig entsprechende Security Advisories in enger Abstimmung mit den betroffenen Herstellern (Responsible Disclosure Policy). Wäre eine solche Meldung der NSA erfolgt, hätte die Schwachstelle schon vor Jahren behoben werden können und WannaCry hätte es nie gegeben.

Ein weiteres, bislang so nicht bekanntes Merkmal eines Kryptotrojaners, das WannaCry aufweist, ist der sogenannte "Kill Switch". Die Autoren, die WannaCry geschrieben haben, sprich die Hacker und Erpresser, haben eine Abschaltmöglichkeit in ihren Kryptotrojaner mit einprogrammiert und zwar vermutlich, ohne dies wirklich zu wollen. Vereinfacht gesagt, funktioniert dieser Mechanismus so: Ein aktiver WannaCry prüft, ob eine bestimmte Domain im Internet registriert und erreichbar ist. Sollte dies der Fall sein, verbreitet sich die Schadsoftware nicht weiter. Doch zu welchem Zweck wurde diese Abschaltvorrichtung programmiert? Dazu gibt es derzeit unterschiedliche Theorien. Es könnte sich zum Beispiel um eine Sandbox-Erkennung handeln. Möglicherweise liegt hier auch eine Art "Notbremse" vor, mit der sich die Täter vorbehalten wollten, die Verbreitung von WannaCry selbst zu stoppen.

Fakt ist, dass ein mit 22 Jahren noch sehr junger Sicherheitsforscher sich diesen Code angeschaut und den Zweck dieser mysteriösen URL nicht verstanden hat. Also hat er für wenige Euro die angegebene Domain einfach registriert und somit verhindert, dass WannaCry noch größeren Schaden anrichten konnte.

Spannend ist nun aber der Blick in die Zukunft. Ich vermute, dass der Straftäter sich einmal wundert, dass der Kill Switch ausgelöst und sein Virus abrupt gestoppt wurde. Dann aber wird er hergehen und einfach zwei Zeilen aus seinem Angriffscode löschen und eine neue Malware-Version ohne Kill Switch losschicken Ich kann mir also sehr gut vorstellen, dass wir noch diese Woche eine zweite WannaCry-Welle erleben werden, die noch mehr Durchschlagskraft haben wird als die erste.

Termine

26.09.2017 - 28.09.2017
SySS-Schulung – Hack3: Angriffe gegen Windows-basierte Netzwerke
27.09.2017
IT-Sicherheitskonferenz an der Hochschule Stralsund, Matthias Deeg: SDR Hacking: Weniger Theorie, mehr Praxis
28.09.2017
Live-Hack mit Sebastian Schreiber, IT-GRC Kongress, Berlin
05.10.2017 - 06.10.2017
SySS-Schulung – Hack6: Mobile Device Hacking