WannaCrypt / wannacry

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

15.05.2017 - 09:52

Zitat aus einem Post von UnleashThebeast
Dann erklärs mir bitte. Du sagst, man ist mit Schlangenöl besser dran als ohne. Aber dann erkennt das Schlangenöl ein Exploit nicht, welches seit einem Monat public ist. Is ja jetzt kein 0day. Also wo genau hat mir das tolle Schlangenöl da jetzt geholfen bzw wie bin ich damit besser dran??

Du solltest dich wohl etwas mehr mit aktueller Ransomware beschäftigen bevor du hier soviel Bullshit verzapfst!

Leider können AV-Produkte eben nicht vor jeder Art von Bedrohung schützen, sondern nur von den bekannten und mit "bekannten" ist hier eben nicht ein Exploit gemeint, sondern ein File, dass den Exploit ausnutzt.
Kaum ändert man mit allen möglichen im Darkweb verfügbaren Tools die Signatur dieses Files (immer wieder ein 0-day somit), wird es eben nicht mehr erkannt. Google einfach mal nach "Virus und Polymorph", dann findest schon was, wo das erklärt wird...

Daher braucht es für den Schutz vor dieser Art von Malware andere Lösungen z.b. Sandboxing (Files werden in VMs ausgeführt um Verhalten zu analysieren).
Eine andere Methode für Dokumente ist noch das Entfernen des aktiven Contents aus diesen Dokumenten.

Auch kann z.B. ein AV nicht vor der Weiterverbreitung via SMB schützen. Dafür braucht es dann IPS-Schutzsysteme.

Nachdem ich mit Check Point Produkten arbeiten hier z.B. ein Bsp. einer Protection für IPS für die SMB Schwachstelle:
https://www.checkpoint.com/defense/...-2017-0177.html

HaBa

Vereinsmitglied
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19768

15.05.2017 - 09:57

Der MS-Patch ist seit iirc 14.03. draußen, da sollte jede vernünftige IT bis jetzt genug Zeit gehabt haben um zu reagieren.

War ja auch abzusehen, ich habe damals meine Kollegen drauf hingewiesen dass wir von der Lücke noch hören werden ...

Problematisch sind aber die Uralt-Kisten die es immer noch gibt, die lauern _überall_ (abgesehen von irgendwelchen Startups vielleicht), und dafür gibts den patch erst seit Samstag.

Beispiele für Uralt-Kisten:
- Steuerungsrechner der CNC-Maschine
- Steuerungsrechner vom Blutanalysegerät
- Kransteuerung
- Lagerrechner
- Druckprozessor

Das sind nur ein paar Beispiele für Kisten über die ich bisher in meinem Berufsleben gestolpert bin und die tlw. _nicht_ zu ersetzen waren. Lange Zeit hat "Internet drauf adrehen" gereicht, aber bei dieser Lücke die auf fileshares aufsetzt ...

NeM

OC Addicted

Registered: Oct 2004
Location: Austria
Posts: 4887

15.05.2017 - 22:04

Tweet-URL: https://xcancel.com/Europol/status/864024532901924865/photo/1?ref_src=twsrc%5Etfw&ref_url=http%3A%2F%2Forf.at%2Fstories%2F2391479%2F2391518%2F

Die Ahnungslosen von Europol (topkek, die haben das Internetz nur noch nicht fertig ausgedruckt) empfehlen "Schlangenöl" und ihre Heuristikfunktion.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

15.05.2017 - 23:15

Zitat aus einem Post von Neo-=IuE=-
Auch kann z.B. ein AV nicht vor der Weiterverbreitung via SMB schützen. Dafür braucht es dann IPS-Schutzsysteme.

