Petya oder NotPetya – das sollten Sie wissen

Der Angriff richtet sich gegen Computersysteme mit Microsoft Betriebssystem ab Windows XP. Zur Verbreitung werden unter anderem zwei Schwachstellen genutzt („EternalBlue“ und EternalRomance“), die, so vermuten Experten,  aus dem Werkzeugkasten des US-amerikanischen Auslandsgeheimdienstes NSA stammen. Betroffen sind hauptsächlich Unternehmen in Russland, aber auch in der Ukraine sind die Regierung, die Zentralbank und Kiews Flughafen, sowie weitere Unternehmen betroffen. Eine der zugrundeliegenden Schwachstellen kam bereits bei dem weltweiten Cyber-Angriff WannaCry  zum Einsatz. Dass der aktuelle Angriff NotPetya/Nyetya trotzdem so erfolgreich ist, liegt nicht zuletzt daran, dass zusätzliche Infektionswege für die Verbreitung genutzt werden. 

Befallene Systeme werden von dem Erpressungstrojaner mit starken Verschlüsselungsverfahren (AES-128, RSA) verschlüsselt. Im Fokus stehen bestimmte Dateitypen wie komprimierte Archive, PDF-Dokumente, Office-Dateien, Mail-Ordner, Virtuelle Maschinen und Backup-Dateien. Ein kostenloses Entschlüsselungstool ist derzeit nicht verfügbar. 

Während das Erscheinungsbild dem einer Ransomware, also einer Erpressungs-Schadsoftware),entspricht, kann als eigentliches Ziel nur Störung und Sabotage ausgemacht werden. Dieser Schluss begründet sich darin, dass auf der einen Seite die Infektionswege für diese Art von Schadsoftware sehr neuartig und raffiniert sind und normalerweise eher an sehr gezielten Angriffe erinnern. Auf der anderen Seite entsprechen die Bezahlmöglichkeiten für Betroffene nicht dem aktuellen Stand der Technik und wirken eher nachlässig implementiert.

NotPetya nutzt zur Verbreitung unter anderem einen Update Prozess einer regulären Finanzsoftware mit starker Verbreitung in der Ukraine. Daher liegt die Vermutung nahe, dass speziell die Ukraine durch den Angriff geschädigt werden sollte.

Bekannt sind bislang drei Vektoren, die zur Verbreitung genutzt werden: 

1.    Watering Hole  
Bei Watering Hole (Wasser-/Trinkstelle), zielen die Angreifer auf die Quellen im Netz, die die Zielgruppe nutzt. Beispiele für solche so genannten Versorgungsquellen sind Zulieferer, lokale Nachrichten oder Verwaltungsbehörden. Durch Manipulation der Versorgungsquelle können die Nutzer dieser Quelle kompromittiert werden. 
So stellt sich das Vorgehen im Falle des Unternehmens MeDoc Finanzsoftware dar, deren Software zur Verbreitung von NotPetya ausgenutzt wird: Offensichtlich haben Kriminelle die Updatequellen der Software manipuliert und dafür gesorgt, dass Schadsoftware an alle Systeme ausgeliefert wird, die die MeDoc Software installiert haben und den (wöchentlichen) Update Mechanismus zulassen. Der Schadcode erreicht die Zielgruppe also per automatischem Update. Da die MeDoc Software vorrangig in der Ukraine zum Einsatz kommt, halten sich die Vermutungen, dass speziell die Ukraine durch den Angriff geschädigt werden sollte. 

2.    SMBv1 Lücke „EternalBlue“ und "EternalRomance" 
Die Verbreitung über SMBv1 Schwachstellen (eine veraltete Version des Server Message Block Protokolls, das zum Datenaustausch zwischen verschiedenen Computern über Netzwerkfreigaben dient) findet sehr gezielt und nur auf vorhandene Systeme statt. Hierzu werden die Ergebnisse aus der Aufklärung, der domänenzugehörigen Systeme über den Active Directory Dienst, genutzt. Auf die resultierenden Systeme werden „EternalBlue“ und „EternalRomance“ als Exploits eingesetzt. Diese wurden mutmaßlich vom US-amerikanischen Auslandsgeheimdienst NSA genutzt, um Windows Systeme zu kompromittieren.

Am 12. und 14. März 2017 veröffentlichte Microsoft zwei Patches (MS17-010 und MS17-008) für die unter der CVE-2017-0144 (SMB Remote Windows Kernel Pool Corruption) und unter der CVE-2017-0145 (Windows SMB Remote Code Execution Vulnerabilty) bekannten Schwachstellen.

Am 14. April 2017 veröffentlichte die Hackergruppe The Shadow Brokers die Exploits "EternalBlue" und "EternalRomance" unter der Behauptung, dass es sich um ein Angriffswerkzeug der NSA handelt. 

Am 12. Mai 2017 wurde die CVE-2017-0144 Lücke für die weltweiten Angriffe des Erpressungstrojaners WannaCry missbraucht, der sich wurmartig verbreitete. Als Exploit Modul wurde hierbei "EternalBlue" wiederverwendet. 

Am 27. Juni 2017 wurde die Lücke für die Angriffe einer neuen Variante des Erpressungstrojaners NotPetya missbraucht. Zusätzlich zu dem bereits in WannaCry genutzten "EternalBlue" Exploit kam auch der unter dem Namen "EternalRomance" bekannt gewordene Exploit zum Einsatz. 

3.    Lateral Bewegung über valide Zugangsdaten 
Der dritte Verbreitungsvektor nutzt valide Zugangsdaten, um den Schadcode zunächst über Netzlaufwerkfreigaben zu kopieren und anschließend über das bei Administratoren beliebte PsExec, bzw. WMIC (Windows Management Instrumentation Commandline) auszuführen. Beide Werkzeuge sind gerade in größeren Unternehmensnetzwerken vorhanden um flächenweite Systemkonfigurationen vorzunehmen. Entsprechend werden zur Ausführung Administrationsrechte benötigt. Mit diesen können die Werkzeuge auch zur privilegierten Ausführung von Schadsoftware genutzt werden. Zur Erhebung von Zugangsdaten ist eigens ein Mechanismus zur Extraktion von Passwörtern  integriert, der ähnlich wie das häufig verwendete Mimikatz Werkzeug Passwörter aus dem Speicher ausliest und wiederherstellt. Weiter wurde auch die Wiederverwertung von bereits bestehenden Vertrauensbeziehungen (active session re-use) beobachtet. 

Das gezielte Vorgehen der vorliegenden Schadsoftware insbesondere bei der Verbreitung wird durch zwei Aufklärungsmechanismen gesteuert:  

1.    Abfrage der AD Server nach weiteren Systemen, die auch zur Domäne gehören.

2.    Ausspähen von weiteren Passwörtern auf Systemen, die bereits kompromittiert wurden.

Sofern weitere Systeme im ersten Schritt identifiziert werden, werden hier die Angriffsvektoren gezielt angewendet, um die Kompromittierung auf entsprechende Systeme auszuweiten. Extrahierte Zugangsdaten kommen im Verbreitungsvektor 3 zur Anwendung.

Die verschiedenen Verbreitungsvektoren lassen sich durch unterschiedliche Maßnahmen eindämmen/unterbinden: 
1.    Vorübergehendes Unterbinden der Updates von MeDoc 
2.    Patchstände aktuell halten (insbesondere durch Einspielen der verfügbaren Microsoft Patches) 
3.    Keine Domäne-weiten Administrator-Konten 
4.    System Impfung (Vaccination/Killswitch)  
5.    Backups aktuell und einsatzfähig vorhalten 

1.    MeDoc Updates unterbinden 
Durch Blockieren der Update-Server  

upd.me-doc.com.ua 

kann das Laden der manipulierten Updates unterbunden werden. Diese Maßnahme sollte nur temporär, aber bis zur vollständigen Behebung des Sicherheitsvorfalls auf Seiten MeDoc umgesetzt werden. 

2.    Patches aktuell halten 
Durch Einspielen der durch Microsoft bereitgestellten Patches / Updates werden die relevanten Schwachstellen behoben. Wie oben am zeitlichen Verlauf zu sehen ist, wurden die Patches bereits vor Veröffentlichung der Schwachstellen bereitgestellt.  

3.    Keine Domäne-weiten Administrator-Konten 
Durch Verzicht bzw. Abschaltung von Domäne-weiten Administrator-Konten können massenhafte, legitime (autorisierte) Programmausführungen unterbunden werden. Da diese Mechanismen auch für die Ausführung von Schadsoftware mit Administrator Privilegien genutzt wird, kann so entsprechender Missbrauch verhindert werden. 

4.    SystemImpfung 
Die Programmlogik der Schadsoftware erlaubt es durch Anlegen von bestimmten Dateien die Installation der Schadsoftware zu verhindern. Die somit als Killswitch nutzbare Systemänderung kann als Impfung/Vaccination präventiv vorgenommen werden. Der Erpressungstrojaner prüft das Vorhandensein bestimmter Dateien im Ordner C:\Windows: 

  C:\Windows\perfc 
  C:\Windows\perfc.dll 
  C:\Windows\perfc.dat 

Befinden sich diese Dateien auf dem System, stellt der Trojaner seine Aktivitäten nach einem erfolgreichen Angriff ein, sodass es nicht zu einer Verschlüsselung des Systems kommt. Eine Impfung kann somit durch das präventive Anlegen der genannten Dateien (mit beliebigem Inhalt) erfolgen. Da diese Parameter leicht vom Angreifer angepasst werden können ist die Nachhaltigkeit dieser Methode eher schwach. 

5.    Backups aktuell und einsatzfähig vorhalten 
Durch das Vorhalten von Backups und geprüften Prozessen zur Wiederherstellung von Backups können Auswirkungen sowohl von Verschlüsselungs-Schadsoftware, als auch von destruktiver Lösch-Software schnell behoben werden, ohne dass sich die Frage nach dem Umgang mit Lösegeldforderungen stellt.