Ordinypt: Effektiver Ransomware-Schutz durch SparkCognition DeepArmor

For our international audience: you might want to use deepl for translation.

Einführung

Im Dezember 2016 machte eine Ransomware namens Goldeneye insbesondere deshalb Schlagzeilen, weil diese sich als vorgebliche Bewerbung tarnte und primär Personalabteilungen von deutschen Unternehmen im Visier hatte. Im November 2017 ist nun etwas ähnliches zu beobachten: Wieder geht es um Ransomware, die sich ebenfalls als Anhang hinter einer Bewerbung verbirgt.

An dieser Stelle möchte ich nicht näher auf die Details eingehen, da diese bereits im Blog von G-Data ausreichend beschrieben sind. Mittlerweile hat sich übrigens herausgestellt, dass man sich die Zahlung des Lösegeldes sparen kann, denn aktuelle Erkenntnisse deuten darauf hin, dass Odinypt keine Ransomware, sondern ein Wiper ist. Ein Wiper verschlüsselt keine Daten, sondern überschreibt diese so, dass eine Wiederherstellung in der Regel nicht mehr möglich ist, es sei denn, man kann diese aus einem Backup restoren, aber das ist ein anderes Thema.

Erkennung von Ordinypt durch signaturbasierte Virenscanner und SparkCognition DeepArmor

Dass Ordinypt mittlerweile von einer Mehrheit der bei VirusTotal zum Einsatz kommenden Scan Engines erkannt wird, dürfte nicht weiter verwunderlich sein. Dies gilt jedoch nur für das aktuell bekannte Sample; die spannende Frage lautet deshalb, wie sich signaturbasierte Virenscanner bei der Erkennung von neuen Varianten oder Mutationen von Ordinypt schlagen und wie SparkCognition DeepArmor als signaturenlose Next-Generation-Lösung für den Malwareschutz damit umgeht.

image

Mutierte Ordinypt-Ransomware

Um diese Frage beantworten zu können, habe ich eine mutierte Variante von Ordinypt mit Hilfe von VMProtect erstellt. Ich habe bewusst VMProtect für diesen Test ausgewählt, weil es als harte Nuss unter Crackern gilt. VMProtect dient normalerweise dazu, kommerzielle Software vor dem Knacken zu schützen, es lässt sich aber auch prima dazu verwenden, ausführbare Dateien so zu verändern, dass signaturbasierte Virenscanner Schadcode nicht mehr erkennen können. Dazu kommen sehr fortschrittliche Techniken zur Verschleierung von Programmcode zum Einsatz; für die Erstellung des mutierten Ordinypt-Samples habe ich den Ultra Protection Mode verwendet, der nicht nur den Programmcode modifiziert, sondern das geschützte Programm außerdem auch noch in einer eigenen virtuellen Umgebung ausführt:

image

Das Ergebnis ist eine ausführbare Datei, die für signaturbasierte Virenscanner nicht mehr erkennbar ist. Um das zu verifizieren, habe ich das mutierte Sample mit Kaspersky Free gescannt und auf nodistribute.com hochgeladen – die Ergebnisse sprechen für sich. Während das Original-Sample noch erkannt wird, sieht es bei der neuen Variante anders aus:

image

image

image

Wirkungsvoller Schutz vor Malware und Ransomware durch SparkCognition DeepArmor

Es ist aus meiner Sicht leicht erkennbar, dass signaturbasierte Lösungen hier keinen wirkungsvollen Schutz mehr bieten können. Hier sind schlagkräftigere Lösungen gefragt, in diesem Fall ist es DeepArmor von SparkCognition. DeepArmor arbeitet vollständig ohne Signaturen und basiert auf machine learning und Künstlicher Intelligenz (AI), um auch unbekannte und neue Bedrohungen sicher und effizient stoppen zu können. Die folgenden Screenshots sprechen für sich:

image

Das mutierte Sample wird problemlos erkannt, und das sogar noch mit einer Wahrscheinlichkeit von über 99%!

