Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 194 reacties

Politieorganisatie Europol is bang dat de wereldwijde aanval met de zogenaamde WannaCry-ransomware nog grotere vormen gaat aannemen. Beveiligingsonderzoekers zijn bang dat op maandag, wanneer de werkweek weer begint, de verspreiding grotere vormen gaat aannemen.

Dat zei topman Rob Wainwright in een gesprek met een Britse tv-zender, waarover de BBC rapporteert. Hij spreekt van een 'aanval zonder precedent', die waarschijnlijk in de komende dagen nog verder gaat escaleren. Een van de redenen is dat maandag de werkweek begint, en werknemers waarschijnlijk in phishing-mailtjes zullen trappen, waarmee zij slachtoffer kunnen worden van de ransomware.

Volgens Wainwright zijn er inmiddels meer dan 200.000 besmettingen geconstateerd met de ransomware, verspreid over meer dan 150 landen. Vooralsnog is Nederland weinig geraakt door de malware, al bleek zaterdag dat de parkeergarages van Q-Park te maken hebben gekregen met niet-functionerende toegangspoortjes en betaalterminals. Alhoewel getroffenen moeten betalen om weer toegang te krijgen tot hun bestanden, zouden volgens Interpol 'verrassend weinig' mensen daadwerkelijk tot betaling zijn overgegaan. De eerste inschattingen spreken van enkele tienduizenden euro's die naar de criminelen zijn gevloeid.

Er zijn vermoedens dat de vrijdag ontdekte Wana Decrypt0r 2.0-ransomware gebruikmaakt van een exploit uit het arsenaal van de NSA. Hacktools van de Amerikaanse inlichtingendienst zijn enige tijd geleden gestolen en gepubliceerd op internet. Dit weekend bleek ook dat er een killswitch is ingebouwd waarmee de aanval voorlopig was te stoppen. De vrees is echter dat er een nieuwe aanval wordt gepland met een nieuwe versie van de ransomware waarin deze killswitch niet langer is ingebouwd. Microsoft heeft een patch uitgebracht voor de getroffen besturingssystemen, waaronder Windows XP, waardoor zij niet langer vatbaar zijn voor infecties.

Moderatie-faq Wijzig weergave

Reacties (194)

>> Dit weekend bleek ook dat er een killswitch is ingebouwd waarmee de aanval voorlopig was te stoppen

Het was toch een knullig ge´mplementeerde sandbox-detectie die als "kill-switch" gebruikt kan worden en niet een ingebouwde kill-switch?

Maar goed, ik denk dat sysadmins er goed aan doen om de mailfaciliteiten maandagochtend even uit te zetten, tot een uurtje of 11. Dan eerst iedereen briefen en natuurlijk zelf eerst de spam verwijderen.

[Reactie gewijzigd door MaabuS op 14 mei 2017 13:32]

Correct. Sommige sandbox implementaties resolven alle domeinnamen voor analyse (wat probeert de malware te communiceren met dit adres?). Voor de software lijkt het alsof het domein echt bestaat.
De malware probeert dus een niet bestaand domain te resolven, is er een reactie dan weet het dat de malware in een sandbox draait.

In dit geval probeerde de malware de domeinnaam iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] com te bereiken welke niet zou moeten bestaan, en ging de malware er van uit dat hij in een sandbox zat als het domein wel bestond. Toen Malwaretech het domein registreerde leek het voor alle varianten alsof deze in een sanbox omgeving draaide en stopte deze met werken. Geen echte killswitch dus, maar wel de zelfde werking.

bron:
https://www.malwaretech.c...global-cyber-attacks.html

Het lijkt er op dat er al weer nieuwe varianten zijn welke een willekeurige domeinnaam genereren en/of niet meer controleren of ze in een sandbox draaien.
Edit 1:
Vals alarm, ik kan de berichten niet terug vinden. Ik verwacht deze varianten wel in de komende dagen.

Edit 2:
Edit: Zoals biglia aangeeft heeft het on-line gestaan maar zijn deze tweets verwijderd. (https://motherboard.vice....-struck-the-globe-is-back)

[Reactie gewijzigd door eltweako op 14 mei 2017 15:14]

Wat ik niet begrijp is dat ondanks registratie van die domeinnaam het aantal infecties blijft toenemen als ik de site van malwaretech moet geloven. Door de kill switch onderneemt de worm toch geen actie?! Of zit daarin het verschil? Wel ge´nfecteerd, maar geen versleuteling? Dan zou ik het kunnen begrijpen.
het is niet uitgesloten dat sommige systemen niet op internet zijn aangesloten. Een volledig aanname, maar in het geval van Q-park zou het kunnen zijn dat een intern systeem (eerder) is getroffen, en doordat deze zichzelf intern kan verspreiden over SMB, terecht komt bij de terminals 'op straat', welke wellicht geen routing naar het internet hebben (of een interne DNS server gebruiken) en dus de genoemde domeinnaam (killswitch) niet kunnen resolven, dus vrolijk doorgaan met files encrypten.
Ja, dat is een goede, maar ik zou zeggen dat-ie dan ook niet meerdere keren in de statistieken komt. Ik neem aan dat als een bedrijf wordt geraakt en daar staan 100 computers, het maar als 1 infectie telt.
Natuurlijk telt dat niet als ÚÚn infectie. Ieder apparaat met een infectie is een infectie. Volgens jouw redenatie zou een enorm bedrijf met duizenden computers die besmet zijn ÚÚn infectie zijn en de laptop van je moeder ook ÚÚn infectie. Dat zou de boel uiteraard behoorlijk vertekenen :P
Je zal gelijk hebben, maar dan klinkt 200.000 infecties meteen niet meer als heel veel, zeker in de wetenschap dat thuisgebruikers (nog?) niet of nauwelijks ge´nfecteerd zijn.

