Nie taki WannaCry straszny? Analiza

Robert Dziemianko 02-06-2017, 14:36

WannaCry trzymał nas wszystkich w napięciu przed długi czas. Teraz przyszedł czas, by na chwilę obejrzeć się za siebie, przeanalizować go i przyjrzeć się jego szczególnym cechom.

Przebłyski przeszłości

Wszyscy jesteśmy świadomi, jak wyjątkowy był ostatni incydent, i to z kilku powodów. Liczba zainfekowanych komputerów osiągnęła na całym świecie około 200 000 (przyznajmy jednak, że w porównaniu z innymi podobnymi wydarzeniami z przeszłości nie jest to rekordowa liczba). Niewątpliwie jednak, gdy spojrzymy na szybkość rozprzestrzeniania się i agresywność, WannaCry plasuje się w czołówce, razem z takimi przykładami złośliwego oprogramowania, jak Sasser lub Blaster. Dla porównania, w 2003 roku Blaster przedostał się na całym świecie do kilku milionów systemów.

WannaCry przemierzał Ziemię jak burza i w ciągu pierwszych 12 godzin zainfekował około 74 000 komputerów. Jednym z powodów tak zawrotnej szybkości rozprzestrzeniania był fakt, że WannaCry wykorzystywał kod, który pojawił się wskutek wycieku plików z serwerów NSA. W kwietniu grupa hackerów znana jako ShadowBrokers wykradła zbiór możliwych do przetworzenia eksploitów. Wśród nich znalazł się między innymi eksploit ETERNALBLUE, wykorzystujący lukę w używanym na szeroką skalę protokole SMB systemu Microsoft Windows, używanym do udostępniania plików w ramach sieci lokalnej.

Jest to jedna ze wspólnych cech przykładów złośliwego oprogramowania WannaCry i Sasser, mimo że nie są one ze sobą w jakikolwiek sposób powiązane. Fakt ten pokazuje, że wykorzystanie protokołu SMB i powiązanych z nim portów sieci to w przypadku działania złośliwego oprogramowania żadna nowość – twórcy WannaCry nie wykazali się niczym szczególnym. Ironią losu jest fakt, że luka w zabezpieczeniach protokołu SMB, wykorzystywana w wielu narzędziach NSA została przez Microsoft załatana już w marcu. Microsoft zdawał sobie sprawę z jej istnienia już wcześniej, dlatego też zdecydował się zrezygnować z lutowego dnia aktualizacji, by zyskać więcej czasu na załatanie luki. Wszystkie systemy, które skorzystały z marcowej aktualizacji nie były narażone na ataki WannaCry.

Poprzednie wersje

Wszystkie urządzenia, które nie posiadały zainstalowanej aktualizacji były poważnie zagrożone zainfekowaniem – z tego powodu niektóre firmy zdecydowały o zastosowaniu drastycznych środków. W niektórych firmach kazano pracownikom powyłączać komputery i przestać z nich korzystać, by zapobiec rozprzestrzenianiu się infekcji po sieci. Ofiarą WannaCry padły nie tylko te urządzenia, w których nie zainstalowano aktualizacji: luki tej nie zabezpieczono również w starszych systemach operacyjnych Microsoftu, takich jak Windows XP, Server 2003 i Windows 8.

Właściwie tak wyglądała sytuacja, dopóki Microsoft nie zmienił sposobu postępowania wypuszczając awaryjną aktualizację dla wyżej wspomnianych systemów. Windows XP pozostał przecież stałym elementem krajobrazu w takich kluczowych instytucjach, jak szpitale, gdzie wykorzystuje się go do obsługi sprzętu medycznego oraz do codziennej pracy. Dzieje się tak z kilku powodów, które opiszemy w dalszej części artykułu. Przy tego typu zagrożeniu szpitale stają się wyjątkowo problematycznymi instytucjami. Brytyjska służba zdrowia nazwała minione wydarzenie „istotnym incydentem” – lekarze i pielęgniarki zostali w ciągu kilku godzin przeniesieni w czasie o 20 lat wstecz, jako że odebrany został im dostęp do komputerów i zostali zmuszeni do posługiwania się ołówkiem i papierem.

W związku z minionymi wydarzeniami pojawia się wiele pytań. Galopująca fala złośliwego oprogramowania boleśnie uświadomiła wielu użytkownikom, że nieinstalowanie aktualizacji może wiązać się z poważnymi konsekwencjami i w związku z tym zaniedbaniem prawdopodobnie będzie można o nich przeczytać w gazetach.

 Dlaczego łata nie zawsze działa

Wszyscy są zgodni, że dwoma najlepszymi sposobami na uniknięcie nieszczęścia jest trzymanie się z daleka od nieaktualnych wersji systemów operacyjnych oraz instalowanie kluczowych aktualizacji do łatania luk. Jednak piętnowanie ofiar ataku jako postępujących niemądrze lub niedbałych to zbyt duże uproszczenie. Problem nieaktualnych wersji systemów operacyjnych w kluczowych instytucjach sięga dużo głębiej i z reguły nie wynika z lenistwa czy zaniedbania. Tu wchodzą w grę ograniczenia urzędowe i budżetowe.

