Gratis
29. August 2016 - Datensicherheit

Ransomware: Was tun, damit Daten nicht zu Geiseln werden?

Die Motivation der ersten Schadsoftware-Autoren im vergangenen Jahrhundert lag v.a. darin, ihr Können zu beweisen. Sie konnten trotzdem Schaden anrichten. Heute kommt Schadsoftware fast nur noch zu kriminellen Zwecken zum Einsatz: Banking-Trojaner stehlen Zugangsdaten, um damit Konten leerzuräumen. Und sogenannte Ransomware nimmt die Daten des Opfers als Geisel, um Lösegeld zu erpressen. Was lässt sich gegen die Angriffe mit Ransomware unternehmen?

Ransomware: Was tun, damit Daten nicht zu Geiseln werden Die Erpresser verlangen hier mit der Ransomware CryptoWall 500 US-Dollar Lösegeld

Entgegen manch landläufiger Meinung fällt die Schadsoftware, die staatliche Stellen für die Wirtschaftsspionage einsetzen, volumenmäßig gegenüber den Aktivitäten der Cyber-Kriminellen nicht ins Gewicht:

  • Kriminelle streuen ihre Schadsoftware möglichst breit, um viele Opfer zu erwischen.
  • Staatliche Akteure greifen ihre Opfer dagegen gezielt an.

Ransomware verschlüsselt die Daten der Opfer

Ransomware gehört eindeutig in die erste Kategorie. Daten werden als Geiseln genommen, indem sie der Angreifer verschlüsselt. Und den Schlüssel zum Entschlüsseln gibt es nur gegen Zahlung des Lösegelds.

Üblich ist dabei die Zahlung per Bitcoin, denn dieser Zahlungsweg ist faktisch anonym. Da die Zahlung per Bitcoin für normale Bürger eine Herausforderung darstellt, stellen die Kriminellen sogar relativ gute Anleitungen zur Verfügung, damit die Opfer ihre Bitcoin-Zahlung auch wirklich abwickeln können.

Hilft es, Lösegeld zu zahlen?

Eine häufig gestellte Frage ist, ob man den Schlüssel tatsächlich erhält, wenn man bezahlt hat. Das „Geschäftsmodell“ funktioniert nur, wenn allgemein bekannt ist, dass man nach der Zahlung auch den Schlüssel zum Entschlüsseln erhält. Insofern wird das in der Regel der Fall sein. Es gibt allerdings keine Garantie. Bei der Ramsomware „Ranscam“ liefern die Erpresser auch nach der Lösegeldzahlung keinen Schlüssel (http://heise.de/-3265137).

Der Geiselnehmer kommt in den meisten Fällen per E-Mail

Die Angreifer verschicken die Ransomware meist per E-Mail. Im Anhang befindet sich oft eine ZIP-Datei, in der wiederum eine weitere Datei eingepackt ist. Es kann aber auch sein, dass die infizierten Office-, PDF- und Javacript-Dateien (Dateierweitung js) direkt an der Mail hängen. Bei Office-Dateien fällt die häufige Verwendung der alten Word-Makrodateien docm auf.

Der Dateianhang ist dabei „nur“ ein Downloader, der die eigentliche Schadsoftware aus dem Internet von einem Command-and-Control-Server (C2-Server) nachlädt und startet. Erkennt man diesen Download rechtzeitig, lässt er sich z.B. über die Unternehmens-Firewall unterbinden.

Zu Beginn der Verschlüsselung muss die Ransomware für das Schlüsselmanagement ebenfalls einen C2-Server kontaktieren, um den entsprechenden Schlüssel zu erhalten oder zu protokollieren. Eine neue Locky-Variante startet mit der Verschlüsselung auch, wenn sie keinen C2-Server kontaktieren kann (https://blog.avira.com/locky-goes-offline).

Um dem Forensiker bei der Analyse der Schadsoftware das Leben schwerer zu machen, wird die nachgeladene Schadsoftware auch schon mal mit einem zusätzlichen Parameter gestartet. Nur wenn dieser Parameter korrekt angegeben ist, funktioniert die Schadsoftware.

Erste Hilfe: Dateianhänge sperren

Sperren Sie alle ausführbaren Dateien in Anhängen. Das sind die Dateiendungen exe, ade, adp, asx, bas, bat, chm, cmd, com, cpl, crt, hlp, hta, inf, ins, isp, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, prf, reg, scf, scr, sct, shb, shs, swf, vbe, vbs, wsc, wsf und wsh.

Um dies rechtlich sauber zu implementieren, muss man die Annahme der Mail mit dem Anhang verweigern. Der Absender (solange es keine Malware ist) erhält z.B. die Fehlermeldung: „554 Reject, BANNED: application/x-msdownload,.exe,.exe-ms,testfile.exe“. Eine Fehlermeldung, die mit einer 500er-Nummer beginnt, signalisiert einen permanenten Fehler. Dieses Verfahren entspricht dann dem „Annahme verweigert“ bei der gelben Post.