Deze is trouwens ook wel aardig: https://intel.malwaretech.com/pewpew.html Daar zie je "a live map which will display a blip every time an infected computer pings one of my tracking servers"
natuurlijk wel, het uitgaande ipadres van een lan telt als 1 infectie of daar nu 1 pc achter hangt of 10.000 ga je echt niet zien in de life tracker en die telt alleen unieke ip's
Gelukkig, dat was ook mijn gedachte.....
Is de conclusie wel goed van de ontdekkers van de killswitch. Want degene die dus de killswitch resolven , dat zijn systemen die Wel besmet zijn, maar niet geencrypt.
De systemen die de killswitch niet resolven, en dus niet bekend zijn , zijn de systemen die er last van hebben. Het probleem is dus groter dan de systemen die de dns resolve doen.
Systemen die naar internet connecteren via een proxy. Uit onderzoek blijkt dat de worm een rechtstreeks connectie opzet, wat dan niet lukt.
En daar zit het gevaar in. De live tracker laat alleen maar infecties zien die aankomen bij de sinkhole. Dat zijn systemen waar de malware verder niets gaat doen omdat hij het domein kan bereiken. Die systemen krijgen de malware waarschijnlijk via de SMB exploit of door aanklikken van mail met de malware er in.

De gevaarlijkste zijn de bedrijven met een proxy. De malware kan niet verbinden via de proxy en gaat daarom gewoon aan de slag met wat hij moet doen. Deze infecties worden dus niet geregistreerd.
Dan zou ik als adminitrator toch eventjes iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com in de DNS naar een lokale web server laten wijzen. Is toch niet te veel moeite?
Het lijkt er op dat er al weer nieuwe varianten zijn welke een willekeurige domeinnaam genereren en/of niet meer controleren of ze in een sandbox draaien.
Heb je toevallig een bron daarvan?
https://motherboard.vice....-struck-the-globe-is-back
Update: Originally, this piece included quotes from a second security researcher who tweeted he had found samples without the so-called killswitch. The researcher has since deleted those tweets and Motherboard has removed them from the article. Another researcher confirmed they have seen samples of the malware without the killswitch.
Bedankt, ik begin nog niet helemaal gek te worden dus.
Is een kwestie van tijd, gebruik deze tijd goed om je te "wapenen" tegen deze malware.
Niet alleen deze malware maar alle malware. Er kunnen] meer varianten van ransomware komen die dezelfde of andere exploits gebruiken van de NSA tools. Het is denk ik alleen maar een kwestie van tijd.
Conclusie blijft nog altijd dat men dus niet zomaar op linkjes in de email klikt of attachments opent
Die dingen zijn zo goed vermomd, dat je het een gebruiker eigenlijk gewoon niet kan aanrekenen.
Zoals laatst in Duitsland, een spearphishing campagne met een op naam gestelde brief, aangepaste functie, en een excel erbij met de payload.
"Open dan geen macro's" kan je stellen. Maar ik zou stellen: bouw die rotzooi niet in. Die beveiligde modus is leuk, maar als ik niet iets kan printen zonder die modus te verlaten :?
Volgens mij kun je gewoon printen hoor, alleen niet met een button op de sheet zelf. Kan het mis hebben maar volgens mij doet ctrl+p en print via het menu het gewoon.
Ja, hier ook nog niks over gehoord en ik zit er sinds vrijdag al bovenop..
Ik wou hier een link plaatsen naar een discussie op een ander forum. Maar het lijkt er op dat deze verwijderd zijn. Waarschijnlijk vals alarm. Ik heb mijn reactie hierop aangepast.

Ik ga er wel van uit dat in deze varianten in de komende dagen verspreid gaan worden.
Dus de volgende malware schrijver zal een random gegenereerde url gebruiken.
Belangrijk om te beseffen is dat de meest secure netwerken geen http toegang naar buiten zullen toestaan en dat de "kill-switch"/anti-analysis code niet zal kunnen verbinden met dat domein. Tevens is mijn ervaring dat juist op deze netwerken software patches niet zo snel worden uitgerold.
Als bijv. een engineer zijn infected laptop in zo'n netwerk hangt dan gaat het los.
We gaan het zien als men weer aan het werk gaat..
Ik las ergens dat indien je bedrijf een proxy gebruikt het ook nog steeds actief zou zijn... vermoedelijk tracht de code dus rechtstreeks naar buiten te gaan (en kijkt het niet naar de proxy settings) wat dan mislukt zodat het toch niet inactief is.
Er zijn al nieuwe varianten ontdekt. Er is ook een nieuwe killswitch ontdekt, die ook weer geregistreerd is: https://blog.comae.io/wan...nts-detected-b8908fefea7e
Het was een website die op het moment dat de worm deze kon benaderen zijn verdere activiteiten kan stopzetten. Naar mijn weten kun je dit niet gebruiken als sandbox detectie gezien deze in de sandbox de website ook niet had kunnen bereiken. Ik vermoed dat het eerder gaat om een update mechanisme wat op deze manier pergeonluk is gesloopt of een daadwerkelijke killswitch.
De malware vraagt om een reply van dat domein maar zal nooit een reply krijgen omdat dat domein niet geregistreerd is.

