Der Package Robot, das Matrix Tool gegen RANSOMEWARE!

Moderator: MVogt

Post Reply
User avatar
Theo_Gottwald
Posts: 367
Joined: 03. Oct 2009, 08:57
Location: Herrenstr.11 * 76706 Dettenheim
Contact:

Der Package Robot, das Matrix Tool gegen RANSOMEWARE!

Post by Theo_Gottwald » 05. Nov 2016, 23:52

Ransomeware: Jeder dritte "Kunde" von RANSOMEWARE zahlt!
RANSOMEWARE ist bei der IT-Sicherheit das Thema dieses Jahres. Was kann man tun?
Bei unserem heutigen Treffen mit Administratoren verschiedener Firmen kam das Thema "Honeypot" auf. Die "Ransomeware" scheint so codiert zu sein, daß sie beginnend mit "Z:" alle Laufwerksbuchstaben
rückwärts (Richtung "A:") durchgeht, bis sie ein gültiges Netzlaufwerk findet, dass sie dann "verschlüsseln" kann.

Legt man nun im Laufwerk "Z:" einen Ordner mit einer Datei an, die "Niemand braucht", auf die aber jeder Berechtigung hat, dann muß man eigentlich nur warten, bis ein Programm schreibend diese Datei verändert - und kann dann sofort "Alarm" auslösen.
Der Matrix42 Package Robot hat von Haus aus Features, die das unterstützen.

Das ist vor allem der Befehl "WFC\" - WAIT FOR CHANGE.
Dieser Befehl greift nun nicht dauernd auf Platte oder Verzeichnis zu.
Stattdessen wird eine Benachrichtigungs-API des NTFS-Dateisystems verwendet.

Dadurch wird das Verzeichnis beobachtet, ohne dass die Festplatte sich überhaupt dreht!
Lesezugriffe werden dabei ignoriert -also der Antivirus stört auch nicht!

Der Befehl reagiert nur, wenn schreibend in dem angegebenen Ordner etwas gespeichert wird.
Das passt!

So nun wurde also in dem Verzeichnis etwas geschrieben. Nun prüfen wir noch die Prüfsumme unserer Testdatei.
Stimmt diese nicht mit der Prüfsumme überein, die die Datei direkt nach dem Start hatte, geben wir Alarm.
Dieses Package-Robot Script sieht so aus:

Code: Select all

VAR\$$FOL=?pfad\honeypot\
VAR\$$FIL=$$FOLManuskript.doc
' Original-Prüfsumme der Datei ermitteln
GMD\1\$$FIL
VAR\$$HAA=$v1$
' Das Folgende ist die ganze Hauptschleife
:Loop
' Befehl wartet unbegrenzt auf Schreib-Zugriffe auf dieses Verzeichnis
WFC\$$FOL
IEF\$$FIL
   GMD\1\$$FIL
   VAR\$$HAS=$v1$
   ' Wenn Prüfsummen nicht gleich
   IVV\$$HAS!$$HAA
      VAR\$$ERR=Prüfsumme dser Datei hat sich geändert!
      GOTO Alert
   EVV\
   MBX\$$HAS
ELSE
   VAR\$$ERR=Datei ist nicht zugreifbar oder nicht vorhanden.
   GOTO Alert
EEF\
GOTO Loop
@

:Alert
MBX\Hier wird nun eine Alarm ausgelöst!$crlf$$$ERR
@
Bis dahin haben wir bereits den funktionierenden Honeypot.
Man könnte nun unter Anwendung von FEF\ auch von mehrere Dateien die Prüfsummen vergleichen.

Was aber, wenn nun ein raffinierter Virus - (oder ein Mitarbeiter aus Versehen) den "Robot" beendet?
Auch hierfür bietet der MPR eine Absicherung, das ist der "Watchdog".