Der weiter oben erwähnte Dateityp docm sollte ebenfalls in die Liste der gesperrten Dateianhänge aufgenommen werden. Es versteht sich von selbst, dass dieses Vorgehen unternehmensintern abgestimmt werden muss (u.a. Mitbestimmung).

Aufgepasst bei Bewerbungen!

Ein besonders kritischer Bereich sind elektronische Bewerbungen. Dabei ist es egal, ob sie über ein Bewerberportal oder per E-Mail ankommen.

Die Personalabteilung will und muss die Dateien zeitnah anschauen. Da die Mitarbeiter die Bewerbungen nicht editieren, sondern nur lesen, kann man die Bewerbungen problemlos auf einem Unix-System „drucken“. Gedruckt wird dabei nicht auf Papier, sondern in eine neue PDF-Datei.

Aktive Inhalte in den Ursprungsdateien überstehen diesen Druckprozess in aller Regel nicht (z.B. wenn die Seiten als Bilder gedruckt werden). Dieser Druckprozess muss sehr früh stattfinden, sodass niemand die Anhänge vorher versehentlich öffnen kann.

Analyse der Schadsoftware

Der Umgang mit der Schadsoftware auf einem Windows-Rechner ist ausgesprochen gefährlich. Einmal falsch geklickt, und der Rechner ist infiziert. Deshalb sollte die Analyse der Schadsoftware immer unter Unix oder Linux erfolgen. Das reduziert das Risiko ganz wesentlich.

Zuerst muss man den Downloader analysieren, um das Nachladen der eigentlichen Schadsoftware zu verhindern. Die Schadsoftware will aber genau das nicht. Deswegen ist die Software „verschleiert“ (Englisch: obfuscated). Das bedeutet, sie ist durch schräge Programmiertricks derart unlesbar gemacht, dass man nicht ohne Weiteres sehen kann, was das Programm tut (Abb. 1).

Ransomware-1

Der erste und wesentliche Analyseschritt ist das Entfernen dieser „Schutzschicht“. Hierzu muss man allerdings programmieren können, und auch gute Kenntnisse des Konzepts „reguläre Ausdrücke“ sind unabdingbar.

Lädt man eine verdächtige Datei nach Virustotal oder malwr.com hoch, erhält man automatisch einen Report (Abb. 2).

Ransomware-2

Da es sich bei beiden Webdiensten um sogenannte Sharing Communities handelt, verteilt man die Datei an einen größeren, unbekannten Kreis. Hier ist eine gewisse Vorsicht angebracht.

Virustotal

Virustotal ist ein Dienst, der heute zu Google gehört. Er gibt dem Anwender die Möglichkeit, über ein einfaches Webinterface eine Datei von über 50 aktuellen Virenscannern überprüfen zu lassen. Virustotal verteilt alle hochgeladenen Dateien an alle beteiligten Antiviren-Software-Hersteller.

Darüber hinaus kann man die hochgeladenen Dateien aber auch abonnieren. Das wird als „Sharing Community“ bezeichnet. Im Fall des „besten“ Abos erhält der Abonnent sogar die IP-Adresse, von der eine verdächtige Datei hochgeladen wurde.

Die Abonnenten sind von Wissenschaftlern und Sicherheits-Unternehmen bis hin zu Kriminellen und staatlichen Bedarfsträgern breit gestreut. Es versteht sich von selbst, dass manche „interessierten Kreise“ auch über derartige Abos verfügen, um zu überwachen, ob das Opfer einen Angriff erkannt hat.

Nur einige wenige Administratoren sollten eine verdächtige Datei uploaden dürfen. Sonst besteht die Gefahr, dass jemand – in bester Absicht – eine interne Datei großzügig verteilt, da er sie für verdächtig hält.

Es empfiehlt sich, den Upload immer über einen Anonymisierungs-Proxy laufen zu lassen, um die eigene Identität nicht offenzulegen. Mehr dazu unter https://virustotal.com und http://heise.de/-3123322)

malwr.com

Der Dienst malwr.com (https://malwr.com) erlaubt es, eine Datei hochzuladen. Sie wird dann unter Windows XP virtualisiert in einer Sandbox geöffnet bzw. ausgeführt. Die verwendete Cuckoo-Sandbox (https://cuckoosandbox.org) steuert und überwacht die Ausführung.

Nach ein paar Minuten erhält man einen Report über die Ausführung der Datei:

  • Sieht man bösartiges Verhalten (z.B. wenn die PDF-Datei eine Datei herunterlädt), kann man sicher sein, eine Schadsoftware vor sich zu haben.
  • Sieht man nichts, kann es auch eine Schadsoftware sein, die die Analyseumgebung erkannt hat und sich deshalb ruhig verhält. Hier findet ein Wettrüsten statt.

Die Cuckoo-Sandbox ist frei verfügbar. Man kann also mit geeignetem Know-how seine eigene Analyse-Umgebung aufbauen. Das hat den Vorteil, dass man genau die Windows-Version und die Anwendungsprogramme installieren kann, die man gerade im Einsatz hat. Darüber hinaus lassen sich so auch interne Dokumente sauber analysieren, ohne sie der Gemeinschaft preiszugeben. Denn malwr.com ist ebenfalls eine Sharing Community. Ein eigenes System benötigt aber auch ständige Pflege.

