WannaCry og NotPetya: Hvad vi har lært om it-sikkerhed i 2017

Illustration: Pang-rum/Bigstock
De to opsigtsvækkende malware-angreb i maj og juni giver anledning til at se på, hvilke elementer af it-sikkerhed der bør prioriteres.

Kommentar. WannaCry og NotPetya kommer efter alt at dømme til at få pladser i malwarens 'hall of fame'. Om ikke andet så fordi de markerer et punkt, hvor vi bør overveje, hvordan vi prioriterer it-sikkerhed.

Begge anvendte elementer af ransomware, men det vil være forkert at anskue disse to trusler som gængs ransomware. Især for NotPetya var der ingen af de almindelige ransomware-foranstaltninger, som havde beskyttet de store globale virksomheder, der blev ramt.

Hvis man kan tale om almindelig ransomware, så er det kendetegnet ved at foregå via e-mail og social engineering, hvor brugeren skal lokkes til at åbne og eksekvere en fil. Hvis brugeren gør dette, så krypteres brugerens filer og ofte også filer på eksempelvis delte netværksdrev.

Det er derfor, at awareness, altså træning af brugernes påpasselighed, er et vigtigt element i forsvaret mod ransomware.

Men WannaCry spredte sig efter alt at dømme ikke via e-mail. Den udnyttede derimod et sikkerhedshul til at sprede sig til sårbare Windows 7-maskiner via lokalnetværk og internettet. Brugeren skulle ikke gøre noget.

Sikkerhedshullet stammede fra et læk fra efterretningstjenesten NSA, men Microsoft havde udsendt en sikkerhedsopdatering i marts, to måneder før WannaCry-angrebet. Derfor understregede WannaCry endnu en gang, at det er vigtigt at holde sin software opdateret.

Men for at sprede sig, skulle der være åbent på én af to netværksporte, som det er normal god praksis ikke at lade stå åben ud til internettet. Derfor er den måske lidt oversete pointe med WannaCry, at man ikke kommer uden om en fornuftig firewall-politik.

Ingen mail, stjal administratorrettigheder

NotPetya var igen anderledes end typisk ransomware. Den ankom ikke via e-mail, men ser i stedet ud til at være kommet ind via en opdateringsfunktion til et stykke software til skatteindberetning, som virksomheder, der opererer i Ukranie, ikke kan komme uden om at benytte. Når NotPetya var kommet ind på en Windows-pc, så afsøgte den pc'en for credentials - altså identitetsoplysninger for brugere med flere rettigheder.

Disse rettigheder blev brugt til både at kryptere den inficerede pc yderligere, men også til at sprede malwaren via lokalnetværket. NotPetya kan altså endnu en gang fremhæve den klassiske lære om at begrænse brugernes rettigheder og ikke mindst begrænse de enheder og tjenester, som kører i organisationen med vide administratorrettigheder.

Når først malware er inde på en maskine, så er der et større arsenal til rådighed til eskalering af rettigheder lokalt, og metoden, NotPetya benytter, er triviel.

Tilbage står vi med, at klassiske ransomware-råd med 'lad være med at åbne filer fra folk, du ikke kender' og 'husk at opdatere dine programmer' ikke i sig selv havde beskyttet mod NotPetya.

Det sidste af de klassiske ransomware-råd er desværre dét, der er mest besværligt, nemlig at man skal tage backup, sørge for, at denne backup er adskilt og ikke ryger med i et eventuelt angreb, og ikke mindst skal man kunne bruge backuppen til at gendanne sine systemer.

Lige i tilfældet med NotPetya kunne det være lidt mere besværligt at komme tilbage på fode, fordi den muligvis kunne overskrive bootsektoren på en måde, som ville gøre det nødvendigt at geninstallere Windows, ligesom man kan argumentere for, at det vil være fornuftigt at tilbagekalde de kompromitterede rettigheder.

Men der var ingen awareness-kampagner eller undskyldninger om, at 'brugerne skal bare lade være med at klikke på filer i mails', som kunne have stoppet de to angreb. Awareness er vigtigt, men det har sine begrænsninger.

