Malwarebytes-Analyse: Wie sich WannaCry verbreitete

Publiziert am 21. Mai 2017 von Günter Born

Gut eine Woche nach dem WannyCry-Angriff auf Windows-Systeme wird so langsam klar, wie sich der Erpressungstrojaner in Netzwerken so schnell verbreiten konnte.

Anzeige

Ab dem 12. Mai 2017 kam es ja weltweit zu Angriffe auf Windows-Systeme durch den Erpressungstrojaner WannaCry. Dieser war sehr erfolgreich und konnte binnen Stunden über 200.000 Systeme infizieren.


(Quelle: MalwareBytes)

Infektion im Video

Was bleibt, ist die Frage nach dem Infektions- und Verbreitungsweg. Mir liegen Informationen von Malwarebytes vor, die das Ganze analysiert haben. Das nachfolgend gezeigte Video zeigt die Infektionen in einer Heat Map.

(Quelle: YouTube)

Keine Phishing-Mails

Bei heise.de las ich, dass die Deutsche Bahn gegenüber der Redaktion angab, initial durch einen Phishing-Mail den Schädling eingefangen zu haben. Auch an anderer Stelle gab es solche Hinweise. Daher tippten Sicherheitsspezialisten darauf, dass eine Kombination aus Phishing-Mails und Verbreitung über eine Wurm-Komponente zur Infektion führte.

Die von vielen (auch hier im Blog von mir) angenommene Vermutung, dass sich WannaCry über Emails verteilte, stellte sich aber, laut MalwareBytes, als falsch heraus. Am besagten Freitag startet eine umfangreiche Malware-Kampagne des Necurs Botnets. Gleichzeitig erfolgte die Infektion durch WannaCry am Freitag-Nachmittag. Sicherheitsspezialisten sind wohl auf Grund dieser Umstände und des Zeitdrucks zu diversen Fehlannahmen verleitet worden.

Anzeige

Ergebnisse einer Analyse

Malwarebytes-Recherchen und eine Analyse der Ergebnisse durch das Malwarebytes Threat Intelligence Team zeigten, dass der „Ransomwurm" öffentliche SMB-Ports im Visier hatte und die von der NSA genutzte Sicherheitslücke EternalBlue verwendete, um ins Netzwerk zu gelangen.

Die 'ransomworm' Komponente, die für die schnelle Verbreitung sorgte, wurde laut MalwareBytes definitiv nicht per E-Mail-Spam verteilt. Vielmehr zeigten Analysen, dass die Wurm-Komponente über die SMBv1-Lücke remote verteilt wurde. Dann wurde der von der NSA entwickelte EternalBlue-Exploit eingesetzt, um in das interne Netzwerk einzudringen. Im Anschluss kam der von der NSA verwendete DoublePulsar-Exploit zur Installation der WannaCry-Ransomware im Betriebssystem zum Einsatz. Von dort lief dann die Infektion weiterer Rechner nach dem gleichen Muster ab. Die Details der Analyse sind in einem (englischsprachigen) MalwareBytes-Blog-Beitrag nachzulesen.

Ähnliche Artikel:
Ransomware WannaCry befällt tausende Computer weltweit
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Neue Versionen und mehr Neuigkeiten
WannaCry: Die Lage am Montag
WannaCry: Meist ungepatchte Windows 7 Systeme befallen

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.