Beispiele für die Proliferation von Schadsoftware anhand der EternalBlue-Lücke

Das Thema der Proliferation, also der Weiterverbreitung und Verwendung von Schadsoftware war in der Vergangenheit bereits Thema dieses Blogs. Eine etwas ausführlichere Darstellung davon findet sich hier. Anhand des Leaks der EternalBlue-Sicherheitslücke aus den Beständen der NSA, das durch die Shadowbroker veröffentlicht wurde wird deutlich, welche bedrohliche Reichweite die Proliferation von Malware erreichen kann. So basierten in den vergangenen zwei Wochen bereits vier unterschiedliche Malware-Attacken auf der EternalBlue-Schwachstelle, zwei davon (WannaCry und Petya) wurden hier bereits ausführlich aufgrund der Schwere der verursachten Schäden dokumentiert. Neben diesen beiden Vorfällen gibt es nach wie vor weitere Meldung von Schadsoftware die, in aller Regel auf spezifische Ziele oder Gerätearten ausgerichtet, anhand von EternalBlue Systeme infiziert:

Dazu zählt zum einen eine Malware mit deren Hilfe Linux-Server infiziert und für das unbemerkte Erzeugen von Kryptowährungen mißbraucht werden. Auch hier wird eine Variante der EternalBlue-Lücke (getauft auf den Namen „SambaCry / EternalRed“) ausgenutzt, die in der Software für den Zugriff auf Windows-Server vorhanden ist (Details dazu bspw. bei SecureList / lokale Kopie). Eine dritte, unlängst bekannt gewordene Lücke verwendet einen ähnlichen Angriffsvektor, der allerdings auf speziellen Netzwerk-Speichergeräten (sog. NAS – Network attached storage) vorhanden ist, die ihrerseits sehr oft auf mit  angepassten Linux-Versionen laufen und folglich auch den EternalRed-Fehler enthalten (Quelle: heise.de / lokale Kopie).  Dieser Fehler ist insbesondere dadurch brisant, dass vergleichbar zu den, durch WannaCry angreifbaren alten Windows-Systemen NAS sehr oft fertige Consumer-Elektronik ist, die nur in wenigen Fällen durch Hersteller mit Software-Aktualisierungen versorgt werden. Derartige Systemen können auch durch den Anwender nicht ohne Probleme mit neuer Software ausgestattet werden und blieben im schlechtesten Falle komplett ungeschützt – mit der einzigen Option des Anwenders, das Gerät komplett und auf ewig vom Netz zu nehmen.

Leider ist davon auszugehen, dass es auch in Zukunft weitere Variante dieser Malware geben wird. Dieser Schluß ergibt sich bspw. aus den Ergebnissen einer Untersuchung des IT-Sicherheitsunternehmens Imperva, die einen Online-Scanner eingesetzt haben um im Internet nach entsprechend verwundbaren Systemen zu suchen. Die Analysten fanden dabei noch mehrere zehntausende Systeme, die sich per EternalBlue/EternalRed angreifen ließen (Q: threatpost.com / lokale Kopie).