De bedste phishing-mails kan i dag være svære at skelne fra legitime mails, som kan tikke ind i mailboxen hos en medarbejder i en virksomhed. Derfor er der andre, ofte oversete tiltag, som bør overvejes. Ud over selvfølgelig at sikre sine egne domæner mod phishing-misbrug.

Segmentér netværket

Vi ved endnu ikke med sikkerhed, hvordan NotPetya helt præcist spredte sig. Alt tyder på, at det begyndte i Ukraine og derfra bredte sig via eksempelvis vpn-tunneler til de globale koncerners hovedkvarterer. Hvis det er tilfældet, så slår det en tyk streg under, at netværk bør segmenteres.

Det skal ikke være trivielt for malware, som havner på en Windows-pc i bogholderiet i kontoret i Odessa, at sprede sig til servere eller til netværket i hovedsædet i København. Og selv hvis vpn-tunneler ikke kan undgås, så bør man opbygge sit netværk på en måde, så en orm, som spreder sig automatisk via netværket, ikke kan lægge alle afdelinger ned.

Tilsvarende er det vigtigt at være klar over, at sådan et angreb kan ramme, selvom man opdaterer sin software og har uddannet brugerne. Derfor er det afgørende, at man har procedurerne på plads til at få gendannet systemer og data til så tæt på fuld drift som muligt så hurtigt, det kan lade sig gøre.

Disaster recovery er ikke kun for en brand i datacentret eller oversvømmelse i serverrummet. Backup og restore kan også sikre mod den mistede pc i taxaen og den ukrainske netværksorm.

Og det sidste, man bør gøre, er at læne sig tilbage og sige, at ransomware er noget, der sker, fordi brugerne er uforsigtige. Selv hvis brugerne er uforsigtige, så er det it-afdelingens ansvar at kunne gøre skaden god igen. For på et tidspunkt er der en bruger, der åbner en forfalsket mail eller en vpn-tunnel, og så har it-afdelingen balladen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Finn Christensen

De enkelte tekniske detaljer, har mest en akademisk interesse for et fåtal.. Kommandocentralen (mor) udskriver dosmersedler for aktiviteter de næste 4-5 uger; solen komme fra og skyerne forsvinder..;)

  • 1
  • 5
Anne-Marie Krogsbøll

Dankortet er nede i hele landet. Sikkert noget helt banalt (nogen kom til at trykke på nødknappen?) - men efter den senere tids hændelser ligger der jo en lille frygt i baghovedet: Hvad nu hvis...... Kan nogen gennemskue, hvad der ville ske, hvis det faktisk skyldtes en rigtigt ond malware/ransomware?

  • 2
  • 0
Jesper Ravn

Helt korrekt at det vigtigste vi kan gøre for at reducere effekten af et succesfuldt angreb er at segmentere vores netværk i meget små segmenter.

Nej, det vigtigste, er at beskytte brugens Identitet og Endpoint.

Kort fortalt: Fjern Local Admin Fjern angrebsvektoren Pass the hash /Impersonation Kom væk fra Windows 7 platformen

Udliciter centrale dele af din IT sikkerhed til cloud services som f.eks: MS ATA MS Office 365 ATP MS Windows Defender ATP MS MFA MS EMS

Så kan du lave dine 200 VLANs bagefter, hvis man kan overskue det og det giver mening.

  • 1
  • 6
Michael Cederberg

Nej, det vigtigste, er at beskytte brugens Identitet og Endpoint. Kort fortalt: Fjern Local Admin Fjern angrebsvektoren Pass the hash /Impersonation Kom væk fra Windows 7 platformen

Det er alt sammen fine og gode ting. Det virker fint hvis man har et lille netværk.

Problemet er bare at det er en tilgang som forventer at man kan kontrollere alt hvad der sker på ens netværk. Det er en tilgang som fungerer fint, lige indtil noget slipper ind. Lige indtil nogen kobler en uautoriseret maskine, access point, etc. på trods af alle de fine sikkerhedsforanstaltninger det netop skulle forhindre dette. Eller hvis de kører noget autoriseret eller uautoriseret software. Mulighederne er uendelige. Når man som Mærsk har 89000 ansatte, så er der næsten garanti for at det sker hele tiden.

