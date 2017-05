Nu we een luwte in de WannaCrypt-storm zijn ingegaan, is het tijd om het netwerk te beschermen tegen de volgende golf malware die het SMB-gat misbruikt. Het aantal infecties neemt momenteel af, nu organisaties maatregelen hebben genomen om de problemen aan te pakken. In veel gevallen is SMB uitgeschakeld om verdere besmettingen van de SMB-worm te voorkomen, maar dat is niet voor iedereen een oplossing, als bijvoorbeeld gebruikers geen scans meer kunnen maken.

Worm krioelt door netwerk

WannaCrypt infecteert andere pc's binnen een netwerk via een enkel werkstation waar iemand bijvoorbeeld op een malafide link in een e-mailtje klikt. Het eerste stukje code dat vervolgens wordt afgevuurd op dat systeem, is een worm die meteen een scan uitvoert om andere hosts op het netwerk te vinden. Het verschil met andere malware is dat een worm zich verspreidt zonder dat er verdere interactie nodig is van gebruikers.

In dit geval is de infectievector netwerkprotocol Server Message Block (SMB), dat wordt gebruikt om bestanden te delen. De worm zoekt naar tcp-poort 445 en probeert andere kwetsbare hosts te vinden. De code die daarvoor wordt gebruikt komt uit een backdoortooltje van inlichtingendienst NSA genaamd DoublePulsar. Dat tooltje gebruikt SMB-exploit EternalBlue om systemen binnen een netwerk van een ingang te voorzien.

Backdoor en exploit

Criminelen hebben nu die EternalBlue-exploit gebruikt voor hun eigen software om zo ransomware WannaCrypt effectief te verspreiden binnen netwerken die SMB1 ondersteunen. Tools die beveiligers haastig hebben gebouwd zoeken naar elementen van zowel de worm als de backdoor om infecties op te sporen.

Zo zoekt dit Python-scriptje naar DoublePulsar, een duidelijk teken dat je bent geïnfecteerd met de backdoor. Je kunt dan te maken hebben met een NSA-infectie, een WannaCrypt-besmetting, botnet Adylkuzz, of een van de andere mogelijkheden die rondwaren. Sowieso is de aanwezigheid van DoublePulsar slecht nieuws voor gebruikers en IT'ers.

Scans naar pc's

SMB1 is inmiddels ingehaald door versie 2 (uit 2006) en versie 3 (uit 2012) van hetzelfde protocol. De nieuwere versies waren respectievelijk officieel verschenen met Windows Vista en Windows 8. De reden dat vooral bedrijven nog steeds versie 1 van SMB gebruiken, ligt meestal aan specifieke organisatorische legacy.

Denk aan industriële apparatuur als freesbanken die CAD-bestanden uitwisselen via SMB. Of aan oudere applicaties of databases die SMB-fileshares gebruiken. Of neem grote printers, multifunctionals, die je op menig kantoor aantreft. Zulke printers delen bijvoorbeeld scans via SMB naar het werkstation van gebruikers en het gebruik van het netwerkprotocol is dan essentieel.

Een printer op de gang uit 2005 is zeker niet zeldzaam - een MFP is niet iets wat je op hetzelfde tempo afschrijft als andere hardware - en deze ondersteunen vanuit de fabriek versie 1 van het protocol. Als je gelukt hebt is er een nieuwe firmwareversie verschenen met een upgrade naar de in 2006 uitgebrachte SMB2, maar dat is niet altijd het geval.

Hierna: De dreiging is nog lang niet voorbij en scripts om (tijdelijk) keiharde maatregelen te nemen.