Przyjrzyjmy się bliżej szpitalom. Wiele urządzeń medycznych musi przejść procedurę certyfikacji zanim zostaną one dopuszczone do sprzedaży i wykorzystywane do leczenia pacjentów. Certyfikacja jest długotrwała i kosztowna. Do aktualizowania oprogramowania tych urządzeń z zachowaniem ich licencji uprawnieni są wyłącznie certyfikowani specjaliści. Aktualizacji tego typu jest bardzo niewiele, a ich cena osiąga sześciocyfrowe kwoty. Przeprowadzenie aktualizacji skutkuje kilkudniowym przestojem w funkcjonowaniu urządzenia. W przypadku urządzeń tego rodzaju instalacja aktualizacji rzadko polega wyłącznie na pobraniu pliku i kliknięciu na ikonkę. Na przykład, chcąc w chwili obecnej (czerwiec 2017) zakupić najnowszy aparat do rezonansu magnetycznego od wiodącego producenta, będzie on miał zainstalowany Windows 7 – w najlepszym wypadku Windows 7 z Service Packiem 1. W wielu przypadkach nie ma więc po prostu możliwości zakupu sprzętu medycznego z aktualnym systemem operacyjnym. Urządzenia poprzedniej generacji najprawdopodobniej wciąż korzystają z Windows XP. Za mniej niż trzy lata Windows 7 podzieli los Windowsa XP i Microsoft nie będzie już go dłużej obsługiwał.

Chciałoby się powiedzieć: "A nie da się tego po prostu zastąpić?" Pojawiają się tu jednak dwa główne problemy: po pierwsze, Windows 10 najprawdopodobniej nie zadziała na tych nowoczesnych urządzeniach w najbliższej przyszłości, nawet jeśli proces certyfikacji może się już toczyć. Po drugie, takie najnowocześniejsze z możliwych i najwyższej klasy urządzenia, jak przyrząd do rezonansu magnetycznego (lub nowoczesna frezarka bądź inne tego typu) kosztują wraz z adaptacją budynku, w którym mają zostać zainstalowane kilka milionów euro. Stanowią one więc długoterminową inwestycję, która będzie nieustannie eksploatowana przez lata, czasem dekadę lub dłużej. W tym czasie producent urządzenia może zbankrutować lub po prostu stwierdzić, że „przestaje je serwisować”, a obie te sytuacje oznaczają, że nie będą już tworzone nowe aktualizacje.

W przemyśle sytuacja wcale nie wygląda korzystniej: niektóre maszyny, takie jak frezarka czy spawarka, muszą stawić czoła temu samemu problemowi. W wielu halach produkcyjnych możemy nadal napotkać maszyny sterowane za pośrednictwem systemu Windows NT lub Windows 2000. Tak więc niektórzy klienci nie mogą po prostu „załatać” luk w swoich urządzeniach – jeśli mielibyśmy ich o coś obwiniać, to tylko o brak odpowiedniej segregacji sprzętu.

Mimo że najpotężniejsza fala już się powoli cofa, najprawdopodobniej nadchodzi kolejna: pojawiły się doniesienia o potężnym ataku DDoS na domenę killswitch. Celem wydaje się być tchnięcie nowego życia w WannaCry poprzez uniemożliwienie urządzeniom stanowiącym cel ataku kontaktu z domeną killswitch, która działa jak wyłącznik złośliwego oprogramowania i blokuje możliwość dalszego infekowania systemu. Ponadto, doszło do wycieku większej liczby rządowych eksploitów i wydaje się, że są one obecnie intensywnie wykorzystywane.  

 

G DATA radzi: 5 wskazówek, jak przygotować się na najgorsze

 

1. Aktualizuj najczęściej, jak to możliwe

Tę historię również powtarza się do znudzenia: aktualizacje dla zainstalowanych programów oraz systemu operacyjnego należy instalować jak tylko się pojawią, w szczególności gdy daną aktualizację uważa się za kluczową dla zachowania lub przywrócenia stanu zabezpieczeń. Dla użytkowników indywidualnych sprawa jest prosta: system Windows jest w większości przypadków aktualizowany na bieżąco, nie trzeba więc podejmować żadnych dodatkowych kroków. W środowisku biznesowym w zapewnieniu wyższego poziomu bezpieczeństwa pomoże rozwiązanie zarządzające aktualizacjami. Jest to tym istotniejsze, im większa staje się sieć. Jeśli z jakichkolwiek powodów nie ma możliwości przeprowadzenia aktualizacji, należy podjąć inne kroki w celu zabezpieczenia pozostałych elementów sieci (patrz #3).

2. Zaopatrz się w aktualną wersję programu antywirusowego

Gdy pojawi się nowy przykład złośliwego oprogramowania typu ransomware, istnieje bardzo duża szansa, że twoje oprogramowanie antywirusowe będzie już go znało. Oprogramowanie antywirusowe wykrywa takie złośliwe programy, jak ransomware na kilka sposobów, nie tylko w oparciu o klasyczną sygnaturę. Proaktywne technologie mogą w ogromnym stopniu przyczynić się do podniesienia poziomu ochrony przed tego typu zagrożeniami, nawet jeśli nie ma jeszcze dostępu do sygnatury. Monitorowanie zachowania wchodzi obecnie w skład większości zestawów zabezpieczeń.

