image

Duizenden WannaCry-versies door corrupt zip-bestand defect

woensdag 18 september 2019, 16:58 door Redactie, 4 reacties

Onderzoekers van antivirusbedrijf Sophos hebben duizenden versies van de beruchte WannaCry-ransomware ontdekt die door een corrupt zip-bestand niet werken. Ruim twee jaar na de grote WannaCry-uitbraak wordt de ransomware nog steeds miljoenen keren per maand gedetecteerd.

WannaCry maakt gebruik van een kwetsbaarheid in Windows die in maart 2017 door Microsoft werd gepatcht. Dat de malware nog steeds actief is laat zien dat tal van organisaties geen beveiligingsupdates voor Windows installeren. De WannaCry-versie die zich in mei 2017 verspreidde was voorzien van een killswitch. WannaCry probeerde op besmette systemen verbinding met een .com-domein te maken. Als de verbinding succesvol was stopte de ransomware met werken en werden er geen bestanden versleuteld en ook geen andere machines in het netwerk aangevallen. Een Britse beveiligingsonderzoeker registreerde deze domeinnaam, hoewel hij op dat moment niet wist dat de domeinnaam als een killswitch fungeerde.

De onderzoekers van Sophos vroegen zich af hoe het kon dat de killswitch niet voorkwam dat besmette computers andere computers aanvielen. Daarnaast was het ook onduidelijk waarom niemand over door WannaCry versleutelde bestanden klaagde. Verder onderzoek wees uit dat de originele WannaCry nog zelden wordt waargenomen. Het blijkt dat met name aangepaste versies van de ransomware rondgaan. Bijna al deze varianten, ruim 2700 unieke versies, waren aangepast waardoor de killswitch niet meer werkte.

Hierdoor kan de ransomware andere systemen in het netwerk aanvallen, wat de miljoenen detecties per maand verklaart. Toch waren de onderzoekers niet bekend met getroffen organisaties waar bestanden waren versleuteld. WannaCry beschikt over verschillende onderdelen. Eén onderdeel verspreidt de ransomware naar andere machines. Een ander onderdeel is verantwoordelijk voor het versleutelen van bestanden.

Dit tweede onderdeel bevindt zich in een met een wachtwoord beveiligd zip-bestand. De inhoud van het zip-bestand wordt op de computer uitgepakt en uitgevoerd, waarna WannaCry bestanden versleutelt. Bij alle WannaCry-versies die de killswitch konden omzeilen bleek dat het zip-bestand corrupt was geraakt, waardoor er geen bestanden werden versleuteld. Dit verklaarde voor de onderzoekers waarom WannaCry nog steeds zo actief is, maar niemand erover klaagt. Dat neemt niet weg dat organisaties hun computers moeten patchen, zo besluiten de onderzoekers (pdf).

Reacties (4)
18-09-2019, 18:09 door Anoniem
Dat was helemaal geen killswitch, maar een sandboxdetectiemechanisme. Als een virus verbinding probeert te maken met zijn C&C server moet er een DNS lookup gebeuren en sandboxomgevingen resolven die DNS request naar een lokaal IP adres om te kijken wat het virus juist naar zijn C&C wil zenden. Als een ongelofelijk onwaarschijnlijke domeinnaam "succesvol" geresolvet wordt, draai je in een sandbox en moet je niks doen. Net als de sjoemelsoftware van VW dus :)
19-09-2019, 09:15 door Power2All
Door Anoniem: Dat was helemaal geen killswitch, maar een sandboxdetectiemechanisme. Als een virus verbinding probeert te maken met zijn C&C server moet er een DNS lookup gebeuren en sandboxomgevingen resolven die DNS request naar een lokaal IP adres om te kijken wat het virus juist naar zijn C&C wil zenden. Als een ongelofelijk onwaarschijnlijke domeinnaam "succesvol" geresolvet wordt, draai je in een sandbox en moet je niks doen. Net als de sjoemelsoftware van VW dus :)

Klopt, maar dat kun je ook voorkomen door routing te gebruiken.
Je kan ook gewoon een externe server IP adres gebruiken, zodat je alsnog de gegevens opvangt.
Maar routering veranderen is makkelijker, en moeilijker voor de app de achterhalen of dat het geval is.
20-09-2019, 11:56 door sabofx
Door Anoniem: Dat was helemaal geen killswitch, maar een sandboxdetectiemechanisme. Als een virus verbinding probeert te maken met zijn C&C server moet er een DNS lookup gebeuren en sandboxomgevingen resolven die DNS request naar een lokaal IP adres om te kijken wat het virus juist naar zijn C&C wil zenden. Als een ongelofelijk onwaarschijnlijke domeinnaam "succesvol" geresolvet wordt, draai je in een sandbox en moet je niks doen. Net als de sjoemelsoftware van VW dus :)

Bedankt voor deze uitleg! Altijd al een raar verhaal gevonden, dat van die 'kill switch'.
But it makes total sense now :-) Ik moet toegeven, best clever bedacht...

Hadden de ontwikkelaars van WannaCry, achteraf gezien, niet beter voor het resolven van een geheel random domeinnaam kunnen kiezen?
23-09-2019, 15:51 door Anoniem
@sabofx.
Geheel random domeinnamen zijn zeker een optie, maar de kans van een 'false positive' moet je dan ook meenemen, dat de random naam toevallig wel bestaat.
Maakt de code weer lastiger en wie gaat nu iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com registreren?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.