Der "Watchdog" - einmal gestartet, prüft ob der "Robot" bzw. das Skript läuft, und falls nicht startet er eine EXE-Datei oder ein beliebiges "MPR-Skript". Zur Not auch genau das Gleiche erneut.

Um den Watchdog zu verwenden genügt eine einzige Zeile am Anfang des Skriptes:

Code: Select all

' Watchdog benutzen!
WDL\c\Alert.rem
In diesem Fall starten wir "Alert.rem" wenn das Skript (vor dem eigentlichen Skriptende) beendet wurde.
Zusätzlich muß es also die Datei "Alert.rem" geben.
Da steht in diesem kurzen Beispiel nur drin:

Code: Select all

MBX\Achtung die Überwachung der Ransomware wurde beendet!
@
Und damit funktioniert das Ganze auch noch "Hochverfügbar".
Der MPR Watchdog hat noch weitere interessante Möglichkeiten um zu kontrollieren, daß Skripte innerhalb strenger Toleranzen laufen, mehr dazu in der Hilfe zu WDL\ und WDM\.

WICHTIG: Das Skript muß auf dem PC laufen, wo die Platten physisch drin stecken!

So nun spinnen wir das noch etwas weiter. Nehmen wir mal an, das Z:-Laufwerk wäre unbenutzt.
Wir hängen da nun einen Hochleistungs-PC dran:
- Windows XP, 1-Core CPU, 1 TB Festplatte mit sinnlosen Dokumenten. Netzwerkanbindung nicht größer als 10 MBit.
"Warum so viel Leistung?" wird sich mancher fragen?
Während der Virus noch beschäftigt ist, das 1 Terrabyte (an sinnlosen Daten) via 10 MBit zu übetragen und zu verschlüsseln haben wir ja den Alarm und die Reaktionszeit.

Man kann dann sogar hergehen, und nach der Alarmauslösung den Robot zu sinnlosen "CFF\ und CTF\" Operationen verwenden, um die Schnelligkeit der Platte weiter zu drosseln. Die Platte sollte natürlich komprimiert sein.
Hier ist Langsamkeit Trumpf.

User avatar
Theo_Gottwald
Posts: 367
Joined: 03. Oct 2009, 08:57
Location: Herrenstr.11 * 76706 Dettenheim
Contact:

Re: Der Package Robot, das Matrix Tool gegen RANSOMEWARE!

Post by Theo_Gottwald » 13. May 2017, 08:41

NSA-Exploits legen weltweit Windows-Rechner lahm

Die Shadowbroker-Leaks haben auf einmal weltweite Auswirkungen:

Rechner in mehr als 80 Ländern sollen bereits mit Ransomware infiziert sein, begonnen hatte es mit britischen Krankenhäusern.

Alle Nutzer betroffener Windows-Versionen sollten die Updates von Microsoft umgehend einspielen.
Windows-Rechner weltweit werden zurzeit von einer Ransomware befallen, die offenbar eine Schwachstelle aus dem Shadowbroker-Dump nutzt. Erste Infektionen wurden aus Großbritannien gemeldet, wo mehrere Krankenhäuser des National Health Service (NHS) betroffen sind. Auch zahlreiche spanische Unternehmen melden entsprechende Infektionen, unter anderem der O2-Mutterkonzern Telefonica.
Verteilt wird eine Ransomware mit den Namen Wcrypt, Wanacrypt, Wana Decryptor oder Wana Cry. Die Erpresser verlangen von den Eigentümern der Rechner einen Betrag von 300 US-Dollar. Das spanische Computer Emergency Response Team und zahlreiche Sicherheitsexperten vermuten, dass die Angreifer die Eternalblue-Schwachstelle aus dem Shadowbroker-Fundus nutzen, um die Rechner zu infizieren. Microsoft hatte die entsprechenden Schwachstellen im Server Message Block (SMB) gepatcht, offenbar haben viele Nutzer ihre Rechner aber noch nicht auf den aktuellen Stand gebracht.
Malware verbreitet sich im Netzwerk weiter
Dass die Ransomware sich so schnell verbreiten kann, liegt offenbar auch daran, dass sie sich wie ein Wurm im Netzwerk verbreitet. In einem großen Netzwerk kann demnach ein einziger verwundbarer Rechner ausreichen, um andere PCs über das interne Netzwerk zu infizieren. Die Ransomware droht damit, die Daten endgültig zu zerstören, wenn nicht innerhalb von sieben Tagen gezahlt wird.
Unklar ist, ob Unternehmen und Krankenhäuser gezielt angegriffen werden, oder ob diese häufiger mit der Installation von Updates hinterherhinken. Wahrscheinlich ist, dass verwundbare Rechner erst per Scan ermittelt werden und dann infiziert werden.
Ransomware verbreitet sich seit dem vergangenen Jahr rasant, auch in Deutschland wurden bereits Krankenhäuser und Gemeindeverwaltungen infiziert.