Sommige sandbox omgevingen geven wel een reply aan de software die daar binnen in draait.

Als het domein online is.. draait het niet in de "echte wereld"
Als het domein offline is.. draait het in de "echte wereld"

Uiteraard ging de schrijver er niet van uit dat iemand het domein ging registreren.

Op malwaretech kan je het met wat meer details teruglezen.
In een sandbox kan je een niet bestaand domein uiteraard makkelijk toch aanmaken. Op mijn mac is het 10 sec werk.
Windows ook,

c:\windows\system32\etc\hosts editten en het domein toevoegen met een bestaand IP erachter (b.v. 8.8.8.8, de DNS server van Google)
Het mag ook localhost zijn denk ik, het gaat er om of het bestaat of niet bestaat. Heeft natuurlijk nog weinig zin nu het domein ook werkelijk geregistreerd is.
Hmmm... Heeft iemand dat al geprobeerd ergens? Eerste wat ik als blackhatter zou doen is bij dit soort dingen juist dat soort zaken 'vastzetten' zodat gebruikers daar niet mee gaan klooien om mijn virus/malware dwars te zetten. Maar gezien het feit dat de maker van WannaCry sowieso eea over het hoofd gezien zou het zomaar maar kunnen....
Sandbox detectie is een techniek om analyse van malware lastiger te maken. Er zullen niet veel gebruikers zijn die ransomware binnen krijgen, de sandbox detectie eruit patchen en het vervolgens nog een keer op hun eigen systeem draaien. 8)7
... Ik zie net dat ik niet goed had gelezen/iets was vergeten in mijn reply en vergeten was dat het om een sandbox ging...
Na system32 moet je toch eerst de drivers-map kiezen?
ligt aan je windows versie :)
Ben ik benieuwd welke, want voor NT, 2000, XP, 2003, Vista, 2008, 7, 2012, 8 en 10 geld bovenstaande.
Same difference in dit geval. Het was hoogstwaarschijnlijk inderdaad bedoeld als sandbox-detectie om analyse te bemoeilijken, maar omdat de check van maar ÚÚn enkel hard-coded domeinnaam gebruik maakt, is het daarmee ook effectief een kill-switch.
Rare sandboxdetectie...
Als website bestaat, dan stoppen... in welke sandbox zou die website bestaan?

Edit: eltweako legt het goed uit. Weer wat geleerd :)

[Reactie gewijzigd door SunnieNL op 14 mei 2017 13:38]

Soms wil je het DNS gesprek kunnen volgen. Heeft iemand trouwens meer weet van
sandbox/debug omgevingen met die en andere nuttige functionaliteiten ?
Dit kan alleen de schrijver zeggen denk ik. Die hoogstwaarschijnlijk wel gepakt gaat worden aan het aantal infecties te zien.
Maar het gaat toch helemaal niet om mails of spam? Het gaat als ik het goed begrepen heb om directe aanvallen op openstaande poorten waarbij een wormvirus wordt ge´nstalleerd. Dus laat die mailfaciliteiten maar zitten, patchen die handel als dat nog niet gebeurd is. En ik neem aan dat de computers bij de meeste bedrijven gewoon zijn blijven draaien in het weekend, dus maakt het ook niks (nou ja, weinig dan) uit of je alsnog de hele handel plat legt. Als je nog niet ge´nfecteerd bent, is de kans klein dat het nou net gebeurt als iedereen binnen is. Maw, in de tijd tot de patch ge´nstalleerd is.
Het is trouwens opvallend dat er tot nu toe zo goed als geen thuisgebruiker ge´nfecteerd lijkt te zijn. Daar hoor ik iig niks over. Op BleepingComputer is er zelfs sinds 5 mei maar 1 post geplaatst en dit is toch wel de plek waar particulieren in paniek naar toe rennen om om een decryptor te vragen.
Heel interessant allemaal.
Ja en Nee. Er is mail in omloop met de worm als attachment voor de verspreiding over internet. Eenmaal binnen de muren van de firewall/router zal de verdere verspreiding via de SMB gebeuren.
De constructie de de meeste wormen gebruiken.
Dat begrijp ik, maar volgens mij is er nog geen aanval bekend van WannaCry via een e-mail oid. Dus mijn vraag blijft....
Ik mag hopen dat de systemen die nu getroffen zijn niet direct aan internet hangen.
De SMB poorten zet je normaal gesproken niet open voor de buitenwereld.
Dacht dat Windows Firewall SMB verkeer by default blocked.
Waarom noemt iedereen dit een aanval/attack? "Global Cyberattack Hits 150 Countries, Europol Chief Says". We noemen het toch ook geen Ebola aanval, maar een Ebola outbreak. Er wordt hier totaal random gezocht door de software naar kwetsbare machines, en de maker was uit op geld, niet op het lamleggen of wat dan ook. Als morgen Samsung's TV's op afstand door een virus met een ransom-payload wordt getroffen, is het dan ook een attack, of een virus outbreak?

