EIP=0x41414141

hacking, reversing and other stuff

May 15, 2017 - 4 minute read - Kommentar Wanna Cry Ransomware Worm

Wanna Cry - Anmerkungen

Ich muss hier mal ein paar Anmerungen zur aktuellen Ransomware Welle durch Wanna Cry loswerden.

der Killswitch der keiner ist

Ich glaub ja nicht das der sog. Kill-Switch wirklich ein Killswitch ist. Ich glaube ja eher dass das eine Funktion ist die vom Urheber dafür gedacht war Analyseumgebungen zu detektieren. Wenn man die malware ohne Netzwerk aber mit einem Netzwerkemulator wie z.B. FakeNet startet dann führt diese Funktionalität dazu dass die Ransomware in einer solchen Analyseumgebung nicht aktiv wird.

Der Aufruf - um die sog. KillSwitch domain zu prüfen - nutzt explizit keine Proxies. Wenn man das bewusst als KillSwitch angelegt hätte, dann müsste dieser Aufruf natürlich möglicherweise vorhandene Proxies nutzen. Anders kommt man heutzutage nicht mehr aus internen Firmennetzen ins Internet.

unklarer Infection Vector

In den Medien lese ich in Zusammenhang mit Wanna Cry immer wieder man solle vorsichtig mit Emails von unbekannten und darin enthaltentn Links und Dateianhängen sein. Das ist natürlich richtig. Aber im Falle von Wanna Cry ist bisher völlig unklar wie der initiale Infection Vector aussieht. Ich habe bisher von niemanden gesicherte Information dass diese Malware wirklich per email kommt. Es könnte auch sein dass der Infection Vector ein ganz anderer ist.

die Schuldfrage

Meiner Meinung nach sind an der aktuellen Welle mehrere Beteiligte in unterschiedlichen Graden Mitschuld.

Microsoft

Microsoft hat die zugrunde liegende Lücke verbockt. Dafür trägt Microsoft die alleinige Schuld.

NSA

Die NSA hat die Lücke entdeckt, aber nicht an Microsoft gemeldet um uns alle sicherer zu machen. Stattdessen wurde die Lücke für eigene Zwecke genutzt um mehr oder weniger legitime Ziele anzugreifen. Selbst als die NSA wusste dass ihnen die Lücke und der dazugehörige Exploit geklaut wurde haben sie Microsoft nicht vorgewarnt. Erst im Zuge der Veröffentlichenung durch die Shadow-Brokers wurde Microsoft darauf hingewiesen und hat die Lücke dann auch schnellstmöglich geschlossen und ein Patch veröffentlicht.

Die NSA hat damit meiner Meinung nach leichtfertig die Sicherheit von uns allen geopfert um einen eigenen Vorteil zu haben. Je nachdem wie man zu Geheimdiensten und ihrer Arbeit steht kann man das für einen gewissen Zeitraum noch OK finden. Dass die NSA Microsoft aber nicht gewarnt hat selbst als ihnen klar sein musste dass u.a. diese Lücke anderen in die Hände gefallen war ist meiner Meinung nach nicht zu rechtfertigen.

Nutzer

Die Nutzer die nun Betroffen sind hätten es in der Hand gehabt. Nutzer die ihre Systeme brav gepatcht haben waren nicht betroffen, Nutzer die das nicht getan haben sind nicht unwesentlich mitschuld. Derlei Lücken patcht man sofort und mach da nicht lange rum. Wer nicht auf die Reihe kriegt seine Systeme zu patchen ist Teil des Problems und nicht Teil der Lösung.

Update | Do 1 Jun 2017 20:20:15 CEST

Ich habe heute mit einem Leitenden Mitarbeiter des BSI über WannaCry gesprochen. Der BSI Mann vertrat die Auffassung dass WannaCry:

  • ein Test dafür war was man mit einer solchen Malware erreichen kann.
  • dass es den Autoren nie um Geld gegangen ist
  • und dass die Autoren keine Amateure waren, sondern ausgebuffte Profis.

Was man mit einem Wurmable Exploit so alles anstellen kann wissen wir spätestens seit SqlSlammer, das muss man nicht unbedingt nochmal versuchen. Wenn es den Autoren nie um Geld ging, warum sollten sie dann diese Ransom Nummer abziehen? Das ist doch nur Arbeit die RansomNote in zig Sprachen übersetzten,… Wenn es einem nicht um Geld geht und man “nur” was austesten will, dann kann man sich den ganzen Klamauk sparen und einfach testen. Ohne diese RansomNummer hätten doch die meisten Opfer bis heute nicht gemerkt dass sie gep0wned wurden. Auf der anderen Seite fallen mir keinerlei Vorteil ein warum man trozdem so eine Ransom Nummer abziehen wil wenn man nicht an Geld interessiert ist.

Und zu der Meinung dass das augebuffte Profis waren sprechen meiner Meinung nach eine ganze Reihe von Tatsachen.

  • Profis haben das mit dem Threading verstanden und würden nicht so ein gemurxe machen.
  • Profis hätten verstanden wie man die NSA Lücke auch unter Windows XP nutzen kann und das nicht dermaßen versaubeutelt.
  • Profis hätten das mit der generierung von individuellen BitcoinAdressen hinbekommen und das nicht so versaubeutelt.
  • Profis denen es nicht um Geld geht hätten diese RansomNummer einfach sein lassen und still und heimlich die halbe Welt geowned - ähm ich meine ihre Tests vollzogen.
  • Profis hätten den sog. Killswitch - egal ob als killswitch oder als analyse detection - anders gebaut.
  • Profis hätten vermutlich auch EternalBlue und DoublePulsar anders eingebaut und nicht so stümperhaft da rein gefrickelt.

Mich hat das nicht überzeugt, ich bleibe bis auf weiteres bei meiner Meinung dass es Amateure waren die ursprünglich Geld machen wollten, dann aber gemerkt haben was sie angerichtet haben und kalte Füße bekamen und diese seitdem ganz ganz ruhig halten und hoffen dass sie nicht erwischt werden.

Desshalb denke ich auch dass diese ca. 100.000 Euro in Bitcoins auf den 3 fallback Konten niemals - oder zumindest nicht sobald - transferiert werden.