image

image

Fazit

Die Zeit der primär signaturbasierten AV-Lösungen (“Legacy AV”) ist meines Erachtens vorbei. Experten sprechen mittlerweile von ungefähr 500.000 neuen Malware-Samples pro Tag, Tendenz weiterhin steigend, deshalb ist der Schutz von Assets in Unternehmen jeglicher Größe ein Thema, das immer mehr an Bedeutung gewinnt. Endgeräte sind der “weak point” und benötigen deshalb den bestmöglichen Schutz. SparkCognition DeepArmor als Next-Generation-AV-Lösung ist eine leichtgewichtige Lösung für den Einsatz im Enterprise- und SOHO-Bereich, die auch vor neuen und unbekannten Bedrohungen (0-day) wirkungsvoll und äußerst effizient schützt. Sie möchten DeepArmor evaluieren und sich selbst von der Leistungsfähigkeit von DeepArmor überzeugen? Senden Sie eine Mail an info AT ms-it-consulting.biz, wir beraten Sie gerne.

MSITC SparkCognition DeepArmor Ransomware mutations vs. legacy AV

Es ist in der Tat erschreckend, wie einfach signaturbasierte Virenscanner ausgehebelt werden können. Als weiteres Beispiel dafür demonstriere ich in meinem neuen Video, wie innerhalb weniger Sekunden aktuelle Ransomware dergestalt getarnt bzw. mutiert werden kann, dass die Erkennungsrate von signaturbasierten Scannern ganz schnell von 100% auf 12%(!) sinkt, während DeepArmor als Vertreter der Next-Generation-Fraktion selbst mutierte Samples problemlos als solche erkennt und zuverlässig funktioniert.

SparkCognition DeepArmor vs. Trojaner Chifrax.a (Erkennungsrate bei VT: 2/64!)

Ich bin auf der Suche nach neuen Malware Samples über zwei Seiten gestolpert, die mit Trojanern nur so gespickt waren. Natürlich war ich gespannt, ob die Samples bereits bekannt oder eher als 0-day samples einzustufen waren:

image

image

Ein erster Check mit Sigcheck ergab, dass es größtenteils bereits bekannte Samples waren:

c:\!malware\ransomware\testmyav\148.exe:
     Verified:    Unsigned
     Link date:    17:26 02.06.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    RUNdll32
     Product:    MS-xiaomuma-110 RUNdll32
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    54/64
     VT link:    https://www.virustotal.com/file/85229484decfcc5617af77367c12ba62e8653b9fd5cf076b7e72473aa6a457e3/analysis/
c:\!malware\ransomware\testmyav\cmd.exe:
     Verified:    Unsigned
     Link date:    17:26 02.06.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    RUNdll32
     Product:    MS-xiaomuma-110 RUNdll32
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\DhlServer.exe:
     Verified:    Unsigned
     Link date:    02:54 17.08.2017
     Publisher:    n/a
     Company:    n/a
     Description:    LightGame Microsoft ???????
     Product:    LightGame ????
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    48/64
     VT link:    https://www.virustotal.com/file/c495ce656589abb406a4d1506141487f467b014eee4dc79eb99587ab39410232/analysis/
c:\!malware\ransomware\testmyav\hfs2.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\las.exe:
     Verified:    Unsigned
     Link date:    17:39 16.04.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    Install
     Product:    MS-xiaomuma-110 Install
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\lasss.exe:
     Verified:    Unsigned
     Link date:    17:39 16.04.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    Install
     Product:    MS-xiaomuma-110 Install
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\mlb32w.exe:
     Verified:    Unsigned
     Link date:    08:27 15.03.2010
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\mlb4.exe:
     Verified:    Unsigned
     Link date:    08:27 15.03.2010
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    47/64
     VT link:    https://www.virustotal.com/file/942eecf3356f9c016e99c60cb5bb1d5f82f212d30e82be1ca555300b261bde55/analysis/
c:\!malware\ransomware\testmyav\ppx.exe:
     Verified:    Unsigned
     Link date:    15:38 30.07.2017
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\serv.exe:
     Verified:    Unsigned
     Link date:    17:26 02.06.2017
     Publisher:    n/a
     Company:    MS-xiaomuma-110
     Description:    RUNdll32
     Product:    MS-xiaomuma-110 RUNdll32
     Prod version:    1, 0, 0, 1
     File version:    1, 0, 0, 1
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a