Det vigtigste er at designer sit netværk og IT systemer med en forventning om at noget slipper ind. Man skal forvente at man ikke har kontrol over alt hvad der sker. At nogle af ens computere, servere, switche og routere bliver angrebet og at man ikke længere kan stole på dem.

  • 3
  • 0
Maciej Szeliga

Det er alt sammen fine og gode ting. Det virker fint hvis man har et lille netværk.

Fjerne Local Admin, Pass the Hash og Windows 7 skulle være fuldt ud muligt... Vi har ikke kørt med Local Admin siden 1997 hvor vi indførte NT4, hvis noget ikke virkede blev leverandøren bedt om at fikse det så det overholdt Windows sikkerhedsmodel. De fleste ting kunne i øvrigt fikses ved at installere programmet uden for "C:\Program Files" og give "Auth. Users" rettigheder til programmets directory og registry - da vi kørte med clonede maskiner så var det nemt at implementere. Når man ruller ud i store miljøer bruger man MS SCCM eller lign. og kan levere 100% ens opsatte maskiner til 20000 ansatte - uden at de skal være LocalAdmin. At køre LocalAdmin i dag er uansvarligt uanset om man er privat person eller virksomhed (uanset størrelse).

Pass the Hash - well, vi kan jo gøre som i gamle dage og sige at Windows (NT4 var det) kun er sikker uden netværk. Bortset fra det så virker PtH kun hvis brugeren allerede er LocalArmin dvs. man skal først også lige escalere rettighederne - ikke at det er umuligt.

Windows 7 er suporteret endnu (indtil 14. jan. 2020), man skal i gang med at planlægge en opgradering og i den forbindelse skal alt testes så man lokaliserer ting som ikke kan opgraderes - og så lave en plan for hvad man gør ved det. Det nytter ikke at man sidder med hænderne i skødet og siger "Nå ja, så opgraderer vi bare ikke, øv bøv", det er noget man kunne for 10 år siden.

  • 0
  • 0
Jesper Ravn

Det er alt sammen fine og gode ting. Det virker fint hvis man har et lille netværk. Problemet er bare at det er en tilgang som forventer at man kan kontrollere alt hvad der sker på ens netværk. Det er en tilgang som fungerer fint, lige indtil noget slipper ind. Lige indtil nogen kobler en uautoriseret maskine, access point, etc. på trods af alle de fine sikkerhedsforanstaltninger det netop skulle forhindre dette. Eller hvis de kører noget autoriseret eller uautoriseret software. Mulighederne er uendelige. Når man som Mærsk har 89000 ansatte, så er der næsten garanti for at det sker hele tiden. Det vigtigste er at designer sit netværk og IT systemer med en forventning om at noget slipper ind. Man skal forvente at man ikke har kontrol over alt hvad der sker. At nogle af ens computere, servere, switche og routere bliver angrebet og at man ikke længere kan stole på dem.

Nej, de virker også helt perfekt til store netværk.

De ting du nævner, er præcis det jeg snakker om. Måske var jeg ikke tydelig nok. Microsoft tænker nu Assume Breach ind i alle deres IT-sikkerhedsservices. Deres services udgør således et flow med Protect-Detect-Respond. Et par centrale services er f.eks.

Microsoft Advanced Threat Analytics: https://www.youtube.com/watch?v=g07w3qzT7-o https://www.youtube.com/watch?v=RAS-TI6PUrg

Diverse pentester er også ved, at blive opmærksomme på denne fanatiske service. En række af disse bypass er allerede rettet i ATA 1.8 https://www.blackhat.com/us-17/briefings/schedule/index.html#evading-mic...

Windows Defender Advanced Threat Protection – Office 365 ATP: https://www.youtube.com/watch?v=qxeGa3pxIwg https://www.youtube.com/watch?v=IvZySDNfNpo&feature=youtu.be https://www.youtube.com/watch?v=HkQZR9RBbPE

Alle Microsoft IT-sikkerhedsservices bliver bundet sammen af Intelligent Security Graph. https://www.youtube.com/watch?v=uj-S6w-HzYY&feature=youtu.be

Så ja, jeg mener stadigvæk, at man skal få implementeret Windows 10, med ovenstående services og kigge på alt andet bagefter.