Nachdem ich mit Check Point Produkten arbeiten hier z.B. ein Bsp. einer Protection für IPS für die SMB Schwachstelle:
https://www.checkpoint.com/defense/...-2017-0177.html

auch diese arbeiten in dem fall mit signaturen - ebenfalls reaktiv.
es gibt natürlich auch protokoll fixups, aber die verursachen über die laufzeit mehr troubles als sie bringen. vorallem bei einer implementierung die einfach 10-15 jahre (kennt jemand das genau zeitfenster?) in den produkten vorhanden war/ist.

die sandbox hätte es erkennen können - ebenfalls unklar ob sie es day one erkannt haben. allerdings willst du soetwas bei pdf download-links udgl. nicht unbedingt einführen. ist einfach ein riesen einschnitt in die usability.

Bearbeitet von Smut am 15.05.2017, 23:17

Hornet331

See you Space Cowboy

Registered: Sep 2003
Location: Austria/Korneubu..
Posts: 7680

15.05.2017 - 23:17

Zitat aus einem Post von NeM
Tweet-URL: https://xcancel.com/Europol/status/864024532901924865/photo/1?ref_src=twsrc%5Etfw&ref_url=http%3A%2F%2Forf.at%2Fstories%2F2391479%2F2391518%2F

Die Ahnungslosen von Europol (topkek, die haben das Internetz nur noch nicht fertig ausgedruckt) empfehlen "Schlangenöl" und ihre Heuristikfunktion.

Backup stored in the cloud.... ja ganz sicher... :fresserettich:

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

15.05.2017 - 23:20

cloud bedeutet nicht zwangsweise public cloud. cloud kann auch ein service-modell sein, bei der man diese leistung von einer firma bezieht, die es definitiv besser macht als die eigene firma.

NeM

OC Addicted

Registered: Oct 2004
Location: Austria
Posts: 4887

15.05.2017 - 23:45

Auf die Cloud würd ich persönlich auch verzichten und einfach eine nicht angeschlossene Platte verwenden. Aktuell hab ich noch die alte intern (einfach zu faul gewesen bisher, die auszubauen

), aber eben ned angeschlossen. Nächster Schritt wär halt, sie in ein externes Gehäuse zu verfrachten. Is auch ein bissel angenehmer, die einzuschalten, als Gehäuse auf und mit den Kabeln vom Blu-ray anzustöpseln.

JC

Vereinsmitglied
Disruptor

Registered: Feb 2001
Location: Katratzi
Posts: 9066

16.05.2017 - 00:13

Virulent WCry ransomware worm may have North Korea’s fingerprints on it

Identical code ties Friday’s attacks to hacks on Sony Pictures and $1bn bank heist.

A researcher has found digital fingerprints that tie the WCry ransomware worm that menaced the world on Friday to a prolific hacking operation that previously generated headlines by attacking Sony Pictures, the Bangladesh Central Bank, and South Korean banks.

Link: arstechnica.com

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

16.05.2017 - 08:42

Zitat aus einem Post von Smut
auch diese arbeiten in dem fall mit signaturen - ebenfalls reaktiv.
es gibt natürlich auch protokoll fixups, aber die verursachen über die laufzeit mehr troubles als sie bringen. vorallem bei einer implementierung die einfach 10-15 jahre (kennt jemand das genau zeitfenster?) in den produkten vorhanden war/ist.

die sandbox hätte es erkennen können - ebenfalls unklar ob sie es day one erkannt haben. allerdings willst du soetwas bei pdf download-links udgl. nicht unbedingt einführen. ist einfach ein riesen einschnitt in die usability.

Ja, IPS ist natürlich reaktiv, aber die SMB-Lücke ist, wie vorher angemerkt, ja lange bekannt!

@Sandbox+Web-Downloads: Tja, mit den richtigen Produkten geht das ohne Probleme... Wir haben im Einsatz...

NeM

OC Addicted

Registered: Oct 2004
Location: Austria
Posts: 4887

16.05.2017 - 12:31

Experten vermuten Amateure hinter „WannaCrypt“-Attacke

Die weltweite Cyberattacke „WannaCrypt“ bzw. „WannaCry“ ist laut Experten möglicherweise wegen einiger Amateurfehler der Angreifer vergleichsweise glimpflich verlaufen. „Die Gruppierung dahinter hat offenbar nicht viel Erfahrung“, sagte der deutsche IT-Sicherheitsexperte Christoph Fischer heute der dpa.