c:\!malware\ransomware\testmyav\start.exe
:
     Verified:    Unsigned
     Link date:    08:27 15.03.2010
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\xm.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    Unknown
     VT link:    n/a
c:\!malware\ransomware\testmyav\xz.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    61/64
     VT link:    https://www.virustotal.com/file/fdf6d666f652750944097bbc884b06a0cc5ef9da85ccb2a42eaf99e9019b7872/analysis/
c:\!malware\ransomware\testmyav\xz32.exe:
     Verified:    Unsigned
     Link date:    00:22 20.06.1992
     Publisher:    n/a
     Company:    n/a
     Description:    n/a
     Product:    n/a
     Prod version:    n/a
     File version:    n/a
     MachineType:    32-bit
     VT detection:    61/65
     VT link:    https://www.virustotal.com/file/153383b05a484845b3eb39915098fa6c8d68fcb639ade54215cda7fcbdeda14a/analysis/

Nachdem also die Mehrheit der Samples als Trojaner erkannt wurde, war ich durchaus etwas verwundert, dass es auch .exe-Dateien gab, die nicht als Malware eingestuft wurden. Ein weiterer Test mit DeepArmor und einer Datei namens start.exe förderte schnell erstaunliche Ergebnisse ans Tageslicht, denn DeepArmor stufte dieses File mit einer Wahrscheinlichkeit von 98,30% als malicious ein und verschob es in die Quarantäne:

image

Der Gegencheck bei VirusTotal ergab, dass die Erkennungsrate mit 2/64(!) für dieses Sample (Trojaner Chifrax.A) erschreckend niedrig war:

image

Um zu verifizieren, dass es kein false positive war, habe ich das Sample zur weiteren Analyse in eine Sandbox hochgeladen, und siehe da: Wäre der Inhalt des SFX-Archivs extrahiert und automatisch gestartet worden, dann wäre ein ziemlicher Scherbenhaufen auf dem Endgerät die Folge gewesen:

image

Fazit: Malware in SFX-Archiven zu verstecken, ist schon seit einiger Zeit in Mode. Wie dieser Test deutlich zeigt, gelingt es Cyberkriminellen schon mit relativ geringem Aufwand, ihre Malware vor der Entdeckung durch konventionelle AV-Software zu verbergen. Mit etwas Glück gibt es eine Signatur, die zumindest bekannte Samples erkennt, aber sobald diese modifiziert werden, ist mit der statischen Erkennung Schluss.

Moderner Malwareschutz der nächsten Generation, wie ihn DeepArmor von SparkCognition bietet, funktioniert ohne Signaturen und verwendet dafür Methoden aus dem Bereich Künstliche Intelligenz (AI) sowie mathematische Modelle, um auch unbekannte Malware erkennen zu können. DeepArmor hatte dieses Sample noch nie zuvor gesehen und es trotzdem mit einer Wahrscheinlichkeit von über 98% als schädlich klassifiziert, was aus meiner Sicht als hervorragende Leistung einzustufen ist.

SparkCognition DeepArmor vs. Ransomware Mega V1

Es vergeht ja mittlerweile kaum ein Tag, an dem nicht neue Ransomware-Samples das Licht der Welt erblicken. Heute habe ich einen kurzen Test mit DeepArmor und einem Sample der Ransomware Mega V1 durchgeführt. Ob es sich um ein 0-day sample handelt oder nicht, kann ich momentan nicht sagen – wenn man sich die derzeitigen Erkennungsraten auf VirusTotal zu diesem Sample anschaut, dann spricht jedoch alles ganz stark dafür:

image

Wie man gut erkennen kann, wurde das Sample heute Mittag um 13:43h UTC hochgeladen. Einige Stunden später (12.07.17 22:16 MEST) wird dieses Sample gerade einmal von 7 von 63(!) Scan Engines erkannt, die signaturbasiert arbeiten. Und so geht SparkCognition DeepArmor mit dem Mega V1 Ransomware Sample um:

image

image

Um es zusammenzufassen: Nach dem Download und Entpacken des Samples hat DeepArmor nach dem Real-Time File Monitoring (überwacht u.a. neu angelegte Dateien) die Ransomware mit einer Wahrscheinlichkeit von 97,31% erkannt und sie sofort in die Quarantäne verschoben. Vergleichen Sie selbst die Scanergebnisse der traditionellen Virenscanner mit dem, was DeepArmor als leistungsfähige Anti-Malware-Lösung der nächsten Generation bietet, die kognitive Algorithmen und machine learning zur Erkennung von Malware und Ransomware einsetzt.