WannaCrypt: Sicherheitslücken melden gilt auch für die NSA
Krankenhäuser, Produktionswerkstätten, Hotels, Ministerien, Bahn-Terminals, Videoüberwachungsanlagen und Computer von zahlreichen privaten Nutzern: Sie alle, insgesamt laut ersten Zahlen mehr als 75.000 Rechner in 99 Ländern, wurden am Freitag vom Erpressunstrojaner #WannaCry lahmgelegt. Neben Deutschlands Bahn-Terminals waren auch Unternehmen aus Österreich betroffen. #WannaCry kann sich im Gegensatz zu manch anderem Crypto-Trojanern selbst weiterbreiten.
Der Cryptotrojaner macht sich zudem eine Sicherheitslücke zunutze, die dem US-Geheimdienst NSA seit Monaten bekannt und die erst im April diesen Jahres von Hackern veröffentlicht worden war. Die NSA hatte die Sicherheitslücke entdeckt, aber nicht veröffentlicht, sondern absichtlich geheim gehalten, um sie für eigene Zwecke gezielt einzusetzen.
NSA mitverantwortlich
NSA-Whistleblower Edward Snowden kritisiert diese Praxis nun offen. Die NSA sei für diese massiven Auswirkungen nun mitverantwortlich. Seiner Meinung nach hätte die NSA die Sicherheitslücke sofort den betroffenen Unternehmen – in dem konkreten Fall Microsoft – mitteilen müssen.
Durch den Ausfall von Computern in Spitälern seien Menschenleben gefährdet. "Wenn die NSA die Sicherheitslücke, die für den Angriff auf Krankenhäuser genutzt wurde, geschlossen hätte, als sie sie gefunden haben, nicht erst als sie sie verloren haben, wäre der Angriff nicht passiert", so der Whistleblower.
„Das Geheimhalten von Sicherheitslücken bringt uns alle in Gefahr“, sagt auch Linus Neumann vom Chaos Computer Club (CCC) in einem Tweet. Auch der Chaos Computer Club Wien (C3W) äußerste sich dazu: „Staatliche Spionagesoftware ist ein Sicherheitsrisiko. Es darf nicht übersehen werden, dass Geheimdienste für diese kriminellen Handlungen mitverantwortlich sind oder Vorschub geleistet haben“, heißt es in einem Blogeintrag.
Staatstrojaner als Spionagetool
Österreichs Justizminister Wolfgang Brandstetter (ÖVP) hatte vor wenigen Tagen erneut einen Staatstrojaner gefordert, konkret sollen „bestehende Überwachungslücken im Bereich der internetbasierten Telekommunikation“ geschlossen werden. Stattdessen würden mit derartigen Systemen aber Sicherheitslücken – wie #Wannacry – geschaffen.
„Wir müssen uns von der narzisstischen Vorstellung lösen, dass Kriminelle es alleine auf ausgesuchte Unternehmen abgesehen haben. Vielmehr werden Sicherheitslücken flächendeckend ausgenutzt, ebenso wie das Verhalten, in Unkenntnis Mail-Anhänge zu öffnen, Office Makros auszuführen oder auf Werbebanner zu klicken", so der C3W.
Backups und Updates
Neben regelmäßigen Backups der Dateien werden aus Sicherheitsgründen auch regelmäßige Updates empfohlen. Von #WannaCry betroffen sind etwa nur Systeme, die das jüngste Update von Microsoft, das im März erschienen war, noch nicht eingespielt hatten.
Dazu zählen aber auch zahlreiche Krankenhäuser, deren Rechner noch mit Windows XP laufen - für das es bekanntlich ohne teure Service-Verträge keine Updates mehr gibt. Microsoft hat jetzt aufgrund der „potentiellen Auswirkungen“ von #WannaCry – es werden noch weitere, ähnliche Folgeangriffe dieser Art erwartet – die Updates auch für Windows XP bereitgestellt.
Schulungsprogramm
Der C3W geht allerdings noch einen Schritt weiter: „Es braucht ein Schulungsprogramm für jeden, um auf die Wichtigkeit von Updates, richtiges Verhalten im "Normalbetrieb" sowie auch im Notfall zu lernen. Es muss auf die Gefahren von Werbebannern, unbekannten PDFs, Office-Dokumenten und Mail-Anhängen aller Art hingewiesen werden.“ Diese Schulungsmaßnahmen seien mindestens alle sechs Monate zu wiederholen. „So wie man als Kind lernt, eine Fahrbahn erst nach dem Schauen in alle Richtungen zu betreten und keine Schokolade von Fremden zu nehmen, so muss auch richtiges Verhalten im Internet beigebracht werden.“