Den Dienst stellen Enthusiasten zur Verfügung. Hinter malwr.com stehen keine kommer-ziellen oder Regierungsinteressen. Die Server werden von „The Shadowserver Foundation“ betrieben („Malwr is powered by The Shadowserver Foundation.“).

Analyse-Hardware: Raspberry Pi und Chromebooks

Es ist viel zu gefährlich, echte Schadsoftware auf einem Windows-Rechner zu untersuchen. Der Umgang mit der Schadsoftware sollte nur unter Unix/Linux erfolgen. Als preiswerte Lösung bietet sich ein Raspberry Pi 3 an. Ein Raspberry Pi ist ein kostengünstiger Linux-Rechner, der hierfür ideal geeignet ist. Man sollte allerdings keine Angst vor einer Linux-Kommandozeile haben. Und mit einfachen Tools wie wget zum Herunterladen von Dateien, einem guten Editor und einer Skriptsprache (Perl, Python) kommt man schon relativ weit.

Für einfache Untersuchungen reicht auch die Rechenleistung. Und da das Betriebssystem von einer MicroSD-Karte (8 GB sind völlig ausreichend) startet, ist schnell ein frisches Betriebssystem eingelegt und gestartet.

Praktisch sind auch Chromebooks: einfache, preiswerte Notebooks mit Linux und einer Google-Cloud-basierten Arbeitsumgebung. Wer nur ein Bildschirmfoto der Schad-E-Mail zur Warnung der Beschäftigten oder zu Dokumentationszwecken machen will, ist mit einem Chromebook gut bedient. Es ist einfach zu bedienen und auch mit Windows-Malware nur schwer angreifbar. Auf diesen Notebooks lässt sich Windows-Schadsoftware nicht ganz so einfach untersuchen, da die fortgeschrittenen Software-Werkzeuge fehlen.

Schutzstrategie 1: Zugriffskonzept

Eine erste wichtige Schutzstrategie ist ein Konzept mit sorgfältig abgestimmten Zugriffsrechten. Hat ein Nutzer Schreibrechte auf sämtlichen Netzwerklaufwerken im Unternehmen, können von diesem Rechner aus alle Dateien auf allen Netzwerklaufwerken verschlüsselt werden.

Test mit dem Locky Simulator

Je weniger Laufwerke mit Schreibrechten ein Nutzer hat, umso weniger Schaden kann eine Krypto-Schadsoftware anrichten.

Wenn Sie wissen wollen, welche Dateien bei Ihnen im Fall des Falls verschlüsselt würden, dann starten Sie die völlig ungefährliche Batch-Datei „Locky Simulator“ (https://blog.rootshell.be/2016/04/18/impact-ransomware-infection; war beim Abruf am 17. Juli 2016 eine harmlose Batch-Datei). Sie werden überrascht sein, wie viele Dateien verschlüsselt werden.

Schutzstrategie 2: Backup

Die wichtigste Schutzstrategie ist ein stets aktuelles Backup. Hat eine Krypto-Schadsoftware die Daten verschlüsselt (Abb. 3), kann man die gesicherten Daten aus dem Backup wieder einspielen. Das ist verlässlicher als jede Lösegeldzahlung.

Ransomware-3

Erstellt man sein Backup über Synchronisation (ähnlich einer Synchronisation wie z.B. DropBox), ist eine Versionierung zwingend erforderlich. Sonst sichert man die verschlüsselten Dateien und vernichtet damit die unverschlüsselten im Backup.

Vorsicht, keine verschlüsselten Dateien sichern!

Auch ein klassisches Backup muss sicherstellen, dass es nicht versehentlich verschlüsselte Dateien sichert. Aus diesem Grund versuchen die neueren Generationen der Ransomware, möglichst lange zu verbergen, dass sie aktiv sind. Ist das Backup ein bloßes Kopieren von Daten auf ein lokales oder ein Netzwerklaufwerk, ist das Risiko hoch, dass diese Daten erneut dem Verschlüsselungstrojaner zum Opfer fallen.

Schutzstrategie 3: Mitarbeiter sensibilisieren

Neben den technischen Maßnahmen sind die Beschäftigten ein wichtiger Faktor. Sensibilisieren Sie die Mitarbeiter über Awareness-Maßnahmen, nicht auf jeden Link in einer E-Mail zu klicken und Dateianhänge nicht einfach zu öffnen.

Fazit: Ernste Bedrohung, aber in den Griff zu bekommen

Insgesamt sind die Verschlüsselungstrojaner eine ernst zu nehmende Bedrohung. Mit entsprechenden Sicherheitsmaßnahmen lässt sich das Risiko minimieren. Vollends eliminieren lässt es sich allerdings nicht.

Eine vertiefende Beschäftigung mit dem Thema ermöglicht das Papier „Ransomware: Bedrohungslage, Prävention & Reaktion“ des Bundesamts für Sicherheit in der Informationstechnik.

Prof. Dr. Rainer W. Gerling
Rainer W. Gerling ist IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft und Honorarprofessor für IT-Sicherheit an der Hochschule München.