Is het woord 'aanval' niet wat foutief suggestief, en zou 'uitbraak' of 'besmettingen' niet meer de lading dekken? Beide zijn niet 100% correct, maar mij lijkt aanval zo overdreven. Of weet iemand een beter woord?
Typische sensatiezucht van de media. Let ook op de foto's die vaak bij dit soort artikelen geplaatst worden. De BBC zet er een jonge knaap met een hoodie bij, zijn gezicht vermomd door groene cijfertjes Ó la Matrix. Anderen tonen een duister kamertje met dreigende handen boven een toetsenbord enz. Los van het feit dat dit inderdaad een ernstige zaak is, is dit natuurlijk gewoon pure brainwashing en bangmakerij.
Ja die foto's zouden beter kunnen. Maar ergens Ýs het wel degelijk een aanval. Deze exploit wordt door iemand of meerdere personen ingezet om slachtoffers te maken. Dan spreken we van een aanval en dekt zo'n stomme foto misschien wel de lading. Al is het erg fantasievol.
Wanneer een virus 'ingezet' wordt als aanvalsmiddel, kan wel degelijk gesproken worden over 'aanval'. Hoe dat virus dan vervolgens de kwetsbare systemen detecteert en infecteert, lijkt me niet zo relevant voor de woordkeuze in die gevallen.
wat is dan het doel?
Als het virus het middel is en geld het doel, is het dan wel een aanval?
Dan lijkt het me meer een overval. Of, zoals hierboven gesteld, een uitbraak.
Ebola is een virus dat op zichzelf staat, niemand heeft er baat bij en er is niemand die Ebola op iemand "afstuurt".
WannaCry is door iemand gemaakt en bewust op systemen afgestuurd. Er is ook iemand die er baat bij heeft zodra mensen het losgeld betalen.

In dit geval is het dus geen uitbraak maar een daadwerkelijke aanval van een persoon of groep welke computersystemen aanvalt om hier zelf beter van te worden.
Volgens mij noemen wij dat wat je hier beschrijft een overval [robbery], geen aanval [attack].

Maar goed, rudimentair taalgebruik in de media schotelt ons inderdaad een 'aanval' voor. Kan zijn dat dat de definitie gaat blijven, kan ook zijn dat we ransomware als overvallen en de daders erachter als overvallers gaan bestempelen. Of wellicht als gijzelnemers.

[Reactie gewijzigd door Timoo.vanEsch op 14 mei 2017 21:59]

Het is toch daadwerkelijk een aanval. Het woord dekt de lading en het gevaar.
Dit is een zelfverspreidende vorm van malware. Andere malware wordt meestal actief verstuurd om mensen te lokken. Maar dit zoekt bekende gaten in systemen en stuurt zichzelf actief door naar een volgend systeem. Het schakelt elk systeem uit in principe, garantie tot decryptie heb je niet als je betaalt. Hoofddoelen zijn bedrijven met grotere netwerken met achterstallig onderhoud en na´eve werknemers. Slagingspercentage van infectie BEWUST hoog, met vooraf te voorspellen gevolgen voor dingen die niet alleen invloed hebben op inkomsten van een bedrijf. Wetende dat overheidsinstellingen, ziekenhuizen, noodvoorzieningen etc lam komen te liggen.

Het is een aanval. Geen eufemisme voor nodig, dit is ernst.

Hopelijk schudt het mensen ook eens wakker en zien ze wat de echte gevolgen zijn in plaats van na´viteit voorop te stellen en een vals gevoel van onaantastbaarheid te laten voortbestaan.

Het is net zo triest als een gevaarlijk kruispunt waar mensen pas als er echt iets misgaat actie ondernemen om het veiliger te maken.
Ebola is niet door iemand gemaakt om mensen te doden. Het is in de natuur ontstaan.
WannaCry is wel door iemand gemaakt om computers te gijzelen.

Wanneer ik op de Dam met een pistool in wilde weg om me heen ga schieten, wordt dat ook een aanval genoemd, zelfs wanneer ik niet bewust op bepaalde voorbijgangers mik.
Mijn klant zijn server was aangetast. De infectie gebeurt zonder interactie van de gebruiker. Restore gedaan, de volgende dag terug ge´nfecteerd. Terug restore gedaan, onmiddellijk Windows Update gedaan en nu al drie dagen geen infectie.
Dus servers zo snel mogelijk updaten.
Dan zit er in zijn netwerk nog ergens een pc met infectie. Opsporen die handel.
Hoeft toch niet ? Mogelijk kan er een stukje intelligentie in de worm geschreven zijn.
Bv :

- Worm scant ip adres
- Ziet dat deze kan infilteren
- Stuurt info terug aan de command server met ip en ok
- Vervolgens word de computer gegijzeld
- Software stuurt steeds een ack naar de command server
- Zodra er geen antwoord komt, wordt het ip in kwestie weer benaderd om een herstelde computer opnieuw te besmetten

