Die Petya-Malware hat in einem Ausbruch Ende Juni Unternehmen in mehr als 60 Ländern infiziert. Die Reichweite des Angriffs, der scheinbar gezielt auf Firmen zugeschnitten war, ruft Erinnerungen an WannaCry wach.
Während es tatsächlich Überschneidungen gibt, so sind vor allem einige wichtige Unterschiede, die Firmen kennen sollten. Hier sind drei Tipps, mit denen sich Unternehmen gegen eine Petya-Infektion schützen können.
Petya nutzt Ihre eigenen Login-Daten für den Angriff
Petya versucht Zugriff auf lokale Admin-Zugangsdaten zu erlangen und verwendet dazu verschiedene Mechanismen. Sobald die Malware diese Informationen hat, kann sie über Standard-Windows-Funktionen von einem System zum nächsten springen.
Lösung: Laut Jarno Niemelä, F-Secure Labs Lead Resarcher, sollten Unternehmen vorsichtig mit administrativen Kennwörtern umgehen, bis Schutzmaßnahmen etabliert sind.
„Gefährdete Unternehmen sollten ihren Angestellten darauf hinweisen, sich nicht mit administrativen Zugangsdaten anzumelden“, sagt Jarno. „Falls möglich, sollten Systeme nach jeder administrativen Arbeit neu gestartet werden. Zudem sollten lokale Admin-Accounts einmalige Passwörter verwenden.“
Petya nutzt für die Verbreitung mehrere Techniken
Das von der NSA entwickelte ExternalBlue-Exploit nutzt eine Schwachstelle im SMB Protokoll, das in den meisten Versionen von Windows integriert ist. Ein Patch ist bereits verfügbar, falls noch nicht geschehen sollten Firmen diesen schnellstmöglich einspielen.
Allerdings verwendet Petya noch weitere Tricks, um sich im Netzwerk zu verbreiten. Dazu nutzt die Malware zwei legitime Windows-Tools, PSEXEC und WMIC sowie die erbeuteten administrativen Zugangsdaten.
Lösung: Unternehmen können laut dem F-Secure Principal Security Consultant Tom Van de Wiele verschiedene Gegenmaßnahmen treffen. Diese verhindern, dass Petya sie für eigene Zwecke missbrauchen kann:
- Proaktives Erstellen der Datei c:\windows\perfc (keine Dateiendung), mit deaktivierten Lese- und Schreibrechten. Petya sollte nicht aktiv werden, wenn es diese Datei findet.
- Den Aufruf auf psexec.exe deaktivieren. Dazu muss in der Registry im Pfad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ein Schlüssel namens psexec.exe erstellt werden. Der REG_SZ-Wert muss anschließend Debugger genannt werden und sollte auf svchost.exe verweisen. So lässt sich die echte psexec nicht ausführen.
- Deaktivieren der lokalen AD / GPO Konten für Remote-Logins. So wird der Zugriff auf psexec und wmic geblockt.
- WMIC abschalten, wo es nicht benötigt wird.
- Die Firewall sollte eingehende Anfragen auf Port 135/TCP (winrpc) blockieren.
- Die Firewall sollte eingehende Anfragen auf Port 445/TCP (cifs) blockieren, um das EternalBlue-Exploit zu stoppen. Dieser Schritt hilft auch gegen WannaCry.
Angriff auf Kundenkreis
Es wird langsam klarer, wie sich Petya durch die Netzwerke bewegt. Allerdings ist die initiale Infektion noch immer nicht wirklich bekannt. Es gibt Berichte, wonach die ersten Infektionen über eine Ukrainische Firma erfolgten, deren Update-Prozess von Petya missbraucht wurde.
Das könnte bedeuten, dass die Systeme des Herstellers infiziert wurden oder dass die Angreifer über eine Man-in-the-Middle-Attacke die Verbindung zwischen Firma und Kunde infiltrieren konnten.
„Solche Angriffe zielen auf eine spezielle Gruppe von Firmen, die einen speziellen Dienst nutzen“, sagt F-Secure Technology Experte Andy Patel. „Über diese „teilweise gezielten“ Angriffe lassen sich mehre Firmen oder Einzelpersonen in einer einzigen Aktion infizieren. Im Fall der Petya-Angriffe wissen wir nicht, ob die Infrastruktur von M.E.Doc kompromittiert oder ob die Updates zu den Opfern per Man-in-the-Middle-Attacke verschickt wurden.“
Zudem erklärt ein Angriff auf den Hersteller nicht die weltweite Verbreitung der Malware. Es ist eine Attacke, auf die viele Opfer nicht vorbereitet waren. Und es ist eindeutig ein Problem, um das sich Firmen kümmern müssen.
Lösung: Derart gezielte Angriffe sind oft schwer zu entdecken. Die beste Lösung ist hier ein System, das Einbrüche erkennt und entsprechend reagiert. Der F-Secure Rapid Detection Service würde etwa das ungewöhnliche Verhalten eines bösartigen Programms im Netzwerk erkennen.
Zahlreiche Sicherheitslösungen, darunter auch die Produkte von F-Secure, bieten Firmen verschiedene Möglichkeiten an, um sich gegen Angriffe zu schützen. Die genutzten Taktiken, Techniken und Prozeduren wirken vielleicht ausgereift, dennoch lassen sie sich blockieren. In diesem Beitrag bieten wir mehr Informationen zum Schutz vor Petya und Co.
Kategorien