Archiv der Kategorie: Ransomware

Killswitch domains im DNS einrichten

Es gibt zwei Killswitch Domains die die Verschlüsselungsfunktion von den derzeit bekannten Varianten von WannaCry unterbinden.

Einfach diese im DNS anlegen und auf einen Webserver zeigen lassen:
Killswitch Domains

Killswitch DNS entries

Solange auf einen GET eine Antwort mit 200 OK kommt passt alles.

Wenn man dann noch den Traffic auf diesem Webserver mitloggt, hat man einen Indikator für befallene Systeme.

Liste aller XP und Server 2003 Computer im AD

Um in Erfahrung zu bringen an welchen Fronten man verwundbar ist, sollte man sich eine Liste aller Computer mit XP und Server 2003 aus dem AD exportieren.

Glücklicherweise ist Powershell unser Freund:

Import-Module ActiveDirectory
Get-ADComputer -Filter {OperatingSystem -like 'Windows Server*2003*'} -Property * | ft Name,OperatingSystem,OperatingSystemServicePack

Das gibt uns alle Server 2003 Computer.

Gleiches lässt sich für XP mit folgender Zeile abfragen:

Get-ADComputer -Filter {OperatingSystem -like 'Windows *XP*'} -Property * | ft Name,OperatingSystem,OperatingSystemServicePack

SMB1 deaktivieren

Servus miteinand,

ich habe meinen Blog lange Zeit zu Gunsten meines Twitter Accounts vernachlässigt. Aber manche Dinge lassen sich eben nicht in 140 Zeichen darstellen.

Nachdem ich ja schon seit Freitag abend vor WannaCry warne und mittlerweile auch die Medien großflächig darüber berichten, brauche ich nichts mehr großes dazu sagen.

Stattdessen will ich ein paar kurze Blogposts zur Prävention und Bekämpfung loswerden.

Der definitive Infektionsvektor ist ja bislang noch nicht 100%ig bekannt, auch wenn die Mehrheit von E-Mail ausgeht.

Was aber bekannt ist, ist der Spreadvektor. Die Ransomware verbreitet sich über SMB v1.

Erste Tätigkeit heute morgen ist es SMB1 zu deaktivieren, vor allem wenn man Systeme hat die nicht gepatcht werden können!

Beispielsweise ein MRT auf dem ein Embedded XP läuft und das nur vom Hersteller gepatcht werden kann. Für das Gerät selbst können wir nichts tun. Aber wir können zumindest verhindert dass außenherum möglichst alles immun ist. Das ist quasi wie Impfen. Je mehr Leute um einen herum geimpft sind umso niedriger ist die Wahrscheinlichkeit, dass man es selbst abbekommt.

Noch besser wäre natürlich Netzwerksegementierung mit entsprechenden Firewalls auf denen Port 445 (SMB) gesperrt ist, aber meist geben die Budgets das ja leider nicht her.

Auf jeder Windows Machine lässt sich SMB1 mit den nachfolgenden beiden Kommandos abschalten:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

PC neustarten und schon ist SMB1 Vergangenheit

Und heute wäre ein guter Tag um dem Management nahe zu bringen, dass Security Updates nicht einfach nur Maintenance sind. Maintenance wird nämlich auch gerne mal verschoben, weil keine Zeit, kein Budget, keine Prio etc.

Security Updates sollten mandatory sein, wie tanken. Mit leerem Tank kommt man auch nirgendwo hin.