Even simpelweg opgeschreven..
Het idee is dat de worm zich of via phishing mails met executables, of via SMBv1 verspreid. Ik ga ervanuit dat __Rza gezorgd heeft dat SMBv1 niet benaderbaar is via het publieke internet (zoals standaard is, je wil nooit dat SMB benaderbaar is via internet). Als er dan een herinfectie is zonder gebruikersinteractie, moet er dus een computer in hetzelfde lokale netwerk zitten die ge´nfecteerd is.
Tenzij ik me heel erg vergis, gebruikt de ransomware onder meer de poortscan techniek om zwakke plekken op te sporen en infecteert via daar als de poort aan de eisen voldoet.

Daarnaast installeert de ransomware ook DOUBLEPULSAR als het nog niet erop staat. DOUBLEPULSAR is een soort van worm/doorgeefluik die echter niet zichzelf permanent vastzet (waardoor het dus vlugger eraf gegooit kan worden, maar ook moeilijker opspoorbaar is). Het betekend dat WannaCry (dat zichzelf ook in een netwerk verspreid als het kan) altijd terug kan komen zolang 1 onderdeel van het netwerk een infectie van DOUBLEPULSAR heeft of de beveiliging niet op orde heeft.
Ja of de server is op 1 of andere manier wel van buiten te bereiken. Een port scan alleen zal stranden in de router tenzij deze is geforward naar de server.
Terug restore gedaan, onmiddellijk Windows Update gedaan en nu al drie dagen geen infectie.
Rijst de vraag waarom je die update niet al gedaan had.
Niet toevallig RDP openstaan ? ;)
Dus systeembeheerders in de wereld:
- installeer de patch op alle pc's
- zet smb1 uit
- isoleer de XP machines binnen het netwerk

En stuur al je werknemers naar huis om te voorkomen dat er iemand op een phisingmail klikt :)

Overigens geloof ik niet dat NL er geen last van gaat hebben. De overheid in Nederland werkt niet op vrijdag, dus die gaan allemaal nog aan t werk terwijl de malware mogelijk al op hun systemen sluimerd. En ik denk dat er maar weinig systeembeheerders zijn die dit weekend de patch al hebben ge´nstalleerd.
Het installeren van de patch en het uitschakelen van SMB1 zorgt er (helaas) alleen voor dat het virus zich niet over het netwerk kan verspreiden. De computers kunnen nog steeds ge´nfecteerd worden en alle bestanden versleutelen als iemand een phishing mailtje opent.

Wat ook helpt is in je firewall alle TOR exitnodes als blocklist opnemen. De meeste malware, waaronder deze, maakt verbinding met een C&C server om een key te krijgen voor het versleutelen van je data. Als deze niet bereikt kan worden gebeurt er verder weinig.
Lijst met tor exit nodes: https://www.dan.me.uk/torlist/ .
Het is geen garantie, maar alle beetjes helpen.
Beste methode in dit geval is whitelisting, dan kan de malware gewoon niet starten. Dat implementeer je echter niet in een paar uur helaas.
Er wordt binnen bedrijven nog veel te weinig gewerkt met lijsten van toegestane executables en dat is spijtig. Het zou in professionele omgevingen zoveel problemen kunnen voorkomen.
Klopt volledig, de functie zit zelfs standaard in de Windows policies als ik mij niet vergis? Gewoon alle .exe's oplijsten die de werknemers mogen gebruiken en klaar.
Gebruiken ze dan niet powershell, of IE of whatever om javascript te executen of zo?
Er wordt binnen bedrijven nog veel te weinig gewerkt met lijsten van toegestane executables en dat is spijtig. Het zou in professionele omgevingen zoveel problemen kunnen voorkomen.
En dan blijken toch best wel veel gebruikers extra applicaties te gebruiken, ook gewoon gekochte pakketten, en moet je weer een procedure in het leven roepen om die applicaties ook te whitelisten. Van die applicaties komen er trouwens weer updates, die moet je ook whitelisten en zo wordt het beheer een onoverzichtelijke brij.

Ja whitelisten is in sommige situaties zeker aan te bevelen, maar het is zeker geen fits-all-oplossing.
Als whitelisting grootschalig gebruikt gaat worden, zal malware zich op bestaande applicaties richten. (Zoals Word of Excel.) Op de lange termijn is whitelisten geen oplossing: Het geeft zelfs een gevoel van schijnveiligheid.
Het is een extra layer boven op bestaande security. Puzzel stukjes die te samen een security vangnet vormen.

En bestaande apps targeten doen ze al, de malware komt niet voor niets binnen.
Het installeren van de patch en het uitschakelen van SMB1 zorgt er (helaas) alleen voor dat het virus zich niet over het netwerk kan verspreiden. De computers kunnen nog steeds ge´nfecteerd worden en alle bestanden versleutelen als iemand een phishing mailtje opent.
?? Volgens Kaspersky:
"Our analysis indicates the attack, dubbed “WannaCry”, is initiated through an SMBv2 remote code execution in Microsoft Windows. This exploit (codenamed “EternalBlue”) has been made available on the internet through the Shadowbrokers dump on April 14th, 2017 and patched by Microsoft on March 14."
https://securelist.com/bl...tacks-all-over-the-world/

Volgens Microsoft:
To exploit the vulnerability, in most situations, an unauthenticated attacker could send a specially crafted packet to a targeted SMBv1 server.
https://technet.microsoft...ty/ms17-010.aspx#ID0ERPAG

Dit lijkt te betekenen dat er geen phishing mail nodig is, als de SMB poorten openstaan en SMB niet gepatcht kan je inbreken, of mis ik iets?

