WannaCry: best practices
Vanuit een technisch perspectief heeft WCry (in zijn twee binaire componenten) de volgende eigenschappen:
- Bestaat uit twee Windows-binaries.
- exe: een worm die zorgt voor de verspreiding van de uitvoering van de lading.
- exe: een ransomware trojan die door de worm wordt uitgevoerd.
- Er zijn een beperkt aantal varianten van de binaries, maar deze zijn niet heel verschillend van elkaar.
- Verspreidt zich via SMB poort 445 door gebruik te maken van beveiligingslek MS17-010. Deze werd bekend gemaakt op exploit-db[.]com.
- Oorspronkelijk is de exploit afkomstig van NSA-tools die door een groep genaamd ‘Shadow Brokers’ werden gelekt.
- Het beveiligingslek MS17-010 zat in alle versies van Windows tot en met Windows Server 2016, dus deze aanval raakte meer dan alleen Windows XP. Alleen in XP en Server 2003 werd het lek niet gedicht met een patch.
- Bevat een “kill switch” functionaliteit die door @malwaretechblog gebruikt werd om de verspreiding te stoppen.
- Inmiddels zijn er varianten van WCry gesignaleerd. Mensen hebben de originele malware gewijzigd in de hoop de kill switch uit te schakelen.
- Scant lokaal netwerk en internet voor nieuwe hosts om te infecteren.
- Ondanks de vroege meldingen over distributie via e-mail, kan niemand een andere infectievector bevestigen dan SMB, het netwerkprotocol dat gebruikt wordt om in Microsoft Windows bestandsuitwisseling tussen meerdere computers mogelijk te maken.
Al met al voelt het bovenstaande alsof we een reis terug in de tijd hebben gemaakt. In de perfecte wereld zou een dergelijke malware-uitbraak nooit kunnen gebeuren. En het had allemaal nog veel erger kunnen zijn, als IT-beheerders niet op tijd de juiste updates en firewallconfiguraties doorgevoerd hadden. Zonder hun adequate optreden was de uitbraak nog vele malen erger geweest.
Afgezien van de ransomware-component, is de WannaCry erg vergelijkbaar met de W32/Blaster worm uit 2003. Deze worm infecteerde toen 8 miljoen computers door gebruik te maken van een lek in RPC/DCOM. Het is wel duidelijk dat de aanvallers geen super hackers waren, ze hadden namelijk geen idee wat ze in handen hadden toen ze de worm maakten. Zoals vaker gebeurt, hebben ze gebruik gemaakt van een bekende exploit. Maar nooit hadden ze deze massale distributie en aandacht verwacht. Het voelt een beetje alsof iemand een sloophamer als vliegenmepper gebruikt. Waarschijnlijk zijn de makers op de vlucht, de hele wereld is naar ze op zoek.
Waarom de WCry-aanval kon gebeuren? Waarschijnlijk omdat de e-mail based aanvallen in 2008-2010 uitgestorven leken en tegenwoordig weer een veel voorkomende vector zijn. Systemen die niet aangevallen worden, worden niet gezien als risico en daar wordt dan minder naar omgekeken. Grote internet- en lokale netwerkwormen zijn al jarenlang geen probleem meer, daarom hebben organisaties het onderhoud aan de firewallconfiguratie verwaarloosd. Hetzelfde geldt voor SMB poort 445, die nodig is voor communicatie tussen werkstation en bestandserver. Voor het gemak maken beheerders het mogelijk om twee richtingen op te communiceren, terwijl dat een groot (is nu gebleken) risico met zich meebrengt.
De eerste WannaCry golf is voorbij, maar we blijven achter met een grote hoeveelheid kwetsbare systemen. Daarom is het belangrijk om te leren van deze aanval en om de juiste maatregelen te treffen.
Best Practices
Het belangrijkste in de strijd tegen netwerkwormen is een goede host firewallconfiguratie. Daarom een aantal best practices op een rij:
- Workstations mogen geen inbound verkeer accepteren, behalve administratie workstations en de domain controller.
- Servers zijn servers en er mag geen outbound verkeer richting workstations of andere servers zijn. Alleen als het echt niet anders kan.
Dit betekent dat op workstations de inbound poorten 135, 137, 138 en 445 geblokkeerd moeten zijn voor alles behalve onderhoudsdoeleinden. En servers moeten de inbound poorten die nodig zijn vanzelfsprekend open hebben. Maar als inbound verkeer toegestaan is op deze servers, moet outbound verkeer tegengehouden worden.
In het geval van een aanval is het niet mogelijk dat de geïnfecteerde host andere werkstations infecteert. Zelfs als een server geïnfecteerd wordt, kan deze de infectie niet doorgeven aan andere werkstations. Deze configuratie maakt het voor APT-aanvallers moeilijk om de malware verder te verspreiden op het netwerk. Vooral als Windows Remote management-poorten 5985 en 5986 alles blokkeren behalve het verkeer van administratieve workstations.
Natuurlijk zijn er speciale gevallen, waarbij Windows XP machines niet gepatched kunnen worden en er een SMB-server moet draaien om toegang te krijgen tot bepaalde bestanden. Dat geldt voor MRI scanners in het ziekenhuis bijvoorbeeld. In zo’n geval is het belangrijk dat ieder systeem dat verbonden is met een dergelijke machine goed beveiligd moet zijn. Als alle systemen die verbonden zijn met een MRI scanner beschermd worden door hun eigen firewall, kunnen ze niet worden geïnfecteerd door WCry of een andere variant. En dat voorkomt verdere verspreiding op het netwerk.
Categorieën