3. Pooddzielaj sieci

Jeśli to możliwe, najlepszym rozwiązaniem jest air-gapping. Nawet jeśli rozwiązanie to nie uchroni nas przed infekcją, to przynajmniej ograniczy ją do jednego obszaru i uchroni przed rozprzestrzenieniem się na całą sieć. W przypadku szpitala infekcja ograniczyłaby się „tylko” do urządzeń diagnostyki obrazowej, omijając inne oddziały. W ten sposób lekarze nie musieliby cofać się do epoki ołówka i papieru, gdyż cały czas mieliby dostęp do elektronicznych baz danych pacjentów. W związku z infekcją WannaCry w brytyjskich szpitalach doszło nawet do sytuacji, w której personel zmuszony był odsyłać planowych pacjentów do domu, ponieważ jego działania skoncentrowane były na utrzymywaniu przy życiu pacjentów w cięższym stanie – czasem wręcz w dosłownym znaczeniu tego słowa.

Rozdzielenie sieci wiąże się z koniecznością sprostania kilku wyzwaniom. Mamy tu do czynienia z konfliktem pomiędzy nieprzerwanym wykonywaniem codziennych zadań a zapewnieniem najwyższego możliwego poziomu bezpieczeństwa. Dobrym sposobem na rozdzielenie sieci jest w tym wypadku air-gapping. Gdy urządzenie nie jest fizycznie podłączone do sieci, takie złośliwe oprogramowanie jak WannaCry nie jest w stanie się rozprzestrzeniać. Pozostańmy jednak przy przykładzie placówki szpitalnej. Diagnostyka obrazowa wykonywana przez nowoczesne urządzenia ma tę ogromną zaletę, że przenosi obrazy do zbioru, z których lekarz może je wydobyć i obejrzeć. Jest to oczywiście ogromne uproszczenie całego procesu, ale pokazuje ogólną zasadę działania: musimy w pewnym zakresie udostępniać pliki w sieci, co oznacza, że musi istnieć przynajmniej jeden punkt kontaktowy pomiędzy dwoma sieciami: tą, która łączy urządzenia diagnostyki obrazowej oraz tą, z której korzystają lekarze. Sytuacja wyglądałaby najgorzej, gdybyśmy mieli do czynienia z płaską hierarchią sieci, w której wszystkie urządzenia pracują w ramach tej samej sieci i tworzą idealne warunki do rozprzestrzeniania się WannaCry.

4. Przeprowadzaj szkolenia pracowników

Mimo że nie wszyscy podchodzą z entuzjazmem do kwestii szkolenia, to dzięki niemu możemy uniknąć całkowitego paraliżu funkcjonowania firmy i ograniczyć problemy do minimum.

Gdy nasi pracownicy wiedzą, co robić w awaryjnej sytuacji, prawdopodobieństwo pojawienia się problemów zmniejsza się. Oto przykład: pewien pracownik nieświadomie posługuje się pendrivem zainfekowanym przez ransomware. W domu zapisał na nim plik, który zamierza wydrukować w pracy. W pracy podłącza pendrive’a i dochodzi do natychmiastowego zaszyfrowania i zablokowania systemu. Pracownik, który uczestniczył w szkoleniu nie wypnie w takiej sytuacji pendrive’a ze swojego komputera i nie pójdzie do następnego, „bo jego komputer jest zepsuty”. W takiej sytuacji będzie wiedział, że powinien niezwłocznie skontaktować się z odpowiednimi osobami i przestać wykonywać to, co robił do tej pory.

I jeszcze jedno: grożenie zwolnieniem w przypadku zaistnienia tego typu sytuacji może przynieść odwrotny skutek – gdy pracownik wie, że zostanie w takim wypadku „wyrzucony”, bardziej prawdopodobnym jest, że będzie starał się utrzymać sprawę w tajemnicy (lub co jeszcze gorsze: naprawić szkodę na własną rękę), a gdy wszystko wyjdzie na jaw, będzie już za późno.

5. Zasięgnij pomocy z zewnątrz przy procedurach awaryjnych

Opracowanie odpowiedniej strategii na sytuację kryzysową pozwoli zaoszczędzić wiele łez. Rozsądnym jest skorzystanie z zewnętrznej pomocy ekspertów przy tworzeniu strategii awaryjnej. To nie jest proste zadanie i należy wziąć pod uwagę wiele czynników – ale wysiłek się opłaci, jeśli do „najgorszego” jednak dojdzie...

Autor: Robert Dziemianko, G DATA


Źródło: G DATA
Tematy pokrewne:  

tag WannaCrytag G DATAtag atakitag analizy
Komentarze
comments powered by Disqus
To warto przeczytać






fot. Geralt


  
znajdź w serwisie

RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.