Malware Technik

WANNACRY / WANNACRYPT

Von am 15. Mai 2017

Wenn man in der IT Security arbeitet, dann gibts ruhige Tage und wiederum Tage an denen die Bude brennt. Heute ist (zumindest gefühlt) ein solcher Tag. Ihr habt vermutlich alle von dieser bösen neuen Ransomware namens „WannaCry“ (oder auch WannaCrypt oder WannaCrypt0r) gehört, die momentan die halbe Welt in Verunsicherung bringt.

Die Bude brennt bei mir aber nicht, weil die Systeme mit denen ich arbeite betroffen sind, sondern weil von allen Seiten irgendwelche Anfragen bzgl. dem Driss reinkommen. Am allerschlimmsten sind aber die Marketing-Abteilungen der ganzen „Cyber“-Firmen, die jetzt meinen: „Hey, lasst uns unsere tolle ‚Cyber‘-Software heute nochmal ordentlich anpreisen, indem wir WannaCry referenzieren und damit werben, wie toll unsere Software den Kunden doch dagegen schützt“. Ganz ehrlich, die kotzen mich gepflegt an.

Um sich gegen die Ransomware zu schützen ist im Prinzip recht einfach: PATCHT EURE SCHEISS SYSTEME! Das Patch für die Sicherheitslücke, die von WannaCry ausgenutzt wird, ist am 14. März von MS veröffentlicht worden. Das ist jetzt knapp 60 Tage her. Für Privatpersonen und kleine bis mittelständige Unternehme gibt es überhaupt keinen Grund, weshalb man es innerhalb dieser 60 Tage nicht geschafft haben sollte, den Patch zu installieren (ausser Faulheit eventuell).

Gut, genug mit dem Geschimpfe… hier noch ein Tipp, wie man recht schnell und einfach feststellen kann, ob alle Systeme im Netz den Patch installiert haben (und auch nach der Installation rebootet haben – denn sonst nützt der Patch nichts) – und das ohne, dass man irgendwelche Trial-Versionen von irgendwelchen tollen Cyber-Tools installieren muss, die von den Marketingabteilungen gewinnbringend angeboten werden.

Die aktuelle Version von Metasploit bringt ein Auxilery-Modul zum scannen auf MS17-010 mit. Das Ding scannt Dein Netz nach Rechnern, die SMBv1 anbieten und wenn, ob sie anfällig für die Sicherheitslücke sind. Zusätzlich, prüft das Teil noch, wenn ein Rechner anfällig ist, ob bereits die DoublePulsar Backdoor installiert wurde, die auch bei WannaCry dabei ist.

So sieht das ganze dann aus. Man sieht schnell welche Maschinen noch zu patchen bzw. rebooten sind.

TAGS
ÄHNLICHE BEITRÄGE
FASTCRYPT

5. März 2017

HINTERLASSE EINEN KOMMENTAR