[Reactie gewijzigd door kidde op 14 mei 2017 14:33]

Nee, je hebt het juist.
Met de exploit kan een computer welke niet gepatched is zonder interactie van de gebruiker ge´nfecteerd worden.
Wat ik met mijn reactie aangeeft is dat als het systeem gepatched is, je alsnog d.m.v. een phishing mailtje ge´nfecteerd worden. Op het moment denken veel mensen dat het virus niet werkt als je systeem gepatched is.
Nee! Dat phishing mailtje werkt alleen als je beheerders rechten hebt en niet gepatched bent, geen anti-virus/antimalware software draait en zo dom bent om die bijlage te openen.

Eigenlijk best een lijst dus en dat geeft meteen aan hoe slecht het gesteld met de generieke beveiliging van deze netwerken. Laat ze aub allemaal besmet raken, misschien leren ze daarvan.

Gelukkig zijn er ook nog bedrijven die nergens last van hebben en hun spulletje wel voor mekaar hebben. Een simpele waarschuwing naar de werknemers met wees voorzichtig wat je opent is dan voldoende. Trouwens de mailserver kan dit soort rommel ook nog uitfilteren.
Voor ransomware heb je geen beheerdersrechten nodig, en patches zorgen er alleen voor dat exploits extern niet werken. Als iemand nietsvermoedend de factuur opent waar hij/zij op zat te wachten kan het zo zijn dat alles versleuteld wordt. Helaas is anti-virus software er vaak te laat bij.

Ransomware kun je niet altijd voorkomen, daarom zijn back-ups zo belangrijk.

Video waarin WannaCry uitgevoerd wordt in een up-to-date w7 systeem:
https://www.youtube.com/watch?v=fkF4IVW5xiQ&t=0s

[Reactie gewijzigd door eltweako op 14 mei 2017 15:30]

En het probleem met ransomware is wel vaak dat die niet meteen zijn gezicht laat zien, maar eerst een paar dagen/weken in de achtergrond draait om zo te zorgen dat ook je backups fubar zijn.
Ik backup het meeste met een cloudopslag. Dan is het altijd real time gebackuped en kan je een versie terug.
de versleutelde bestanden worden dan ook geupload, en niet alle cloudopslag providers ondersteunen bestandsgeschiedenis.
Maar die ik gebruik wel ;) en het is dan geen ramp als de versleutelde bestanden worden geupload. En in het andere geval trek je je internetkabel eruit als je het (optijd) merkt en dan kan je alleen maar hopen dat hij nog niet alles heeft geupload naar de cloud.
als die bestandsgeschiedenis betrouwbaar is dan gaat dat wel goed ja, maar bij onedrive bijvoorbeeld vind ik het niet zo betrouwbaar
onewatte? die ene wat van dat besturingssysteem is, perfect geintegreerd zou kunnen zijn maar vaak niet synced of update? Ik gebruik er meerdere trouwens, voor muziek fotos en bestanden alle 3 een andere.
Wannacry wordt hier wel uitgevoerd met admin rechten en uac uit.
Het eerste wat het namelijk doet is icacls en attrib gebruiken om de security op bestanden naar beneden te trekken. Daarna start het cmd.exe om shadowcopies uit te schakelen. Icacls en die cmd vereisen admin rechten en triggeren op een normaal systeem een uac melding. Daarnaast wordt er geschreven in hklm wat ook een uac trigger is.
Ik zou wannacry zelf moeten uitvoeren om te weten wat het precies doet zonder admin rechten.
Ik verwacht dat het net zoals andere ransomware varianten alleen bestanden versleuteld waar de gebruiker rechtstreeks toegang tot heeft. De UAC zal zeker getriggerd worden voor de door jou genoemde stappen.
dat phishing mailtje zal altijd werken ongeacht je rechten, het zal alleen je eigen bestanden versleutelen en andere bestanden waar je rechten op hebt. het is vermomd als een bestand wat je normaal ook opent. een virusscanner zal het niet zo snel als virus zien, als deze nog niet in de definities is opgenomen.

[Reactie gewijzigd door mjz2cool op 15 mei 2017 10:35]

Ik zat al te zoeken op de updates, maar ik kon niks recents vinden. Jij bevestigt netjes in je quote dat dit al een tijdje gepatched is (indien je die updates hebt gedraaid).
Ik heb in mijn WIN7 pro, de "server" service disabled. Hiermee is volgens mij ook smb1 smb2 en 3 uitgeschakeld.

Dit kan je uiteraard enkel doen indien je geen files/printer sharing (op basis van windows specifieke protocollen) doet binnen je lokale netwerk.