Weltweiter Ausbruch von Petya-Ransomware: DeepArmor hilft

Warum ist Petya so gefährlich?

Aktuell gibt es eine weltweite Angriffswelle, die auf der Petya-Ransomware basiert. Laut Berichten von Heise und Bleepingcomputer begann der Angriff zunächst in der Ukraine, es gibt aber mittlerweile auch zahlreiche weltweite Meldungen über Petya-Infektionen. Unter anderem wurde der operative Betrieb des Container-Transportgiganten Maersk stark beeinträchtigt und musste in Teilen heruntergefahren werden.

Ebenso wie WannaCry nutzt Petya ungepatchte Sicherheitslücken in Windows. Was die aktuell kursierende Version von Petya so gefährlich macht, ist die Tatsache, dass wichtige Bereiche auf der Festplatte (MFT und MBR) verschlüsselt und mit einem eigenen Bootloader überschrieben werden, was das betroffene Endgerät solange funktionsuntüchtig macht, bis das geforderte Lösegeld bezahlt wird, und selbst dann gibt es keine Garantie dafür, dass man wirklich den passenden Schlüssel zur Entschlüsselung erhält. Das ist im Heimbereich schon schlimm genug, falls das jedoch in einer größeren Organisation passiert, ist das eine echte Katastrophe.

Wie kann man sich vor Petya schützen?

Indem man beispielsweise eine Next Gen AV-Lösung verwendet. Ich hatte schon mehrfach SparkCognition DeepArmor erwähnt, eine Anti-Malware-Lösung der nächsten Generation, die auf machine learning und kognitiven Algorithmen basiert. DeepArmor stellt auch dieses Mal unter Beweis, dass es Petya wirkungsvoll ohne Signaturen stoppen kann, wie man im folgenden Video zweifelsohne erkennen kann:

SparkCognition DeepArmor vs. 50 current ransomware samples

Wer tatsächlich noch der Meinung ist, dass signaturbasierte Scanner ausreichend sind, um aktuelle Bedrohungen erkennen und abwehren zu können, den möchte ich mit diesem Test eines besseren belehren. Um die Leistungsfähigkeit von DeepArmor unter Beweis zu stellen, habe ich 50 aktuelle Ransomware-Samples gegen DeepArmor getestet, und das Ergebnis dürfte für sich sprechen: Alle Samples wurden erkannt und geblockt bzw. in die Quarantäne verschoben, was einer Erkennungsrate von 100% entspricht. Vergleichen Sie dazu auch die Erkennungsrate der Scan Engines, die bei VirusTotal zum Einsatz kommen, mit der von DeepArmor – im Video ist deutlich zu erkennen, dass kein einziger der 62(!) zum Einsatz kommenden Virenscanner alle Ransomware-Samples erkannt hat!

Was das in der Praxis bedeutet, kann sich nun jeder selbst ausmalen. Fakt ist – und diese Meinung vertrete ich nach wie vor –, dass signaturbasierte Virenscanner für mich zu einer aussterbenden Spezies gehören. Die Zukunft gehört ganz klar Next Generation-Lösungen wie SparkCognition DeepArmor, die auf machine learning und kognitive Algorithmen setzen. Anders kann man der Flut an Malware nicht mehr Herr werden, denn unterschiedliche Quellen beziffern die Anzahl der täglich neu erscheinenden Malware-Samples auf eine Zahl zwischen 300.000 und 800.000(!), Tendenz steigend – hier sind Signaturen schlicht und ergreifend wirkungslos.

Selbstverständlich wird es wahrscheinlich niemals einen 100%-Schutz vor Malware und Ransomware geben, aber mit Hilfe von moderner AV-Software wie DeepArmor ist es zumindest möglich, den Schutz von Endgeräten drastisch zu verbessern. Nun genug der vielen Worte: Schauen Sie sich das Video an und bilden sich selbst ein Urteil:

Für Fragen verwenden Sie bitte das Kontaktformular auf www.securedsector.com oder senden mir eine Mail unter info AT msitc.eu.

 

SparkCognition DeepArmor, ein Malwareschutz der nächsten Generation auf Basis von machine learning und kognitiven Algorithmen

Über SparkCognition DeepArmor hatte ich vor einiger Zeit schon mal kurz berichtet. Nun hat sich mir die Gelegenheit geboten, DeepArmor als Next-Gen AV zu evaluieren. Ich möchte an dieser Stelle gleich vorweg nehmen, dass man ein solches Produkt nicht einfach nur in einem Blogbeitrag kurz abhandeln kann, deshalb werden zu diesem Thema noch weitere Beiträge folgen. Ich möchte zum Einstieg auch nicht gleich mit einer epischen Erörterung hinsichtlich der Funktionsweise von DeepArmor beginnen, sondern beschränke mich an dieser Stelle zunächst darauf, dass SparkCognition DeepArmor komplett ohne Signaturen arbeitet.

image

Stattdessen verwendet DeepArmor Techniken wie machine learning und kognitive Algorithmen. Was man sich darunter im einzelnen vorstellen kann, werde ich in einem weiteren Artikel ausführlicher erörtern – hier möchte ich es zunächst dabei bewenden lassen, dass es in der Praxis ziemlich gut funktioniert. Damit Sie sich ein besseres Bild machen können, habe ich ein Video erstellt, in dem die Erkennung von aktuellen Ransomware-Samples im Vordergrund steht:

WannaCry reloaded: EternalRocks verwendet weitere NSA-Tools zur Weiterverbreitung

Was ist EternalRocks?

Der Sicherheitsforscher Miroslav Stampar – Mitglied des kroatischen CERT (Computer Emergency Response Team) – hat vor kurzem eine neue WannaCry-Variante entdeckt, die er EternalRocks getauft hat. Dieser Name basiert vermutlich auf der Tatsache, dass EternalRocks sieben Tools aus dem NSA-Arsenal verwendet, um Sicherheitslücken in Windows-Systemen aufzuspüren und auszunutzen. Folgende Exploits werden von EternalRocks verwendet:

– EternalBlue
– EternalChampion
– EternalRomance
– EternalSynergy

Darüber hinaus macht EternalRocks Gebrauch von SMBTouch und ArchiTouch, zwei weiteren NSA-Tools, die zum Aufspüren von verwundbaren Systemen verwendet werden. Last but not least kommt natürlich auch DoublePulsar zum Einsatz, mit dessen Hilfe der Wurm sich auf anderen verwundbare Systemen verbreiten kann.

Im aktuellen Zustand kann man sich EternalRocks als einsatzbereite Rakete ohne Gefechtskopf vorstellen. Es ist jedoch nur eine Frage der Zeit, bis eine scharfe Variante von EternalRocks erscheint, die weitere Funktionalität mitbringt.

Wie funktioniert EternalRocks?

Nach dem der Wurm ein Opfer infiziert hat, verwendet er ein zweistufiges Verfahren, um weiteren Schadcode nachzuladen, wobei die zweite Phase verzögert eintritt, um Abwehrmaßnahmen zu unterlaufen. Im ersten Schritt lädt EternalRocks den Tor-Client herunter und sendet ein Signal an seinen Command & Control-Server im Tor-Netzwerk. Der C2-Server sendet dann nach 24 Stunden ein Echo zurück; diese Verzögerung kommt häufig bei Malware zum Einsatz, um die Infektion eines Systems zu verschleiern. EternalRocks enthält übrigens keinen Killswitch-Mechanismus und ist daher auch nicht so einfach auszuschalten wie WannaCry.

Im zweiten Schritt der Installation von EternalRocks wird ein Archiv heruntergeladen, das weitere Malware enthält. Anschließend führt der Wurm einen Scan durch und versucht sich zu einem zufällig ausgewählten anderen Endpoint zu verbinden.

Was macht EternalRocks so gefährlich?

Während WannaCry eher der sprichwörtliche Elefant im Porzellanladen und viel Schaden angerichtet hat, ist EternalRocks offensichtlich für unauffälligere Operationen entwickelt worden. Durch den modularen Aufbau und die Fähigkeit, weitere Malwarekomponenten wie Trojaner, Ransomware oder sonstiges nachzuladen, ist EternalRocks deutlich vielseitiger und auch gefährlicher.