  • 0
  • 3
Jesper Ravn

Når man som Mærsk har 89000 ansatte, så er der næsten garanti for at det sker hele tiden.

Glemte lige nedenstående, i forbindelse med snakken om store netværk :-)

Introducing Windows AutoPilot deployment https://www.youtube.com/watch?v=4K4hC5NchbE

Accenture to upgrade over 400,000 employees to Windows 10 by 2018 https://blogs.windows.com/business/2017/06/28/accenture-upgrade-400000-e...

  • 0
  • 2
Michael Cederberg

Nej, de virker også helt perfekt til store netværk.

Jeg siger ikke at man skal lade være med at sikre de enkelte devices på netværket. Det er en god ide at gøre. Selvfølgeligt skal man patche alt hvad der er på nettet til den store guldmedalje og i øvrigt gøre hvad man kan.

Men på et stort netværk ender man altid med mystiske servere og devices som ikke får helt den attention de burde have – både fra leverandøren og administratorerne. Der er også risikoen for at få uautoriserede devices på nettet. Eller software fra leverandører som ikke har helt styr på sikkerheden. Etc. etc.

Og så er der huller i den fine Microsoft software som endnu ikke er patchet. Alle de hacks vi lider under lige nu har været kendt af CIA i årevis og sandsynligvis også af andre. Og hvad med ansatte i ond tro, måske endda nogen med det store admin kørekort, som af den ene eller anden grund ser grund til at slippe noget løs på netværket.

En Windows/Linux coputer på nettet har en relativt stor angrebsflade, fordi der kører mange services og brugerne kontrollerer mere eller mindre hvad der sker. Det gør det svært at lukke alle huller. Og alle de værktøjer som du nævner er også tilgængelige for folk med onde hensigter. De skal blot finde et hul.

For at håndtere ovenstående er man nødt til at opdele netværket og forvente at dele af nettet bliver angrebet. Og jo mere opdelt det er, jo mindre bliver skaden når noget sker. NÅR det sker.

Accenture to upgrade over 400,000 employees to Windows 10 by 2018

Windows er strålende, men så længe 90% af alle computere kører Windows så vil det være mål #1 for hackere. 95% af alle ADSL-/kabelmodems bruger samme broadcom chipset hvortil der hører en closed source stack. Jeg har købt popcorn til at følge hvad der sker når nogen finder et generelt hul del.

  • 1
  • 0
Morten Bøgh

Når NotPetya var kommet ind på en Windows-pc, så afsøgte den pc'en for credentials - altså identitetsoplysninger for brugere med flere rettigheder.

Er der nogen derude, som kan sige lidt mere om det her? Er det virkeligt rigtigt, at man kan låne andre brugeres rettigheder på Windows platformen? Og ligger der overhovedet ‘credentials’ for andre brugere på en typisk Windows pc?

At køre ’som administrator’ kræver ikke de store håndgreb på en windows-pc, men det er tilsyneladende ikke det der er tale om. Og det giver vel næppe rettigheder nok til at man kan smadre andre maskiner i netværket.

Det er jo ellers almindelig praksis i gængse operativsystemer at man skal kende både brugerident og password for at skifte til at være en bruger med flere rettigheder. Og disse oplysninger ligger selvfølgeligt krypteret. Plus at der ikke er nogen mulighed for afsøge maskinen for at besvare spørgsmålet: Har vi nogle brugere her med gode rettigheder?

Artiklen taler senere om at man ’skal begrænse brugeres rettigheder’, og det lyder jo som god værkstedspraksis. Men hvis det er så nemt at sjæle credentials, så er det vel ganske forgæves.

Det hele lyder mystisk - det lyder for mig mere som om at opdateringsfunktionen til det ukrainske skatteprogram - af gode grunde - havde vide rettigheder på den enkelte maskine. Pga. et sikkerhedshul kunne disse rettigheder også bruges til at smadre andre maskiner. Men det er et gæt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere