Andere Malware nutzte von WannaCry verwendete NSA-Exploits bereits früher aus

Malware (Bild: Shutterstock/Blue Island)

Dem Sicherheitsforscher Kafeine zufolge nutzt auch eine als Adylkuzz bezeichnete Krypto-Mining-Malware die von WannaCry als Einfallstor verwendete Lücke. Die Malware kombiniert den auf die SMB-Lücke ausgerichteten Exploit EternalBlue zudem mit der Backdoor DoublePulsar. Über deren Ausnutzung hatten andere Experten schon im April berichtet.

Der bei der Firma Proofpoint beschäftigte Sicherheitsforscher Kafeine hat darauf hingewiesen, dass WannaCry nicht die erste Malware war, die vom US-Auslandsgeheimdienst entwickelte Exploits für eine Sicherheitslücke im Netzwerkprotokoll Server Message Block (SMB) ausgenutzt hat. Seit 24. April sei bereits eine Adylkuzz genannte Mining-Malware für die Kryptowährung Monero aktiv. Sie arbeitet zwar unauffälliger, könnte ersten Zahlen zufolge aber sogar weiter verbreitet sein als WannaCry.

Malware (Bild: Shutterstock/Blue Island
Malware (Bild: Shutterstock/Blue Island)

Adylkuzz arbeitet der Analyse zufolge mit zwei durchgesickerten NSA-Exploits. Neben dem EternalBlue genannten Exploit für die auf SMB-Lücke kommt auch die Backdoor DoublePulsar zum Einsatz. Damit sei die Malware bei der Infektion ungepatchter Windows-Rechner außergewöhnlich effektiv. Allerdings bietet Microsoft für unterstützte Betriebssysteme bereits seit März einen Patch für die Sicherheitslücke in SMB an.

Bei der Untersuchung der WannaCry-Angriffe setzte Proofpoint einen Laborrechner dem EternalBlue-Angriff aus. Statt mit WannaCry war der Rechner kurz darauf von Adylkuzz infiziert. “Wir haben den Versuch mehrfach wiederholt, jeweils mit demselben Ergebnis: innerhalb von 20 Minuten wurde ein mit dem Internet verbundener anfälliger Rechner dem Adylkuzz-Botnet hinzugefügt”, schreibt der Sicherheitsforscher.

Adylkuzz verbreite sich allerdings nicht wie WannaCry über anfällige Rechner im selben Netzwerk, sondern scanne das Internet über den TCP-Port 445 nach möglichen Zielen. “Nach der erfolgreichen Ausnutzung von EternalBlue werden die Systeme mit DoublePulsar infiziert. Die Hintertür lädt dann Adylkuzz von einem anderen Host herunter und führt die Malware aus”, so der Forscher weiter.

Gegenüber ZDNet USA spekuliert Kafeine sogar, dass Adylkuzz möglicherweise eine größere Verbreitung von WannaCry sogar verhindert habe. Die Malware unterbinde nämlich, nachdem sie sich erfolgreich eingenistet hat, jegliche SMB-Kommunikation: “Sobald Adylkuzz auf einem Rechner ausgeführt wird, kann der Rechner nicht mehr durch WannaCry über SMB und WannaCrys Wurm-Funktionen infiziert werden.”

Ausgewähltes Whitepaper

Fünf wichtige Aspekte bei der Auswahl eines Wide Area Networks

Erfolgreiches Netz-Design kann die Produktivität deutlich verbessern und neue Chancen für die digitale Geschäftsentwicklung eröffnen. Ein unzureichend dimensioniertes WAN hemmt dagegen das produktive Arbeiten und führt zu Frustration bei Mitarbeitern, Lieferanten und Kunden. In diesem Whitepaper erfahren Sie, worauf es zu achten gilt.

Die Schweizer Sicherheitsfirma Binary Edge hatte bereits im April Aktivitäten bemerket, die darauf hindeuteten, dass Dritte die bei der NSA entwendete Backdoor Doublepulsar ausnutzen. Demnach wurden ab 21. April innerhalb weniger Tage fast 80.000 IP-Adressen infiziert. Die Gesamtzahl der befallenen Rechner bezifferte das Unternehmen drei Tage später bereits auf über 180.000, davon die meisten in den USA, knapp 500 jedoch auch in Deutschland.

Sowohl die große Zahl als auch die rasche Zunahme infizierte Rechner deutete Experten zufolge darauf hin, dass es sich nicht um Aktivitäten des üblicherweise gezielter und weniger auffällig vorgehenden US-Geheimdienstes handelte, sondern die von ihm entwickelten Exploits von Dritten heruntergeladen, möglicherweise leicht modifiziert und für Angriffe auf ungepatchte Windows-Rechner verwendet wurden.

Uneinig waren sich Experten über die Anzahl der betroffenen Rechner. Die hohen Werte von Binary Edge konnten andere so nicht bestätigen. Spekuliert wurde daher über False Positives durch die verwendete Erkennungsmethode oder Abweichungen, weil die Malware keine Dateien auf die Rechner schreibt und somit nach einem Neustart nicht mehr festgestellt werden kann. Nach den Erkenntnissen von Kafeine könnte es aber auch sein, dass sie sich einfach vor den Forschern verborgen hat, indem sie die genutzte Lücke hinter sich geschlossen hat.

Mehr zum Thema

Wie man gefährliche E-Mails identifiziert

Gefälschte E-Mails enthalten häufig Viren oder andere Angreifer. Oft sollen auch private und sensible Daten gestohlen werden. Anhand weniger Kriterien lassen sich gefährliche E-Mails jedoch schnell erkennen.

Microsoft kündigte damals an, die Berichte zu untersuchen und räumte ein, dass “30.000 bis 107.000 Windows-Maschinen mit Doublepulsar infiziert sein könnten.” Der Konzern warnte, dass diese Rechner dann auch für anderweitige Angriffe anfällig seien.

Dan Tentler, Gründer der IT-Security-Beratungsfirma Phobos Group, hatte damals bereits festgestellt, dass Malware, die die “Doublepulsar”-Lücke ausnutzt, nach der Infektion darauf wartet, dass bestimmte Daten über Port 445 gesendet werden. Dieser Port wird seit Windows XP vom Microsoft Common Internet File System (CIFS) genutzt und sollte Empfehlungen von Sicherheitsexperten zufolge in der Firewall zumindest für eingehenden Traffic blockiert oder zumindest überwacht werden. In der Praxis ist das aber oft nicht der Fall, da er im Zusammenhang mit Datei- und Druckerfreigaben geöffnet wird.

Die Ransomware WannaCry hat sich innerhalb weniger Stunden explosionsartig ausgebreitet (Screenshot :silicon.de bei Twitter)
Die Ransomware WannaCry hat sich innerhalb weniger Stunden explosionsartig in nahezu allen Ländern ausgebreitet (Screenshot: silicon.de bei Twitter)

Daher hat auch Trend Micro schon gewarnt, dass WannaCry nicht die letzte Malware sei, die diese Lücke ins Visier nimmt. Das Unternehmen hat bereits eine neue, UIWIX genannte Ransomware entdeckt, die noch ausgereifter sein soll als WannaCry. UIWIX könne beispielsweise virtuelle Maschinen und Sandboxen erkennen um sich so Schutzprogrammen zu entziehen.

Die neue Malware sei in der Lage, Dateien zu verschlüsseln und ein Lösegeld zu erpressen, könne aber auch Anmeldedaten für Websites, E-Mail, Messenger und das FTP-Protokoll ausspähen. UIWIX greiftz keine Ziele in Russland, Weißrussland und Kasachstan an. Dies deutet darauf hin, dass es sich um andere Hintermänner als bei WannaCry handelt. Für WannaCry, das Rechner in nahezu allen Ländern befallen hat, fand Kaspersky Lab Hinweise darauf, dass die sogenannte Lazarus-Gruppe dahinter stecken könnte. Sie wurde durch den Angriff auf die Server von Sony Pictures bekannt. Bisherigen Erkenntnissen zufolge operiert sie von Nordkorea aus.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.