It-sikkerhedsvirksomhed: Statslige ip-adresser i WannaCry-data

16. maj 2017 kl. 16:329
CSIS har fundet to statslige ip-adresser i data fra WannaCry-angrebet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den danske it-sikkerhedsvirksomhed CSIS er stødt på to ip-adresser hos en organisation under den danske stat i forbindelse med en analyse af data fra WannaCry-hackerangrebet.

Det er dog ikke nødvendigvis det samme som, at statslige systemer er blevet inficerede i forbindelse med hackerangrebet, der har krypteret data på computersystemer verden over de seneste dage. Mere om det længere nede.

»Hvis man kigger på de to ip-adresser, som rapporterer tilbage, så afslører det i hvert fald, at det er noget, som tilhører staten,« siger Peter Kruse, partner i CSIS.

Han fortæller, at ip-adresserne ligger tæt op ad hinanden talmæssigt, og at et whois-lookup på ip-adresserne returnerer navnet på den samme statslige organisation. Peter Kruse ønsker dog ikke at oplyse navnet på organisationen.

Artiklen fortsætter efter annoncen

De to ip-adresser har CSIS fundet ved at analysere danske ip-adresser fra et datasæt, der stammer fra en person kendt som MalwareTech. Det er kaldenavnet for den it-sikkerhedsforsker, der i første omgang registrerede et internetdomæne, som fik malwaren til at stoppe sin hærgen.

Domæne-funktionaliteten har ageret kill switch. Det fungerer kort fortalt på den måde, at hvis malwaren kalder op til domænet, og domænet er registreret og returnerer et svar, så kører ransomware-delen ikke. Så da MalwareTech identificerede og registrere domænet lagde det en dæmper på malwaren.

Nok ikke 402 inficerede computere

De ip-adresser, som Peter Kruse og CSIS har kigget i, stammer fra forespørgsler op mod kill-switch-domænet, som den danske virksomhed har modtaget fra MalwareTech.

Ud af disse data har CSIS foreløbigt identificeret 402 danske ip-adresser. Det er dog ikke det samme som, at der med sikkerhed er 402 computere i Danmark, som er ramt af WannaCry.

Artiklen fortsætter efter annoncen

Peter Kruse påpeger, at der bag de enkelte ip-adresser som følge af NAT-teknologi kan gemme sig adskillige computere. Så det reelle antal inficerede enheder i Danmark kan være langt større end 402.

Derudover så er en dansk ip-adresse i datasættet ikke ensbetydende med, at der har kørt ransomware i det bagvedliggende system. Hvis malwaren er eksekveret efter MalwareTech, registrerede domænet - det skete i sidste uge - så vil ransomware-delen af malwaren i udgangspunktet ikke køre.

Ifølge Peter Kruse kan der dog være situationer, hvor svaret fra kill-switch-domænet glipper, så ransomwaren kører alligevel.

»Der kan være forskellige omstændigheder, der gør, at den alligevel kan køre. Der er nogle særlige dele af koden, som gør, at den kan risikere ikke at få det rigtige svar tilbage.«

Artiklen fortsætter efter annoncen

Ikke alene er de 402 danske ip-adresser, som CSIS foreløbigt har gravet frem, ikke ensbetydende med ransomware på de bagvedliggende systemer, det er slet ikke sikkert, systemerne overhovedet er blevet inficerede med malware.

Kan stamme fra et menneske

Godt nok er det i udgangspunktet inficering af WannaCry-malwaren, der resulterer i, at en computer forsøger at kontakte kill-switch-domænet, men trafikken kan også stamme fra et menneske.

Eksempelvis kunne det være en nysgerrig bruger, der har læst om domænet i nyhedsdækningen og klikker sig ind på det. Trafikken kan også stamme fra en it-sikkerhedsforsker, der er ved at undersøge malwaren i et sikret sandbox-miljø.

Peter Kruse medgiver, at der er en fejlmargen forbundet med data af den type, som stammer fra forespørgslerne til kill-switch-domænet.

Og i den forbindelse kan Peter Kruse heller ikke udelukke, at en del af de 402 danske ip-adresser, CSIS har identificeret i forbindelse med WannaCry-angrebet, ikke nødvendigvis er resultatet af et succesfuldt malware-angreb.

»Det kan være forespørgsler, der kommer fra research, og det kan være forespørgsler, der kommer fra sandboxes,« siger han.

Version2 har været i kontakt med Center for Cybersikkerhed (CFCS) i forhold til de to ip-adresser under staten, som CSIS er stødt på i WannaCry-dataene. CFCS har ikke umiddelbart nogen kommentarer desangående.

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
17. maj 2017 kl. 16:28

Jeg synes det virker mærkeligt at åbne for SMB fra internettet. Det må være fyringsgrund for en SYSOP. Og i givet fald kan det kun ramme en maskine bag en router/firewall pr. IP adresse. Men er Malwaren først inde kan det selvfølgelig ramme flere maskiner på lokalnetværket. Men ville man ikke benytte VPN i stedet? Er der noget jeg har overset ??

Dit netværk er beskyttet af NAT og port SMB er ikke åben ind, men så tager en person en bærbar PC med sig på vej i toget og etablere en opkobling til internettet via en USB 4G nøgle, computeren er sårbar og vupti er den infiltreret med WannaCry ormen, denne PC kobles igen på dit netværk og WannaCry spreder sig efterfølgende til de øvrige sårbare computere på dit netværk...

7
17. maj 2017 kl. 12:30

Hvis du har et system, som laver sandbox funktionalitet ved at besøge URLs, så er der andre problemer i dit sikkerhedssetup. Hint: At usaniterede ondsindede links ikke blokeres og flere andre issues.

Dertil kommer, at browser agent strengen er statisk. Det betyder, at hvis et menneske besøger domænet, kan det nemt filtreres fra. Det fjerner dem, som absolut vil afmonteret et saniteret (ondsindet) domæne, og besøge det ...

/Peter

5
16. maj 2017 kl. 20:55

Nu har mange virksomheder jo automatisk sandboxing af email attachments og url's. Faktisk er der også nyhedsbreve med it leverandøre der har indeholdt url'en som baggrunds info og dermed trigget DNS opslag.

Det er nok et fåtal af DNS opslagene der stammer fra reelle infektioner af wannacry v1.

4
16. maj 2017 kl. 20:25

Jeg har slået domænet op indtil flere gange i forbindelse med tests, så hvis der er ~400 unikke adresser, så er mindst 2 af dem mine.

3
16. maj 2017 kl. 19:27

»Der kan være forskellige omstændigheder, der gør, at den alligevel kan køre. Der er nogle særlige dele af koden, som gør, at den kan risikere ikke at få det rigtige svar tilbage.«

Så skriv dog at den ikke virker med proxy og i airgapped hvor man så kan lave sin egen dns record og http respond , hvis noget denne ransomware har lært er det at åbenhed hjælper , istedet for gemme informationer

2
16. maj 2017 kl. 19:19

Jeg synes det virker mærkeligt at åbne for SMB fra internettet. Det må være fyringsgrund for en SYSOP. Og i givet fald kan det kun ramme en maskine bag en router/firewall pr. IP adresse. Men er Malwaren først inde kan det selvfølgelig ramme flere maskiner på lokalnetværket. Men ville man ikke benytte VPN i stedet? Er der noget jeg har overset ??

1
16. maj 2017 kl. 17:58

Så man NAT'er port 445 ind til sine servere? Og klienter? Fileshare plejer da ikke at være så udbredt via internettet..?