Ik draai geen anti virus of defender plus k loop jaren achter op security patches.. Dus de enige bescherming die ik heb is alles wat ik niet gebruik, en gevaar kan opleveren te disablen. Maar ook met virus scanner is dit een goeie praktijk.

[Reactie gewijzigd door denPes op 14 mei 2017 14:32]

Off topic, maar waarom gebruik je geen antivirus? Een AV vergroot de attack vector in sommige gevallen, maar er zijn ook prima on-demand oplossingen (zodat je geen on-access of pro-actieve AV of suite hoeft te gebruiken die altijd meedraait).

On topic, ik vind je gedachtegang interessant. Ik weet niet of het uitschakelen van SMB voldoende is om deze vulnerability te 'fixen'. Theoretisch kan het zijn dat het uitschakelen geen effect heeft op de werking van de exploit.
Ik heb nooit AV gebruikt op win7, en ook geen defender. Ik ben van mening dat AV een lapmiddel is, en dat je beter de werkelijke oorzaken kunt aanpakken. ( niet als admin draaien, scripting host disablen, services disablen, netwerk protocollen, en alle functionaliteit waarbij windows zorgt voor hulp en automatisch gemak, etc etc etc. ). 'k gebruik wel de windows firewall voor IN en uitgaand verkeer.

het is gewoon een methode. Firewall + antivirus en laatste patches is ook een methode. Ieder zijn ding.

Volgens mij is het zo dat als je smb disabled, deze exploit niet meer gebruikt kan worden. En nog vele andere mogelijke exploits ook niet.
Off topic, maar waarom gebruik je geen antivirus? Een AV vergroot de attack vector in sommige gevallen, maar er zijn ook prima on-demand oplossingen (zodat je geen on-access of pro-actieve AV of suite hoeft te gebruiken die altijd meedraait).
Ze zijn traag, ze zijn invasief, ze adverteren erop los, ze herkennen 'system files', ze minen userdata, etc ...

Alsnog moet je vaak toch zelf de dinstinctie kunnen maken tussen false positive of niet. En een wansmakelijk en vooral verwarrend science-fiction thema helpt hierbij niet.
Je kan XP ook gewoon patchen, dus er is geen reden om deze computers te isoleren. Tenzij de hackers een XP zero-day gebruiken, maar dat is nog niet aangetoond.
XP is over & out - dat moet eruit. Dat had de les moeten zijn - idem voor Vista. Uw goedbedoeld advies kan net een averechts effect hebben dus. Nu brengt Microsoft nog even een fix uit - de volgende keer kan't anders zijn.
Ik ben het met je eens hoor, probleem is vooral dat veel bedrijven gewoon niet over willen gaan omdat software pakketten niet meer beschikbaar zijn.
Ik zelf zou het wel weten, maar voor die bedrijven is het gewoon een kosten/baten analyse.
Welke extensie heeft de bijlage in de phishingmail eigenlijk? Is het een exe? Of iets van dotm ofzo?
Meestal zijn het ZIP-files met daarin een .exe (al dan niet met dubbele extensie) of tegenwoordig ook vaak ,js (Javascript) bestanden.

Hoewel ik even niet weet of dat in dit specifiek geval ook zo is, ik heb (gelukkig) nog geen email met deze ransomware ontvnangen.

En ja, het kan natuurlijk ook in Office-documenten verspreid worden (.docm, .xlsm etc).
Ter aanvulling; Tot nu toe is er volgens mij geen enkel voorbeeld van een phishing mail welk deze malware verspreidt. Alleen mensen die er angstig voor zijn en voor waarschuwen.
Laat de NSA maar voor de schade opdraaien ... $$$
Als iemand jouw auto steelt en er een ramkraak mee pleegt zou jij ook de schade willen vergoeden?

Ik vraag me af of oplossingen zoals Advanced Threat Protection wat ze recent bij ons in gebruik hebben genomen nog het beste antwoord zijn op dit soort problemen.
Dat is geen correct vergelijk.
De NSA gebruikt zwakke plekken in software om te kunnen spioneren terwijl men weet dat deze zwakke plekken enorm veel schade kunnen veroorzaken. Zwakke plekken moeten gewoon direct gemeld worden aan de softwaremaker zodat die ze kan dichten. Vroeg of laat worden overheden zelf slachtoffer van deze praktijken.
Je kunt het beter vergelijken met een situatie waarbij Justitie weet dat iemand een moord gaat plegen maar Justitie grijpt niet in omdat ze willen weten wie allemaal tot de kenniskring van de moordenaar behoort. Dat zou iedereen onacceptabel vinden, maar in de digitale wereld wordt dit gewoon geaccepteerd.
De politie weet dat er ergens een moordwapen ligt dat criminelen ook weten liggen, en justitie noch politie halen het wapen weg.
Ze weten niet alleen dat het er ligt maar maken er ook gebruik van dat het er ligt om het gedrag van mensen in de gaten te houden en nemen daarmee bewust het risico dat er een misdrijf gepleegd wordt.
De vergelijking gaat nog verder.