User avatar
Theo_Gottwald
Posts: 367
Joined: 03. Oct 2009, 08:57
Location: Herrenstr.11 * 76706 Dettenheim
Contact:

Re: Der Package Robot, das Matrix Tool gegen RANSOMEWARE!

Post by Theo_Gottwald » 15. May 2017, 07:19

Update: WannaCry geht in die nächste Runde ohne Kill-Switch

Und wer gedacht hätte, das schlimmste rings um WannaCry wäre vorbei, der hatte vermutlich nicht verstanden, wie einfach der Ransomware-Wurm WannaCry umzuschreiben ist.

In einem Blog-Post von Matthieu Suiche wird ausführlich erklärt, dass es gleich mehrere Varianten gibt. Manche mit anderen URLs als Kill-Switches, aber auch welche ohne diese Funktion. Letztere sind zwar nicht als Ransomeware funktionstüchtig,
verbreiten sich aber dennoch. Es dürfte nur eine Frage von Stunden sein, bis noch mehr Varianten auftauchen.

Und da einige Firmen die eigenwillige Eigenschaft haben über das Wochenende zu pausieren, dürfte die Gefahr groß sein, dass es am Montag zu einer neuen "Infektionswelle" kommt.

Da Patches aber selbst für XP, Windows 8 und Windows Server 2003 existieren, bleibt zumindest zu hoffen, dass vorher noch einige "gesichert" werden.


User avatar
Theo_Gottwald
Posts: 367
Joined: 03. Oct 2009, 08:57
Location: Herrenstr.11 * 76706 Dettenheim
Contact:

Re: Der Package Robot, das Matrix Tool gegen RANSOMEWARE!

Post by Theo_Gottwald » 22. Oct 2017, 10:51

Wer einen fix und fertigen Honeypot haben möchte kann sich hier die FREEWARE herunterladen:

Ransomeware Honeypot

oder zu der kommerziellen Version greifen, die auch gleich noch ermittelt von welchen Client die Gefährdung ausgeht.

Post Reply

Return to “Package Robot”

Who is online

Users browsing this forum: No registered users and 4 guests