Link: orf.at

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

16.05.2017 - 13:04

Zitat aus einem Post von Neo-=IuE=-
Ja, IPS ist natürlich reaktiv, aber die SMB-Lücke ist, wie vorher angemerkt, ja lange bekannt!

@Sandbox+Web-Downloads: Tja, mit den richtigen Produkten geht das ohne Probleme... Wir haben im Einsatz...

Wie lange braucht die Analyse?

der exploit war den ips btw nicht bekannt. Die Lücke ja, aber nicht wie sie im Detail ausgenützt wird afaik. Und die wenigsten haben zwischen Clients und smb Share ein IPS

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

16.05.2017 - 16:22

was macht ips da genau und wie lange dauert das wirklich bis da was geliefert wird? wird der traffic dann rejectet?

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19786

16.05.2017 - 16:30

Hört sich für mich nach einer Firewall mit Heuristik an.

Cobase

Vereinsmitglied
Mr. RAM

Registered: Jun 2001
Location: Linz
Posts: 17905

16.05.2017 - 16:39

Sophos ändert Werbung als Reaktion auf WC:

https://www.heise.de/newsticker/mel...ng-3714943.html

Zitat
"The NHS is totally protected with Sophos"

Oops.

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

16.05.2017 - 23:12

Zitat aus einem Post von Smut
Wie lange braucht die Analyse?

der exploit war den ips btw nicht bekannt. Die Lücke ja, aber nicht wie sie im Detail ausgenützt wird afaik. Und die wenigsten haben zwischen Clients und smb Share ein IPS

Die Dauer der Analyse ist nicht relevant, weil sofort ein File ohne aktiven Contest ausgeliefert wird.
Wenn das nicht ausreicht (was bei Downloads selten vorkommt), kann der User das Original-File nachladen.

Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	15.05.2017 - 09:52 Zitat aus einem Post von UnleashThebeast Dann erklärs mir bitte. Du sagst, man ist mit Schlangenöl besser dran als ohne. Aber dann erkennt das Schlangenöl ein Exploit nicht, welches seit einem Monat public ist. Is ja jetzt kein 0day. Also wo genau hat mir das tolle Schlangenöl da jetzt geholfen bzw wie bin ich damit besser dran?? Du solltest dich wohl etwas mehr mit aktueller Ransomware beschäftigen bevor du hier soviel Bullshit verzapfst! Leider können AV-Produkte eben nicht vor jeder Art von Bedrohung schützen, sondern nur von den bekannten und mit "bekannten" ist hier eben nicht ein Exploit gemeint, sondern ein File, dass den Exploit ausnutzt. Kaum ändert man mit allen möglichen im Darkweb verfügbaren Tools die Signatur dieses Files (immer wieder ein 0-day somit), wird es eben nicht mehr erkannt. Google einfach mal nach "Virus und Polymorph", dann findest schon was, wo das erklärt wird... Daher braucht es für den Schutz vor dieser Art von Malware andere Lösungen z.b. Sandboxing (Files werden in VMs ausgeführt um Verhalten zu analysieren). Eine andere Methode für Dokumente ist noch das Entfernen des aktiven Contents aus diesen Dokumenten. Auch kann z.B. ein AV nicht vor der Weiterverbreitung via SMB schützen. Dafür braucht es dann IPS-Schutzsysteme. Nachdem ich mit Check Point Produkten arbeiten hier z.B. ein Bsp. einer Protection für IPS für die SMB Schwachstelle: https://www.checkpoint.com/defense/...-2017-0177.html
HaBa Vereinsmitglied Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19768	15.05.2017 - 09:57 Der MS-Patch ist seit iirc 14.03. draußen, da sollte jede vernünftige IT bis jetzt genug Zeit gehabt haben um zu reagieren. War ja auch abzusehen, ich habe damals meine Kollegen drauf hingewiesen dass wir von der Lücke noch hören werden ... Problematisch sind aber die Uralt-Kisten die es immer noch gibt, die lauern _überall_ (abgesehen von irgendwelchen Startups vielleicht), und dafür gibts den patch erst seit Samstag. Beispiele für Uralt-Kisten: - Steuerungsrechner der CNC-Maschine - Steuerungsrechner vom Blutanalysegerät - Kransteuerung - Lagerrechner - Druckprozessor Das sind nur ein paar Beispiele für Kisten über die ich bisher in meinem Berufsleben gestolpert bin und die tlw. _nicht_ zu ersetzen waren. Lange Zeit hat "Internet drauf adrehen" gereicht, aber bei dieser Lücke die auf fileshares aufsetzt ...
NeM OC Addicted Registered: Oct 2004 Location: Austria Posts: 4887	15.05.2017 - 22:04 Tweet-URL: https://xcancel.com/Europol/status/864024532901924865/photo/1?ref_src=twsrc%5Etfw&ref_url=http%3A%2F%2Forf.at%2Fstories%2F2391479%2F2391518%2F Die Ahnungslosen von Europol (topkek, die haben das Internetz nur noch nicht fertig ausgedruckt) empfehlen "Schlangenöl" und ihre Heuristikfunktion.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	15.05.2017 - 23:15 Zitat aus einem Post von Neo-=IuE=- Auch kann z.B. ein AV nicht vor der Weiterverbreitung via SMB schützen. Dafür braucht es dann IPS-Schutzsysteme. Nachdem ich mit Check Point Produkten arbeiten hier z.B. ein Bsp. einer Protection für IPS für die SMB Schwachstelle: https://www.checkpoint.com/defense/...-2017-0177.html auch diese arbeiten in dem fall mit signaturen - ebenfalls reaktiv. es gibt natürlich auch protokoll fixups, aber die verursachen über die laufzeit mehr troubles als sie bringen. vorallem bei einer implementierung die einfach 10-15 jahre (kennt jemand das genau zeitfenster?) in den produkten vorhanden war/ist. die sandbox hätte es erkennen können - ebenfalls unklar ob sie es day one erkannt haben. allerdings willst du soetwas bei pdf download-links udgl. nicht unbedingt einführen. ist einfach ein riesen einschnitt in die usability. Bearbeitet von Smut am 15.05.2017, 23:17
Hornet331 See you Space Cowboy Registered: Sep 2003 Location: Austria/Korneubu.. Posts: 7680	15.05.2017 - 23:17 Zitat aus einem Post von NeM Tweet-URL: https://xcancel.com/Europol/status/864024532901924865/photo/1?ref_src=twsrc%5Etfw&ref_url=http%3A%2F%2Forf.at%2Fstories%2F2391479%2F2391518%2F Die Ahnungslosen von Europol (topkek, die haben das Internetz nur noch nicht fertig ausgedruckt) empfehlen "Schlangenöl" und ihre Heuristikfunktion. Backup stored in the cloud.... ja ganz sicher...
