image

Onduidelijkheid over WannaCry-ransomware zonder killswitch

zondag 14 mei 2017, 08:52 door Redactie, 18 reacties

Er gaan berichten rond over een nieuwe versie van de WannaCry-ransomware die geen killswitch zou bevatten, waardoor de aanvallers achter hun wereldwijde campagne opnieuw allerlei systemen kunnen versleutelen, maar onderzoekers zijn het niet met elkaar eens waardoor de situatie onduidelijk is.

De versie van de zeer schadelijke ransomware die zich afgelopen vrijdag verspreidde probeerde verbinding met een .com-domein te maken. Als de verbinding succesvol was stopte de ransomware met werken en werden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Een onderzoeker van het blog MalwareTech registreerde dit domein en kon zo de eerste versie neutraliseren.

Costin Raiu van het Russische anti-virusbedrijf Kaspersky Lab verklaarde tegenover Vice Magazine dat er versies zonder killswitch waren gevonden. Beveiligingsonderzoeker Kevin Beaumont stelt echter dat dit verhaal niet klopt en dat het de eerste versie van de WannaCry-ransomware betreft zonder de "SMB hunter module". WannaCry maakt gebruik van een kwetsbaarheid in Windows SMB die Microsoft op 14 maart van dit jaar patchte. Vanwege de ernst van de situatie besloot Microsoft de update ook voor alle gebruikers van Windows XP, Windows Server 2003 en Windows 8 uit te brengen, ook al is de standaard ondersteuning van deze Windowsversies door Microsoft gestopt.

Reacties (18)
14-05-2017, 09:12 door Anoniem
Gisteren gaf Virustotal gisteren meerdere keren and aan dat het killswitch domein door Kaspersky als Malware Site werd aangegeven. Als ze het blokkeren dan werkt het niet. Ze waren niet de enige, ondertussen wordt het door alle producten als clean site doorgegeven.
14-05-2017, 09:20 door SecGuru_OTX
Er is idd een hoop onduidelijkheid.

Malwaretechblog heeft zojuist bevestigd dat er een nieuwe variant actief is, daarnaast zijn er na de kill-switch, nieuwe besmettingen waargenomen.

Nieuwe versie of niet, feit is dat alle versies van de worm nog actief zijn.
14-05-2017, 09:33 door Anoniem
Als zij de broncode hebben, kunnen ze zo een nieuwe varriant compilen. Waarom doen de fake cyber security, gamers, alsof het niet mogelijk is?
14-05-2017, 10:08 door SecGuru_OTX
Ik hoop ook dat die sinkhole echt in de lucht blijft, bij uitval en/of een ddos gaat de worm weer lekker verder.
14-05-2017, 10:31 door Anoniem
uhm windows 8 is nog niet uit de support toch?

"Windows 8.1 falls under the same lifecycle policy as Windows 8, and will reach end of Mainstream Support on January 9, 2018, and end of Extended Support on January 10, 2023."
14-05-2017, 11:05 door Anoniem
Door Anoniem: Als zij de broncode hebben, kunnen ze zo een nieuwe varriant compilen. Waarom doen de fake cyber security, gamers, alsof het niet mogelijk is?

Omdat zij de oplossing willen verkopen. De marketingmachine rondom deze ransomeware draait volop. Ik word op linkedin doodgegooid met publicaties van accountmanagers van security bedrijven met "wij hebben de fix voor WanaCry!", oftewel regelrechte reclame voor hun toko.
14-05-2017, 11:06 door Anoniem
De kill switch werkt ook alleen als de geïnfecteerde cliënt publieke DNS queries kan doen. Als er dus systemen in het netwerk horizontaal te grazen zijn genomen via SMS en deze systemen kunnen geen publieke DNS verzoeken doen, dan gaat de software vrolijk verder met encrypted en verspreiden. De killer switch heeft dan dus ook beperkingenieur in werkzaamheid. Denk je als bedrijf dat afschermen van publieke DNS verzoeken de veiligheid verhoogd dan heeft dat in dit soort gevallen een averechts effect.
Ik denk dat dit de reden is dat het nog steeds actief is.
Groet, Bjorn
14-05-2017, 11:15 door BjornP - Bijgewerkt: 14-05-2017, 11:26
De kill switch werkt ook alleen als de geïnfecteerde cliënt publieke DNS queries kan doen. Als er dus systemen in het netwerk horizontaal te grazen zijn genomen via SMS en deze systemen kunnen geen publieke DNS verzoeken doen, dan gaat de software vrolijk verder met encrypted en verspreiden. De killer switch heeft dan dus ook beperkingenieur in werkzaamheid. Denk je als bedrijf dat afschermen van publieke DNS verzoeken de veiligheid verhoogd dan heeft dat in dit soort gevallen een averechts effect.
Ik denk dat dit de reden is dat het nog steeds actief is ondanks de aanwezigheid van het domein.

Edit: ik zie dat het waarschijnlijk niet alleen een dns request is maar ook een http request. Dan isde werkzaamheid van de kill switch nog beperkter voor de systemen die dit niet mogen. Denk aan de qpark terminals of de systemen bij deutch bahn op de stations.
14-05-2017, 11:56 door Anoniem
Door Anoniem: uhm windows 8 is nog niet uit de support toch?

"Windows 8.1 falls under the same lifecycle policy as Windows 8, and will reach end of Mainstream Support on January 9, 2018, and end of Extended Support on January 10, 2023."

Windows 8 wordt niet meer ondersteund. Windows 8.1 nog wel.
14-05-2017, 12:58 door Anoniem
Door Anoniem:
Door Anoniem: Als zij de broncode hebben, kunnen ze zo een nieuwe varriant compilen. Waarom doen de fake cyber security, gamers, alsof het niet mogelijk is?

Omdat zij de oplossing willen verkopen. De marketingmachine rondom deze ransomeware draait volop. Ik word op linkedin doodgegooid met publicaties van accountmanagers van security bedrijven met "wij hebben de fix voor WanaCry!", oftewel regelrechte reclame voor hun toko.

Ja wat verwacht je? Gewoon account opheffen.

Dat is net als naar de McDonalds gaan en dan klagen over de hamburger die je krijgt.
14-05-2017, 14:11 door Anoniem
Door Anoniem: Als zij de broncode hebben, kunnen ze zo een nieuwe varriant compilen. Waarom doen de fake cyber security, gamers, alsof het niet mogelijk is?
Volgens mij doet niemand alsof het niet mogelijk is. De onduidelijkheid gaat over de vraag of een aangepaste variant al wel of nog niet aangetroffen is in het wild.
14-05-2017, 14:20 door Anoniem
Ik las dat Wannacry gebaseerd is op malware uit Februari, Wanacryptor 2.0

Lijkt me dat er wel een unieke codestring of heuristic flag te bedenken is om variaties die nog eventueel komen de kop in te drukken...?
14-05-2017, 18:31 door Anoniem
Door Anoniem: Ik las dat Wannacry gebaseerd is op malware uit Februari, Wanacryptor 2.0

Lijkt me dat er wel een unieke codestring of heuristic flag te bedenken is om variaties die nog eventueel komen de kop in te drukken...?
Nee, als malwaremaker pruts je er net zo lang aan (en in de praktijk is dat helemaal niet lang en ook niet moelijk) tot geen enkele bekende virusscanner er nog malware in ziet. Daar heb je oneindig veel mogelijkheden voor, terwijl antivirusboeren (en dus eindgebruikers) steeds meer risico lopen dat ze goedaardige bestanden als malware aanmerken (false positive). Immers er komt voortdurend nieuwe malware bij die wel gedetecteerd moet worden, terwijl ondertussen het aantal niet-kwaadaardige bestanden nog veel harder groeit - waarvan je niet wilt dat ze als kwaadaarding in quarantaine worden geplaatst.

Het enige wat in dit geval wel goed zou kunnen werken is detectie van de byte-sequence met de SMB exploit - mits ook dat niet toevallig een false positive oplevert. Lastig is wel dat de virusscanner dan een sensor op de juiste plaats moet hebben (net vóór verzenden van het netwerkpakketje of, aan de ontvangende zijde, net na ontvangst van het netwerkpakketje) maar ook dat de sequence zo uniek is dat de kans op false positives minimaal is.

Helaas zijn de meeste virusscanners sterk file-georiënteerd en is het gebruikelijk dat malwaremakers kwaadaardige code gecodeerd en/of versleuteld in bestanden opnemen en de decryptieroutine elke keer wijzigen (als je met een hex-editor kijkt zien bestanden er elke keer totaal anders uit). Als detectie van een exploit niet mogelijk is op basis van definities, en er dus aanvullende code voor geschreven (en getest) moet worden, gaat daar wel even tijd overheen en veel scanners zullen deze mogelijkheid dan ook (verwacht ik) niet bieden en zeker niet op korte termijn.

In de praktijk zit er niets anders op dan af te wachten tot jouw AV-boer een stuk malware heeft ontvangen, geanalyseerd, er false-positive-vrije detectie voor heeft gemaakt en getest en voor download heeft aangeboden, en jouw virusscanner het tijd vond om die update op te halen en te installeren. Negen van de tien keer hebben de malwaremakers dan allang een aangepaste variant uitgebracht...
14-05-2017, 19:44 door Anoniem
In aanvulling op mijn bijdrage van 18:31: AV-Test meldt 147 verschillende varianten van WannaCry te hebben gespot, zie https://plus.google.com/+avtestorg/posts/N57HCkYchSr

Volgens mijn bron (https://www.heise.de/security/meldung/WannaCry-Gewaltiger-Schaden-geringer-Erloes-3713689.html) zouden er nu ook varianten zijn opgedoken zowel zonder als met een ander kill-switch domein.
14-05-2017, 21:05 door [Account Verwijderd]
[Verwijderd]
14-05-2017, 21:09 door Anoniem
Door Anoniem: uhm windows 8 is nog niet uit de support toch?

"Windows 8.1 falls under the same lifecycle policy as Windows 8, and will reach end of Mainstream Support on January 9, 2018, and end of Extended Support on January 10, 2023."

Volledig antwoord:
Windows 8.1 wordt als een service pack gezien op Windows 8. Elke versie van Windows zijn support stopt 1 jaar na het uitbrengen van een service pack. Dus 1 jaar na het uitbrengen van Windows 8.1 is de standaard support voor Windows 8 RTM gestopt. Dit was al zo vanaf Windows XP / SP1, misschien ook vroeger.

Edit: nog eens opgezocht, bij Windows 8 naar 8.1 is die termijn 2 jaar geweest.
15-05-2017, 01:08 door Anoniem
Door 4amrak: AV is altijd al achter de feiten aanlopen, net als blacklists etc.

Blacklists kunnen blacklisten voordat schadelijke domeinen worden gebruikt. Het is niet voor niets dat ik zo nu en dan een lijst nog niet gebruikte phishing domeinen voor Nederlandse banken plaats.

Antivirus daarentegen heeft zelden de beschikking over malware voordat die wordt gebruikt, dat is dus niet vergelijkbaar met een blacklist.

Antivirus kan wel heuristisch en op andere manieren detecteren zodat op t=0 toch detectie is. De malwareschrijver kan eindeloos prutsen totdat antivirus niets meer vind. Als jouw antivirus met heuristische detectie niet in de toolbox van de malware schrijver zit heb je betere detectie.
15-05-2017, 10:36 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.