Fazit

Wenn man so möchte, dann hat WannaCry die Büchse der Pandora geöffnet. Nach wie vor gibt es weltweite viele ungepatchte und damit anfällige Windows-Systeme, und da es keine Frage des ob, sondern des wann ist, bis eine vollständig aufmunitionierte Variante von EternalRocks erscheint, sollte man sich unbedingt Gedanken über einen zeitgemäßen und wirksamen Schutz vor Malware sowohl auf Endgeräten als auch auf Servern machen, denn was aktuell geschieht, ist erst der Anfang dessen, was noch alles auf uns zukommen wird.

Übrigens: Lassen Sie sich nicht von der Erkennungsrate hinsichtlich der bislang bekannten EternalRocks-Samples täuschen. Zum einen wurden diese bereits vor vier bzw. fünf Tagen (Stand: 23.05.17) auf Github hochgeladen, und zum anderen sollten fünf Tage selbst dem langsamsten AV-Hersteller in Bezug auf aktualisierte Signaturen genügen, diese auf Vordermann zu bringen.

Selbst ein tagesaktuelles Sample, das vor exakt 16 Stunden und 9 Minuten zu VirusTotal hochgeladen wurde, wird aktuell (23.05.17/2059h) gerade mal von 39 von 61 Virenscannern erkannt:

https://www.virustotal.com/en/file/44472436a5b46d19cb34fa0e74924e4efc80dfa2ed491773a2852b03853221a2/analysis/

Ich glaube, dieses niederschmetternde Ergebnis spricht für sich und bedarf nicht mehr vieler Worte…

Sparkcognition DeepArmor Next-Gen AV bietet Schutz vor WannaCry-Ransomware

In meinem Artikel von gestern hatte ich über die weltweite Ausbreitung der WannaCry-Ransomware berichtet. Dass eine Sicherheitslücke in Windows-Betriebsystemen ausgenutzt wird, ist die eine Sache, dass aber offensichtlich auch AV-Software WannaCry/Wana Decrypt0r nicht erkannt hat, die andere. Ehrlich gesagt verblüfft mich das aber auch nicht weiter, denn traditionelle AV-Software tut sich zunehmend schwerer damit, Ransomware zu erkennen und wirkungsvoll zu stoppen. Erpresstes Lösegeld aus Ransomware-Infektionen ist schnell und leicht verdientes Geld, und deshalb versuchen Cyberkriminelle natürlich auch, ihre Ransomware so gut wie möglich vor der frühzeitigen Entdeckung durch AV-Software zu schützen, was ihnen in den meisten Fällen auch gelingt.

Selbst mit Techniken wie verhaltensbasierter Kontrolle oder Sandboxing bekommt man Ransomware nicht effektiv in den Griff – hier hilft aus meiner Sicht nur Application Whitelisting und der Einsatz von Anti-Malware-Lösungen der nächsten Generation. Dass ich mit meiner Einschätzung nicht ganz falsch liege, zeigt ein Blogbeitrag von Sparkcognition, der mit DeepArmor eine Next Gen AV-Software im Portfolio hat. Während wie bereits erwähnt offensichtlich zahlreiche traditionelle AV-Lösungen WannaCry nicht erkannt haben, hat DeepArmor ohne Signaturenupdates oder dergleichen die Ransomware identifiziert und gestoppt:

Bemerkenswert daran ist, dass DeepArmor diese Ransomware-Variante noch nie zuvor gesehen hat, aber aufgrund seiner Funktionsweise (machine learning und artificial intelligence) in der Lage war, sie zu erkennen und unschädlich zu machen. DeepArmor wurde mit mit tausenden von sauberen und bösartigen Programmen trainiert und konnte deshalb Ähnlichkeiten zwischen den in WannaCry und vorhergehenden Ransomware-Varianten verwendeten Techniken erkennen. Wer glaubt, dass das alles auf dem Mist der Marketingabteilung von Sparkcognition gewachsen ist, den möchte ich eines besseren belehren: Ich habe mittlerweile einiges an Erfahrung mit einem adäquaten Produkt sammeln können, das ebenfalls signaturenlos und auf Basis von mathematischen Modellen und machine learning arbeitet, und wer eine derartige Lösung einmal im praktischen Einsatz erlebt hat, möchte nichts anderes mehr haben.