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	15.05.2017 - 23:20 cloud bedeutet nicht zwangsweise public cloud. cloud kann auch ein service-modell sein, bei der man diese leistung von einer firma bezieht, die es definitiv besser macht als die eigene firma.
NeM OC Addicted Registered: Oct 2004 Location: Austria Posts: 4887	15.05.2017 - 23:45 Auf die Cloud würd ich persönlich auch verzichten und einfach eine nicht angeschlossene Platte verwenden. Aktuell hab ich noch die alte intern (einfach zu faul gewesen bisher, die auszubauen ), aber eben ned angeschlossen. Nächster Schritt wär halt, sie in ein externes Gehäuse zu verfrachten. Is auch ein bissel angenehmer, die einzuschalten, als Gehäuse auf und mit den Kabeln vom Blu-ray anzustöpseln.
JC Vereinsmitglied Disruptor Registered: Feb 2001 Location: Katratzi Posts: 9066	16.05.2017 - 00:13 Virulent WCry ransomware worm may have North Korea’s fingerprints on it Identical code ties Friday’s attacks to hacks on Sony Pictures and $1bn bank heist. A researcher has found digital fingerprints that tie the WCry ransomware worm that menaced the world on Friday to a prolific hacking operation that previously generated headlines by attacking Sony Pictures, the Bangladesh Central Bank, and South Korean banks. Link: arstechnica.com
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	16.05.2017 - 08:42 Zitat aus einem Post von Smut auch diese arbeiten in dem fall mit signaturen - ebenfalls reaktiv. es gibt natürlich auch protokoll fixups, aber die verursachen über die laufzeit mehr troubles als sie bringen. vorallem bei einer implementierung die einfach 10-15 jahre (kennt jemand das genau zeitfenster?) in den produkten vorhanden war/ist. die sandbox hätte es erkennen können - ebenfalls unklar ob sie es day one erkannt haben. allerdings willst du soetwas bei pdf download-links udgl. nicht unbedingt einführen. ist einfach ein riesen einschnitt in die usability. Ja, IPS ist natürlich reaktiv, aber die SMB-Lücke ist, wie vorher angemerkt, ja lange bekannt! @Sandbox+Web-Downloads: Tja, mit den richtigen Produkten geht das ohne Probleme... Wir haben im Einsatz...
NeM OC Addicted Registered: Oct 2004 Location: Austria Posts: 4887	16.05.2017 - 12:31 Experten vermuten Amateure hinter „WannaCrypt“-Attacke Die weltweite Cyberattacke „WannaCrypt“ bzw. „WannaCry“ ist laut Experten möglicherweise wegen einiger Amateurfehler der Angreifer vergleichsweise glimpflich verlaufen. „Die Gruppierung dahinter hat offenbar nicht viel Erfahrung“, sagte der deutsche IT-Sicherheitsexperte Christoph Fischer heute der dpa. Link: orf.at
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	16.05.2017 - 13:04 Zitat aus einem Post von Neo-=IuE=- Ja, IPS ist natürlich reaktiv, aber die SMB-Lücke ist, wie vorher angemerkt, ja lange bekannt! @Sandbox+Web-Downloads: Tja, mit den richtigen Produkten geht das ohne Probleme... Wir haben im Einsatz... Wie lange braucht die Analyse? der exploit war den ips btw nicht bekannt. Die Lücke ja, aber nicht wie sie im Detail ausgenützt wird afaik. Und die wenigsten haben zwischen Clients und smb Share ein IPS
Guest Deleted User Registered: n/a Location: Posts: n/a	16.05.2017 - 16:22 was macht ips da genau und wie lange dauert das wirklich bis da was geliefert wird? wird der traffic dann rejectet?
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19786	16.05.2017 - 16:30 Hört sich für mich nach einer Firewall mit Heuristik an.
Cobase Vereinsmitglied Mr. RAM Registered: Jun 2001 Location: Linz Posts: 17905	16.05.2017 - 16:39 Sophos ändert Werbung als Reaktion auf WC: https://www.heise.de/newsticker/mel...ng-3714943.html Zitat "The NHS is totally protected with Sophos" Oops.
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	16.05.2017 - 23:12 Zitat aus einem Post von Smut Wie lange braucht die Analyse? der exploit war den ips btw nicht bekannt. Die Lücke ja, aber nicht wie sie im Detail ausgenützt wird afaik. Und die wenigsten haben zwischen Clients und smb Share ein IPS Die Dauer der Analyse ist nicht relevant, weil sofort ein File ohne aktiven Contest ausgeliefert wird. Wenn das nicht ausreicht (was bei Downloads selten vorkommt), kann der User das Original-File nachladen.

WannaCrypt / wannacry

Forum Index > Software > Applications, Apps & Drivers

Neo-=IuE=-

HaBa

NeM

Smut

Hornet331

Smut

NeM

JC

Neo-=IuE=-

NeM

Smut

Guest

daisho

Cobase

Neo-=IuE=-