Men ontdekt dat het slot dat op vrijwel alle deuren van alle huizen in hun eigen land en in het buitenland zit gebreken heeft.
Men meldt deze gebreken niet.
Men licht het publiek niet voor over deze gebreken.
Men ontwikkelt, gebruik makend van die gebreken een loper waarmee men alle deuren kan openen.
Men laat deze loper in handen vallen van criminelen.
Criminelen gebruiken de loper om massale aanvallen mee uit te voeren
Ondanks dit alles vindt men het toch niet ironisch om zichzelf 'veiligheidsdienst\ te noemen.

Helaas is dit nog niet het ergste dat ze gedaan hebben. In dit geval maken ze gebruik van de gebreken in het product van een commercieel bedrijf. Maar die gebreken zijn niet hun schuld. We weten inmiddels echter dat ze ook zijn ge´nfiltreerd in allerlei bedrijven om actief gebreken toe te voegen.

Analogie: infiltreren in de slotenmaker om actief gebreken in het slot toe te voegen dat op de deuren van alle panden in het eigen land zit en je dan veiligheidsdienst noemen...
Precies, en het is jammer dat een groot deel van onze volksvertegenwoordigers en bestuurders het gevaar er niet van inzien en willen instemmen met wetten die op dit gebied steeds verder gaan. Het middel wordt erger dan de kwaal.
Maar wie heeft nu de grootste schuld? Degene die als ÚÚn van de weinige weet dat dat gebrek in die sloten zit, of diegene die dat gebrek aan de grote klok hangt?
Maar wie heeft nu de grootste schuld?
Goede vraag
Degene die als ÚÚn van de weinige weet dat dat gebrek in die sloten zit,
Dat is niet ÚÚn van de weinige, sterker nog hij gebruikt het en stelt het ter beschikking van de criminelen.
of diegene die dat gebrek aan de grote klok hangt?
Dat is in deze Shadowbrokers geweest die nu eigenlijk onbedoeld een grote held is geworden, net zoals Snowdon, en Wikileaks eerder.
Dat is in deze Shadowbrokers geweest die nu eigenlijk onbedoeld een grote held is geworden, net zoals Snowdon, en Wikileaks eerder.
Grote held? Daar zullen de bedrijven met gegijzelde PC's anders over denken. Zonder de publicatie door Shadowbrokers zaten zij nu niet met de gebakken peren.
Grote held? Daar zullen de bedrijven met gegijzelde PC's anders over denken. Zonder de publicatie door Shadowbrokers zaten zij nu niet met de gebakken peren.
Dan zijn ze kortzichtig want ook zonder shadowbrokers had deze exploit vroeg of laat misbruikt geworden. Waarschijnlijk zelfs door dezelfde malware.
Feit is dat ze nu met de problemen zitten. Kort na publicatie die extra aandacht op het lek heeft gevestigd.
Het helpt, maar is niet de oplossing.
Als iemand binnen de organisatie (wellicht tegen de regels in) zijn privÚ webmail opent en daarmee malware binnen haalt, doet de ATP niets.
Tja of degene die de tools heeft gepubliceert, want die is er eigenlijk nog veel meer verantwoordelijk voor.
Is er eigenlijk een voorbeeld hoe die fishingmail eruit zag? Ben wel benieuwd.
Die is er niet, want het is waarschijnlijk zo dat de verspreiding niet via email ging. Dat had ik ook al eerder opgemerkt, vanwege de snelle verspreiding. Ik vermoed dat er nog een Windows zero-day gebruikt word,t maar men heeft dit nog niet kunnen aantonen.
Naast ETERNALBLUE maakt het ook gebruik van DOUBLEPULSAR - ten minste, zoiets las ik of op Twitter van een infosec specialist of een van de sites van infosec bedrijven... Ik weet ff niet meer precies waar - sorry
DOUBLEPULSAR wordt diverse malen vermeld in de broncode van WannaCry (bron: https://gist.github.com/m...d5f0d8b760080640687e23d60).

Ook Cisco Talos (welke ransomware vaak erg uitgebreid analyseren, echt een aanrader) heeft vastgesteld dat DOUBLEPULSAR gebruikt wordt (bron: http://blog.talosintelligence.com/2017/05/wannacry.html).

DOUBLEPULSAR is een backdoor welke geinstalleerd kan worden met de ETERNALBLUE exploit. Als je meer informatie wilt over deze tools kan ik dit artikel van van dearbytes aanraden: https://www.dearbytes.com...d-with-nsa-hacking-tools/
Hier was ik vrijdag al bang voor. Het virus werd natuurlijk pas eind de middag ontdekt. Voor veel mensen al weekend dus. Maandagmorgen gaat iedereen snel zijn mailbox doorspitten en is de kans groter dat je in de gauwigheid op een verkeerd mailtje klikt.

Dus inderdaad: patchen, patchen en nog eens patchen!
Ik vermoed dat de betalingen na het weekend komen omdat de besmetting vrijdag was. Veel bedrijven laten betaling uitvoeren door gespecialiseerde bedrijven, want zelf heeft men vaak geen Bitcoin account.

[Reactie gewijzigd door ArtGod op 14 mei 2017 16:10]

Europol had misschien beter bezorgd kunnen zijn dat de NSA heel die tijd zeer eenvoudig toegang had kunnen verschaffen tot miljoenen pc's.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One (Scorpio) Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*