Abschließend möchte ich nochmal deutlich betonen, dass die Zukunft im Bereich Endpoint Security aus meiner Sicht ganz klar den AV-Lösungen der nächsten Generation gehört. Das sage ich nicht, weil ich es schick finde, jeden Trend mitmachen zu müssen, sondern weil ich als IT Security Analyst und Incident Responder täglich sehe, was in der Praxis funktioniert – oder eben auch nicht. Insbesondere im Unternehmensumfeld sollte man sich vor Augen führen, dass Endgeräte aus IT Security-Sicht der schwächste Punkt im Glied sind und dementsprechend auch effektiv geschützt werden müssen.

Wana Decrypt0r Ransomware verbreitet sich weltweit und nutzt fortgeschrittene Angriffs- und Infektionsvektoren

Einführung

Es vergeht kaum ein Tag, an dem nicht über eine neue Ransomware-Variante berichtet wird, aber die heute (12. Mai 2017) gestartete WannaCrypt0r-Campaign ist in mehrfacher Hinsicht herausragend:

  • Wana Decrypt0r/WannaCrypt/WanaCrypt0r ist extrem virulent und nutzt dazu eine Schwachstelle unter Windows aus. Alle Windows-Systeme, auf denen der Patch MS17-010 noch nicht eingespielt wurde, sind für diese Schwachstelle und somit auch für Wana Decrypt0r anfällig
  • Zusätzlich bringt Wana Decrypt0r die Malware DOUBLEPULSAR mit, die sehr tief ins System eingreift (Windows Kernel Ring-0) und zum Nachladen und installieren weiterer Malware verwendet wird

Die Kombination dieser beiden Angriffstechniken hat bislang dazu geführt, dass innerhalb weniger Stunden bereits über 57.000 Wana Decrypt0r-Infektionen weltweit aufgetreten sind. Besonder schwer betroffen sind Hospitale und Kliniken in UK, aber auch Firmen in Spanien im Telekommunikations- und Energiesektor sowie in weiteren Ländern. Wer auch immer hinter dieser fiesen neuen Ransomware-Variante steckt, hat ganze Arbeit geleistet, wie diese Infografik zeigt:

 

Quelle: bleepingcomputer.com

 

Infektionsvektor

Wana Decrypt0r verbreitet sich zunächst per Mail mit maliziösen Attachments. Sobald ein System erfolgreich kompromittiert wurde, versucht Wana Decrypt0r, sich wurmartig auf andere Systeme zu verbreiten und nutzt dazu u.a. auch offene RDP-Sitzungen. Um die weitere Verbreitung zu ermöglichen, scannt Wana Decrypt0r weitere Endgeräte in einem Netzwerk und versucht dann ebenfalls, die bereits erwähnte Schwachstelle auszunutzen.

Mitigationsstrategien

  • Sofern der MS Patch MS17-010 noch nicht per Windows Update automatisch installiert wurde, sollte dieser so schnell wie möglich installiert werden, da nur damit die Sicherheitslücke geschlossen wird, die von Wana Decrypt0r ausgenutzt wird
  • Mails von unbekannten Absendern mit zweifelhaftem Inhalt oder Attachments sollten nicht geöffnet, sondern sofort gelöscht werden. Klicken Sie ebenfalls nicht auf Links in Mails, die von unbekannten Absendern stammen!
  • Verwenden Sie eine zuverlässige Endpoint Protection-Lösung wie SecureAPlus auf Basis von Application Whitelisting, um das Ausführen von unbekannten Programmen zu unterbinden. Verlassen Sie sich nicht auf die Erkennung von Wana Decrypt0r durch Ihre AV-Software, da davon auszugehen ist, dass es schon bald polymorphe Varianten geben wird
  • Erstellen Sie regelmäßig Backups und stellen Sie sich sicher, dass diese sich an einem sicheren Ort befinden

 

Unterstützung im Schadensfall

Sie sind bereits betroffen und benötigen schnelle Hilfe? Nutzen Sie unser Kontaktformular und senden uns eine Nachricht.

 

Weiterführende Informationen

https://www.bleepingcomputer.com/news/security/wana-decrypt0r-ransomware-using-nsa-exploit-leaked-by-shadow-brokers-is-on-a-rampage/

https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/